Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Para que las entidades públicas incorporen la seguridad de la información en todos sus procesos,
trámites, servicios, sistemas de información, infraestructura y, en general, en todos los activos de
información, con el fin de preservar la confidencialidad, integridad, disponibilidad y privacidad de
los datos.
Sé encuentra alineado con el Marco de Referencia de Arquitectura TI, el Modelo Integrado de
Planeación y Gestión (MIPG) y La Guía para la Administración del Riesgo y el Diseño Controles en
entidades Públicas, este modelo pertenece al habilitador transversal de Seguridad y Privacidad, de
la Política de Gobierno Digital. Y Se desarrolla mediante el Documento Maestro del Modelo de
Seguridad y Privacidad de la Información y sus guías de orientación. Lo debe desarrollar el líder o
encargado de Seguridad de la Información con el apoyo de toda la estructura organizacional
Teniendo en cuenta lo anterior, el MinTIC elaboró el Modelo de Seguridad y Privacidad de la
Información – MSPI y define los lineamientos para la implementación de la estrategia de seguridad
digital, con el objetivo de formalizar al interior de las entidades un sistema de gestión de seguridad
de la información – SGSI y seguridad digital, el cual contempla su operación basado en un ciclo
PHVA (Planear, Hacer, Verificar y Actuar), así como los requerimientos legales, técnicos,
normativos, reglamentarios y de funcionamiento; el modelo consta de cinco (5) fases las cuales
permiten que las entidades puedan gestionar y mantener adecuadamente la seguridad y
privacidad de sus activos de información:
1. Diagnóstico: Se debe iniciar con un diagnóstico o un análisis GAP, cuyo objetivo es identificar el
estado actual de la entidad respecto a la adopción del MSPI. Se recomienda usar este diagnóstico
al iniciar el proceso de adopción, con el fin de que su resultado sea un insumo para la fase de
planificación y luego al finalizar la Fase 4 de mejora continua.
2. Planificación: Determina las necesidades y objetivos de seguridad y privacidad de la
información teniendo en cuenta su mapa de procesos, el tamaño y en general su contexto interno
y externo. Esta fase define el plan de valoración y tratamiento de riesgos, siendo ésta la parte más
importante del ciclo.
3. Operación: La entidad implementa los controles que van a permitir disminuir el impacto o la
probabilidad de ocurrencia de los riesgos de seguridad de la información identificados en la etapa
de planificación.
4. Evaluación de desempeño: la entidad determina de qué manera va a ser evaluado la adopción
del modelo.
5. Mejoramiento Continuo: se establecen procedimientos para identificar desviaciones en las
reglas definidas en el modelo y las acciones necesarias para su solución y no repetición
Cada una de las fases se dará por completada, cuando se cumplan todos los requisitos definidos en
cada una de ellas.
La orientación del marco es ayudar a las empresas de todos los tamaños a comprender, gestionar
y reducir los riesgos cibernéticos y proteger sus redes y datos, proporcionando un lenguaje común
y un resumen de las mejores prácticas en ciberseguridad.
Estructura: El Marco consta de tres partes: el Núcleo del Marco, los Niveles de Implementación y
los Perfiles del Marco.
RS. RP Comunicaciones
RS. CO Análisis
Responder RS. AN Análisis
RS. MI Mitigación
RS. IM Mejoras
Por último, el Perfil representa los resultados que se basan en las necesidades empresariales que
una organización ha seleccionado de las categorías y subcategorías del Marco. El Perfil se puede
caracterizar como la alineación de estándares, directrices y prácticas con el Núcleo del Marco en
un escenario de implementación particular.
De forma más coloquial se puede decir que el Pefil es una “foto” en el tiempo que muestra el
estado actual (o el nivel de estado deseado) de ciberseguridad en una organización o unidad de
negocio. La diferencia entre el perfil del estado actual y el perfil de estado deseado permitirá
construir una hoja de ruta priorizada para la implementación.
Reducir el riesgo
Eliminar el riesgo
Transferir el riesgo
BENEFICIOS DE LA NORMA ISO 27001
Los riesgos de seguridad de la información representan una amenaza considerable para las
empresas debido a la posibilidad de pérdida financiera o daño, la pérdida de los servicios
esenciales de red, o de la reputación y confianza de los clientes.
La gestión de riesgos es uno de los elementos clave en la prevención del fraude online, robo de
identidad, daños a los sitios Web, la pérdida de los datos personales y muchos otros incidentes de
seguridad de la información. Sin un marco de gestión de riesgos sólida, las organizaciones se
exponen a muchos tipos de amenazas informáticas.
La nueva norma internacional ISO / IEC 27001 - seguridad de la información, ayudará a las
organizaciones de todo tipo para mejorar la gestión de sus riesgos de seguridad de la información.
Hoy en día, seguridad de la información está constantemente en las noticias con el robo de
identidad, las infracciones en las empresas los registros financieros y las amenazas de terrorismo
cibernético. Un sistema de gestión de seguridad de la información (SGSI) es un enfoque
sistemático para la gestión de la información confidencial de la empresa para que siga siendo
seguro. Abarca las personas, procesos y sistemas de TI.
El diseño y la implementación de un SGSI (ISO / IEC 27001:2005) dará confianza a clientes y
proveedores que la seguridad de la información se toma en serio dentro de la organización,
estando a la vanguardia en la aplicación de la técnica de procesos para hacer frente a las amenazas
de la información y a y los problemas de la seguridad.
¿ISO 27001 ES ALGO MÁS QUE SEGURIDAD INFORMÁTICA?
¿QUÉ ENTENDEMOS POR INFORMACIÓN EN ISO 27001?
Sin duda, gran parte de la Información de una empresa se encuentra en los sistemas informáticos,
sin embargo, la Norma ISO 27001 define la información como:
La información es un activo que, como otros activos importantes del negocio, tiene valor para la
organización y requiere en consecuencia una protección adecuada ...
... a información adopta diversas formas. Puede estar impresa o escrita en papel, almacenada
electrónicamente, transmitida por correo o por medios electrónicos, mostrada en video o
hablada en conversación. Debería protegerse adecuadamente cualquiera que sea la forma que
tome o los medios por los que se comparta o almacene.
Atendiendo a este concepto, ISO 27001 propone un marco de gestión de la seguridad de toda la
información de la empresa, incluso si es información perteneciente al propio conocimiento y
experiencia de las personas o sea tratada en reuniones etc. En este sentido las propias personas
pueden ser tratadas en el SGSI como activos de información si así se cree conveniente.
Por tanto, no debemos centrar la atención solamente en los sistemas informáticos por mucho que
tengan hoy en día una importancia más que relevante en el tratamiento de la información ya que
de otra forma, podríamos dejar sin proteger información que puede ser esencial para la actividad
de la empresa.
Liderazgo en ISO 27001
6. PLANIFICACIÓN
Una vez identificadas las necesidades y expectativas de las partes interesadas tal como nos indica
el punto 4 del contexto de la organización, deberemos establecer un plan definir los riesgos que
debemos tratar y las actividades a realizar para mitigar o evitar dichos riesgos