¿QUÉ ES EL MSPI?

El Modelo de Seguridad y Privacidad de la Información - MSPI, imparte lineamientos a las

entidades públicas en materia de implementación y adopción de buenas prácticas, tomando como
referencia estándares internacionales, con el objetivo de orientar la gestión e implementacion
adecuada del ciclo de vida de la seguridad de la información (Planeación, Implementación,
Evaluación, Mejora Continua), permitiendo habilitar la implementación de la Política de Gobierno
Digital.

¿PARA QUÉ Y CÓMO LO HACE?

Para que las entidades públicas incorporen la seguridad de la información en todos sus procesos,
trámites, servicios, sistemas de información, infraestructura y, en general, en todos los activos de
información, con el fin de preservar la confidencialidad, integridad, disponibilidad y privacidad de
los datos.
Sé encuentra alineado con el Marco de Referencia de Arquitectura TI, el Modelo Integrado de
Planeación y Gestión (MIPG) y La Guía para la Administración del Riesgo y el Diseño Controles en
entidades Públicas, este modelo pertenece al habilitador transversal de Seguridad y Privacidad, de
la Política de Gobierno Digital. Y Se desarrolla mediante el Documento Maestro del Modelo de
Seguridad y Privacidad de la Información y sus guías de orientación. Lo debe desarrollar el líder o
encargado de Seguridad de la Información con el apoyo de toda la estructura organizacional
Teniendo en cuenta lo anterior, el MinTIC elaboró el Modelo de Seguridad y Privacidad de la
Información – MSPI y define los lineamientos para la implementación de la estrategia de seguridad
digital, con el objetivo de formalizar al interior de las entidades un sistema de gestión de seguridad
de la información – SGSI y seguridad digital, el cual contempla su operación basado en un ciclo
PHVA (Planear, Hacer, Verificar y Actuar), así como los requerimientos legales, técnicos,
normativos, reglamentarios y de funcionamiento; el modelo consta de cinco (5) fases las cuales
permiten que las entidades puedan gestionar y mantener adecuadamente la seguridad y
privacidad de sus activos de información:
1. Diagnóstico: Se debe iniciar con un diagnóstico o un análisis GAP, cuyo objetivo es identificar el
estado actual de la entidad respecto a la adopción del MSPI. Se recomienda usar este diagnóstico
al iniciar el proceso de adopción, con el fin de que su resultado sea un insumo para la fase de
planificación y luego al finalizar la Fase 4 de mejora continua.
2. Planificación: Determina las necesidades y objetivos de seguridad y privacidad de la
información teniendo en cuenta su mapa de procesos, el tamaño y en general su contexto interno
y externo. Esta fase define el plan de valoración y tratamiento de riesgos, siendo ésta la parte más
importante del ciclo.
3. Operación: La entidad implementa los controles que van a permitir disminuir el impacto o la
probabilidad de ocurrencia de los riesgos de seguridad de la información identificados en la etapa
de planificación.
4. Evaluación de desempeño: la entidad determina de qué manera va a ser evaluado la adopción
del modelo.
5. Mejoramiento Continuo: se establecen procedimientos para identificar desviaciones en las
reglas definidas en el modelo y las acciones necesarias para su solución y no repetición
Cada una de las fases se dará por completada, cuando se cumplan todos los requisitos definidos en
cada una de ellas.

NIST Cibersecurity Framework?

El marco para la mejora de la seguridad cibernética en infraestructuras críticas, mejor conocida en

inglés como NIST Cibersecurity Framework, fue emitida inicialmente en los Estados Unidos en
febrero de 2.014. Actualmente se encuentra disponible la versión 1.1 liberada en abril de 2.018.

La orientación del marco es ayudar a las empresas de todos los tamaños a comprender, gestionar
y reducir los riesgos cibernéticos y proteger sus redes y datos, proporcionando un lenguaje común
y un resumen de las mejores prácticas en ciberseguridad.

Aplicabilidad: El marco es aplicable a organizaciones que dependen en la tecnología, ya sea que su

enfoque de seguridad cibernética sea principalmente en tecnología de la información (TI),
sistemas de control industrial (ICS), sistemas ciber físicos (CPS) o dispositivos conectados en
general, incluido el Internet de las Cosas (IoT)

Estructura: El Marco consta de tres partes: el Núcleo del Marco, los Niveles de Implementación y
los Perfiles del Marco.

El Núcleo del Marco es un conjunto de funciones y actividades de seguridad cibernética,

resultados esperados y referencias informativas que son comunes en todos los sectores y en la
infraestructura crítica. El Núcleo del Marco consta de cinco Funciones simultáneas y
continuas: Identificar, Proteger, Detectar, Responder y Recuperar. Cuando se consideran juntas,
estas Funciones proporcionan una visión estratégica de alto nivel del ciclo de vida del proceso de
gestión de riesgos de la seguridad cibernética de una organización. Cada Función está compuesta
de categorías, cada categoría se divide a su vez en subcategorías y cada subcategoría viene
acompañada de referencias normativas a otros frameworks o estándares (ISO 27001, CobiT 5, NIST
SP-83, ISA62443, entre otros) en los cuales se encuentra mayor nivel de detalle para la
implementación de los controles de seguridad cibernética referidos.

A continuación, se muestra cada Función con sus respectivas categorías:

ID. AM Gestión de activos
ID. BE Entorno empresarial
ID. GV Gobernanza
Identificar ID. RA Evaluación de riesgos
ID. RM Estrategia de gestión de riesgos
ID. SC Gestión del riesgo de la cadena de suministro
 PR. AC Gestión de identidad y control de acceso
PR. AT Conciencia y capacitación
PR. DS Seguridad de datos
Proteger
PR. IP Procesos y procedimientos de protección de la información
PR. MA Mantenimiento
PR. PT Tecnología productora

DE. AE Anomalías y eventos

Detectar DE. CM Vigilancia continua de seguridad
DE. DP Procesos de detección

RS. RP Comunicaciones
RS. CO Análisis
Responder RS. AN Análisis
RS. MI Mitigación
RS. IM Mejoras

RC. RP Planificación de recuperación

Recuperar RC. IM Mejoras
RC.CO Comunicaciones

Los Niveles de Implementación de NIST proporcionan un mecanismo para que las organizaciones

puedan ver y comprender las características de su enfoque para gestionar el riesgo de seguridad
cibernética, lo que ayudará a priorizar y alcanzar los objetivos de la seguridad cibernética. El marco
considera 4 niveles desde el más débil hasta el más robusto: Parcial, Riesgo informado, Repetible
y Adaptativo.
 El nivel es determinado con base en 3 atributos (Proceso de gestión de riesgos, integración de la
gestión de riesgos, y Participación externa) y las características de cada uno ellos que se aprecian
en la siguiente imagen:

Parcial Informado Repetible Adaptativo

No formalizado Procesos aprobados pero
Ad-hoc podrían no ser establecidos
Reactivo como políticas de toda la
organización
Actividades de ciberseguridad
basadas en objetivos de riesgo
Procesos aprobados y se
expresan como políticas
Actividades de ciberseguridad
se actualizan regularmente con
base en cambios en el perfil de
riesgo
Mejor continua que incluye
lecciones aprendidas e
indicadores predictivos.
La organización continuamente
se adapta a un panorama
cambiante de amenazas y
tecnologías y responde de
manera eficaz

Por último, el Perfil representa los resultados que se basan en las necesidades empresariales que
una organización ha seleccionado de las categorías y subcategorías del Marco. El Perfil se puede
caracterizar como la alineación de estándares, directrices y prácticas con el Núcleo del Marco en
un escenario de implementación particular.

De forma más coloquial se puede decir que el Pefil es una “foto” en el tiempo que muestra el
estado actual (o el nivel de estado deseado) de ciberseguridad en una organización o unidad de
negocio. La diferencia entre el perfil del estado actual y el perfil de estado deseado permitirá
construir una hoja de ruta priorizada para la implementación.

SO 27001 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

¿Por qué ISO 27001?  Porque para el fin de preservar la información, se ha demostrado que no es
suficiente la implantación de controles y procedimientos de seguridad realizados frecuentemente
sin un criterio común establecido, en torno a la compra de productos técnicos y sin  considerar
toda la información esencial que se debe proteger.
La Organización Internacional de Estandarización (ISO), a través de las normas recogidas en  ISO /
IEC 27000, establece una implementación efectiva de la seguridad de la información empresarial
desarrolladas en las normas ISO 27001 / ISO 27002.
Los requisitos de la Norma ISO 27001 norma nos aportan un Sistema de Gestión de la Seguridad
de la Información (SGSI), consistente en medidas orientadas a proteger la información,
indistintamente del formato de la misma, contra cualquier amenaza, de forma que garanticemos
en todo momento la continuidad de las actividades de la empresa.
 1.- Identificar los Activos de Información y sus responsables, entendiendo por activo todo
aquello que tiene valor para la organización, incluyendo soportes físicos (edificios o
equipamientos), intelectuales o informativas (Ideas, aplicaciones, proyectos ...) así como la
marca, la reputación etc.
 2.- Identificar las Vulnerabilidades de cada activo: aquellas debilidades propias del activo
que lo hacen susceptible de sufrir ataques o daños.
 3.- Identificar las amenazas: Aquellas cosas que puedan suceder y dañar el activo de la
información, tales como desastres naturales, incendios o ataques de virus, espionaje etc.
 4.- Identificar los requisitos legales y contractuales que la organización está obligada a
cumplir con sus clientes, socios o proveedores.
 5.- Identificar los riesgos: Definir para cada activo, la probabilidad de que las amenazas o
las vulnerabilidades propias del activo puedan causar un daño total o parcial al activo de la
información, en relación a su disponibilidad, confidencialidad e integridad del mismo.
 6.- Cálculo del riesgo: Este se realiza a partir de la probabilidad de ocurrencia del riesgo y
el impacto que este tiene sobre la organización (Riesgo = impacto x probabilidad de la
amenaza). Con este procedimiento determinamos los riesgos que deben ser controlados
con prioridad.
 7.- Plan de tratamiento del riesgo: En este punto estamos preparados para definir la
política de tratamiento de los riesgos en función de los puntos anteriores y de la política
 definida por la dirección. En este punto, es donde seleccionaremos los controles
adecuados para cada riesgo, los cuales irán orientados a :
  Asumir el riesgo

  Reducir el riesgo
  Eliminar el riesgo
  Transferir el riesgo
BENEFICIOS DE LA NORMA ISO 27001
Los riesgos de seguridad de la información representan una amenaza considerable para las
empresas debido a la posibilidad de pérdida financiera o daño, la pérdida de los servicios
esenciales de red, o de la reputación y confianza de los clientes.

La gestión de riesgos es uno de los elementos clave en la prevención del fraude online, robo de
identidad, daños a los sitios Web, la pérdida de los datos personales y muchos otros incidentes de
seguridad de la información. Sin un marco de gestión de riesgos sólida, las organizaciones se
exponen a muchos tipos de amenazas informáticas.
La nueva norma internacional ISO / IEC 27001 - seguridad de la información, ayudará a las
organizaciones de todo tipo para mejorar la gestión de sus riesgos de seguridad de la información.
Hoy en día, seguridad de la información está constantemente en las noticias con el robo de
identidad, las infracciones en las empresas los registros financieros y las amenazas de terrorismo
cibernético. Un sistema de gestión de seguridad de la información (SGSI) es un enfoque
sistemático para la gestión de la información confidencial de la empresa para que siga siendo
seguro. Abarca las personas, procesos y sistemas de TI.
El diseño y la implementación de un SGSI (ISO / IEC 27001:2005) dará confianza a clientes y
proveedores que la seguridad de la información se toma en serio dentro de la organización,
estando a la vanguardia en la aplicación de la técnica de procesos para hacer frente a las amenazas
de la información y a y los problemas de la seguridad.
¿ISO 27001 ES ALGO MÁS QUE SEGURIDAD INFORMÁTICA?
¿QUÉ ENTENDEMOS POR INFORMACIÓN EN ISO 27001?
Sin duda, gran parte de la Información de una empresa se encuentra en los sistemas informáticos,
sin embargo, la Norma ISO 27001 define la información como:
La información es un activo que, como otros activos importantes del negocio, tiene valor para la
organización y requiere en consecuencia una protección adecuada ...
... a información adopta diversas formas. Puede estar impresa o escrita en papel, almacenada
electrónicamente, transmitida por correo o por medios electrónicos, mostrada en video o
hablada en conversación. Debería protegerse adecuadamente cualquiera que sea la forma que
tome o los medios por los que se comparta o almacene.
Atendiendo a este concepto, ISO 27001 propone un marco de gestión de la seguridad de toda la
información de la empresa, incluso si es información perteneciente al propio conocimiento y
experiencia de las personas o sea tratada en reuniones etc. En este sentido las propias personas
pueden ser tratadas en el SGSI como activos de información si así se cree conveniente.

Por tanto, no debemos centrar la atención solamente en los sistemas informáticos por mucho que
tengan hoy en día una importancia más que relevante en el tratamiento de la información ya que
de otra forma, podríamos dejar sin proteger información que puede ser esencial para la actividad
de la empresa.
 Liderazgo en ISO 27001
6. PLANIFICACIÓN

Una vez identificadas las necesidades y expectativas de las partes interesadas tal como nos indica
el punto 4 del contexto de la organización, deberemos establecer un plan definir los riesgos que
debemos tratar y las actividades a realizar para mitigar o evitar dichos riesgos

Para ello deberemos

 0.- Identificar las necesidades y expectativas de las partes interesadas

 1.- Análisis de riesgos y oportunidades
o Definir metodología de análisis de riesgos
o Identificar activos de información
o Análisis de riesgos ( Identificación de amenazas y vulnerabilidades de la seguridad
de la información)
 2.- Evaluación de riesgos (análisis de impacto o cálculo del riesgo)
 3.- Plan de tratamiento de riesgos
o Criterios de asignación y tratamiento de riesgos
o Selección de controles
o Declaración de aplicabilidad (controles necesarios y no aplicables)
o Plan de Gestión de Riesgos