ActividadTERMINADA

UNIVERSIDAD DE CARTAGENA
Fundada en 1827
PROGRAMAS DE EDUCACIÓN SUPERIOR ABIERTA Y A DISTANCIA
ACTIVIDAD No.2
ASIGNATURA LEGISLACIÓN INFORMÁTICA
FACULTAD DE INGENIERÍA
PROGRAMA DE INGENIERÍA DE SOFTWARE
CENTRO TUTORIAL LORICA
IX SEMESTRE
Apreciado Estudiante la Actividad No.2 Consiste en las Siguientes Preguntas teniendo en

cuenta la Base Legal de la Legislación Informática en Colombia, identifique, defina e
interprete las siguientes normativas vigentes:
 Ley Estatutaria 15 81 de 2012 y Reglamentada Parcialmente por el Decreto
Nacional 1377 De 2013.
 Decreto 2693 de 2012.
 Decreto 2578 de 2012:
 Decreto 2609 de 2012:
 Ley 1437 de 2011:
 Ley 1273 DE 2009:
 Ley 1341 DE 2009:
 Ley 1150 DE 2007:
 BS 7799-3:2006:
 NTC 27001:2006:
 ISO 27002:2005:
 ISO/IEC 27001:2005:
 Ley 962 DE 2005:
 Modelo Estándar de Control Interno MECI 1000:2005:
 NTCGP1000:2004:
 ISO/IEC TR 18044:2004:
 Ley 599 DE 2000:
La Actividad deben Realizarla individualmente, Utilizar las Normas APA. En tutoría

sincrónica se estará deben sustentar cada una de las normativas, agradezco el cumplimiento
de la Actividad y desarrollo de esta.
TUTOR:
EUGUENIS ALFONSO YANEZ SEGURA
¡Siempre a la altura de los tiempos!

Dirección: Campus Zaragocilla área de la Salud; Teléfonos: 6697395 – 6698359; Fax: 6697146
Cartagena D.T y C - Bolívar
Fundada en 1827
SOLUCIÓN
Ley Estatutaria 15 81 de 2012
Los principios y disposiciones de la ley serán aplicables a los datos personales registrados
en cualquier base de datos que los haga susceptibles de tratamiento en territorio colombiano
por entidades de naturaleza pública o privada o cuando al Responsable del Tratamiento o
Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la
legislación colombiana en virtud de normas y tratados internacionales.
A los datos personales contenidos en bases de datos o archivos mantenidos en un ámbito

exclusivamente personal o doméstico. No obstante, cuando estas bases de datos o archivos
vayan a ser suministrados a terceros se deberá, de manera previa, informar al titular y
solicitar su autorización. En este caso, los Responsables y Encargados de las bases de datos
y archivos quedarán sujetos a las disposiciones contenidas en la presente ley.
• A los datos personales contenidos en bases de datos y archivos que tengan por
finalidad la seguridad y defensa nacional, así como la prevención, detección,
monitoreo y control del lavado de activos y el financiamiento del terrorismo.
• A los datos personales contenidos en bases de datos que tengan como fin y
contengan información de inteligencia y contra inteligencia.
• A los datos personales contenidos en bases de datos y archivos de información
periodística y otros contenidos editoriales.
• A los datos personales contenidos en bases de datos y archivos regulados por la Ley
1266 de 2008.
• A los datos personales contenidos en bases de datos y archivos regulados por la Ley
79 de 1993.
Decreto 2693 de 2012.
Establece los lineamientos generales de la Estrategia de Gobierno en Línea con el objetivo

de brindar servicios más eficientes, transparentes y participativos por parte de las entidades
que conforman la administración pública y por los particulares que cumplen funciones

Fundada en 1827
administrativas, determinando los principios y fundamentos a través de los cuáles se

desarrollará el programa que estará liderado por el Ministerio de Tecnologías de la
Información y las Comunicaciones en coordinación con el Departamento Administrativo de
la Función Pública y de Planeación dando prioridad a: la provisión de trámites por
múltiples canales y el uso de tecnologías de información en los procedimientos
administrativos publicando la información en el Sistema Único de Información de Trámites
-SUIT- , a la interoperabilidad , cadenas de trámites y ventanillas únicas virtuales, a mitigar
el impacto ambiental mediante el uso eficiente de las tecnologías y a permitir el acceso a
los datos; define cuáles son los componentes y los niveles de madurez que constituyen el
modelo de Gobierno en Línea así como los tiempos y plazos en que se deben tener
cubiertas e implementadas las acciones, sin embargo en aras de garantizar un cumplimiento
se elaborará un Manual que contenga todos los lineamientos del programa Gobierno en
Línea.
Decreto 2578 de 2012.
Reglamenta el Sistema Nacional de Archivos; las entidades académicas y/o privadas que
administren archivos históricos serán responsables de la conservación de su patrimonio
documental, de su organización y consulta, además no podrán ser sujetos de transferencias
provenientes de entidades públicas.
Le corresponde al Archivo General establecer y reglamentar el Sistema Integral Nacional

de Archivos Electrónicos -Sinae- como un programa especial de coordinación de la política
nacional de archivos electrónicos del estado Colombiano que además se integrará a otros
sistemas Nacionales acordes a su naturaleza.
Decreto 2609 de 2012

Reglamenta el título V de la Ley 594 de 2000, por medio de la cual se dicta la Ley General
de Archivos y parcialmente los artículos 58 y 59 de la Ley 1437 de 2011, todas las
entidades del estado deben formular un programa de gestión documental (PGD) como parte
del plan estratégico y del plan de acción anual, el cual debe ser publicado en la página web
de la entidad, teniendo en cuenta el deber de protección de la información y los datos
personales, lineamientos que serán establecidos entre el Archivo General de la Nación, el
Ministerio de Tecnologías de la Información y las Comunicaciones y la Superintendencia
de Industria y Comercio.

Fundada en 1827
Ley 1437 de 2011
Compilatorio del Código de Procedimiento Administrativo y de lo Contencioso

Administrativo.
Por la cual se expide el Código de Procedimiento Administrativo y de lo Contencioso

Administrativo. Determina las diferentes clases de procedimientos y trámites
administrativos, principios, campo de aplicación, derecho de petición, silencio
administrativo, vía gubernativa, recursos, términos y aplicación de medios electrónicos en
los actos y actuaciones administrativas. Señala los Derechos y deberes de las personas en su
relación con las autoridades y los impedimentos, prohibiciones, conflictos de intereses y
recusaciones de los Servidores Públicos. Estructura la organización y define las funciones y
competencias de la Jurisdicción Administrativa. Establece los Medios de Control y
procedimientos para el ejercicio y control jurisdiccional de los actos y actuaciones
administrativas, las controversias contractuales y lo referente a la declaratoria de la
responsabilidad patrimonial del Estado. Determina los Impedimentos y Recusaciones de los
Jueces, Magistrados y Agentes del Ministerio Público. Establece el Sistema Procesal Mixto
por Audiencias (escrito y verbal) y regula temas relativos a la Demanda, Sujetos
Procesales, Medidas cautelares, Pruebas, Alegatos, poderes del Juez, Sentencia y recursos
ordinarios y extraordinarios ante la jurisdicción contenciosa.
La Ley 1273 de 2009
Creó nuevos tipos penales relacionados con delitos informáticos y la protección de la

información y de los datos con penas de prisión de hasta 120 meses y multas de hasta 1500
salarios mínimos legales mensuales vigentes
• Artículo 269A: Acceso abusivo a un sistema informático. El que, sin autorización o

por fuera de lo acordado, acceda en todo o en parte a un sistema informático
protegido o no con una medida de seguridad, o se mantenga dentro del mismo en
contra de la voluntad de quien tenga el legítimo derecho a excluirlo.
• Artículo 269B: Obstaculización ilegítima de sistema informático o red de

telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el

Fundada en 1827
funcionamiento o el acceso normal a un sistema informático, a los datos

informáticos allí contenidos, o a una red de telecomunicaciones.
• Artículo 269C: Interceptación de datos informáticos. El que, sin orden judicial

previa intercepte datos informáticos en su origen, destino o en el interior de un
sistema informático, o las emisiones electromagnéticas provenientes de un sistema
informático que los transporte.
• Artículo 269D: Daño Informático. El que, sin estar facultado para ello, destruya,
dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de
tratamiento de información o sus partes o componentes lógicos.
• Artículo 269E: Uso de software malicioso. El que, sin estar facultado para ello,
produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del
territorio nacional software malicioso u otros programas de computación de efectos
dañinos.
• Artículo 269F: Violación de datos personales. El que, sin estar facultado para ello,
con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda,
intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos
personales, datos personales contenidos en ficheros, archivos, bases de datos o
medios semejantes.
• Artículo 269G: Suplantación de sitios web para capturar datos personales. El que
con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda,
ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes.
En la misma sanción incurrirá el que modifique el sistema de resolución de nombres
de dominio, de tal manera que haga entrar al usuario a una IP diferente en la
creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre
que la conducta no constituya delito sancionado con pena más grave.
La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la
mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito.
• Artículo 269H: Circunstancias de agravación punitiva: Las penas imponibles de

acuerdo con los artículos descritos en este título, se aumentarán de la mitad a las tres
cuartas partes si la conducta se cometiere:

Fundada en 1827
1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o

del sector financiero, nacionales o extranjeros. 2. Por servidor público en ejercicio
de sus funciones. 3. Aprovechando la confianza depositada por el poseedor de la
información o por quien tuviere un vínculo contractual con este. 4. Revelando o
dando a conocer el contenido de la información en perjuicio de otro. 5. Obteniendo
provecho para sí o para un tercero. 6. Con fines terroristas o generando riesgo para
la seguridad o defensa nacional. 7. Utilizando como instrumento a un tercero de
buena fe. 8. Si quien incurre en estas conductas es el responsable de la
administración, manejo o control de dicha información, además se le impondrá
hasta por tres años, la pena de inhabilitación para el ejercicio de profesión
relacionada con sistemas de información procesada con equipos computacionales.
• Artículo 269I: Hurto por medios informáticos y semejantes. El que, superando

medidas de seguridad informáticas, realice la conducta señalada en el artículo 239
manipulando un sistema informático, una red de sistema electrónico, telemático u
otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación
y de autorización establecidos.
• Artículo 269J: Transferencia no consentida de activos. El que, con ánimo de lucro y

valiéndose de alguna manipulación informática o artificio semejante, consiga la
transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre
que la conducta no constituya delito sancionado con pena más grave.
Ley 1341 de 2009
Por la cual se definen Principios y conceptos sobre la sociedad de la información y la
organización de las Tecnologías de la Información y las Comunicaciones -TIC-, se crea la
Agencia Nacional del Espectro y se dictan otras disposiciones.
Marco general del Sector TIC y establecimiento del régimen de
habilitación general para la provisión de redes y servicios de
telecomunicaciones.
Principales ojetivos
• Régimen de competencia
• Protección de los derechos de los usuarios.
• Prestación del servicio de Provisión

Fundada en 1827
• Potestades del Estado en la prestación eficiente del Servicio, y administración de

recursos escasos
Prioridad al acceso y uso de las Tecnologías de la Información y las Comunicaciones. El

Estado y en general todos los agentes del sector de las Tecnologías de la Información y las
Comunicaciones deberán colaborar, dentro del marco de sus obligaciones, para priorizar el
acceso y uso a las Tecnologías de la Información y las Comunicaciones en la producción de
bienes y servicios, en condiciones no discriminatorias en la conectividad, la educación, los
contenidos y la competitividad.
Promoción de la Inversión. Todos los proveedores de redes y servicios de
telecomunicaciones tendrán igualdad de oportunidades para acceder al uso del espectro y
contribuirán al Fondo de Tecnologías de la Información y las Comunicaciones.
El derecho a la comunicación, la información y la educación y los servicios básicos de las
TIC. En desarrollo de los artículos 20 y 67 de la Constitución Nacional el Estado propiciará
a todo colombiano el derecho al acceso a las tecnologías de la información y las
comunicaciones básicas, que permitan el
ejercicio pleno de los siguientes derechos: La libertad de expresión y de difundir su
pensamiento y opiniones, la de informar y recibir información veraz e imparcial, la
educación y el acceso al conocimiento, a la ciencia, a la técnica, y a los demás bienes y
valores de la cultura. Adicionalmente el Estado establecerá programas para que la
población de los estratos desarrollará programas para que la población de los estratos
menos favorecidos y la población rural tengan acceso y uso a las plataformas de
comunicación, en especial de Internet y contenidos informáticos y de educación integral.
Esta ley se interpretará en la forma que mejor garantice el desarrollo de los principios
orientadores establecidos en la misma, con énfasis en la promoción y garantía de libre
y leal competencia y la protección de los derechos de los usuarios.
Ley 1150 DE 2007
Introduce modificaciones a la Ley 80 de 1993, y dicta disposiciones generales aplicables a

toda contratación con recursos públicos.

Fundada en 1827
Reglamenta parcialmente la ley 1150 de 2007 sobre las modalidades de selección,

publicidad y selección objetiva, en los procesos de contratación pública. Indica que las
entidades escogerán a los contratistas a través de las modalidades de selección: (i) licitación
pública, (ii) selección abreviada, (iii) concurso de méritos y, (iv) contratación directa.
Desarrolla la modalidad de selección de la licitación pública, en cuanto a la presentación de
la oferta de manera dinámica mediante subasta inversa, y señala como se desarrollará la
audiencia de adjudicación.
BS 7799-3:2006
Proporciona una guia para soportar los requisitos establecidos por ISO/IEC 27001:2005
con respecto a todos los aspectos que debe cubrir el ciclo de análisis y gestión del riesgo en
la construcción de un sistema de gestión de la seguridad de la información (SGSI).
Estas tareas incluyen la identificación y evaluación del riesgo, implementar controles para
reducirlos, monitorización y revisión de los riesgos, y mantenimiento y mejora continua del
sistema basado en el control del riesgo.
La nueva norma 7799-3:2006 proporciona esta guía y cubre aspectos como:
- Análisis del riesgo
- Gestión del riesgo
- Toma de decisiones
- Revisión del análisis y gestión del riesgo.
- Monitorización del perfil de riesgo
- Gestión del riesgo en el contexto de la gestión corporativa
- Cumplimiento con otros estandares y regulaciones basados en riesgo.
Proporciona una guia para soportar los requisitos establecidos con respecto a todos los
aspectos que debe cubrir el ciclo de análisis y gestión del riesgo en la construcción de un
sistema de gestión de la seguridad de la información.
En la seguridad de la información esta basada en la tecnología y debemos de saber que
puede ser confidencial: la información es centralizada y puede tener un alto valor.

Fundada en 1827
La información puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto
afecta su disponibilidad y la pone en riesgo.
La información es poder y se clasifica en:
• Crítica: Es indispensable para la operación de la empresa.

• Valiosa: Es un activo de la empresa y muy valioso.
• Sensible: Debe de ser conocida por las personas autorizadas
Seguridad de la información
Estándar ISO 17799
Existen dos palabras muy importantes que son riesgo y seguridad:
Riesgo: Es la materialización de vulnerabilidades identificadas, asociadas con su

probabilidad de ocurrencia, amenazas expuestas, así como el impacto negativo que
ocasione a las operaciones de negocio.
La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad,

comunicación, identificación de problemas, análisis de riesgos, la integridad,
confidencialidad, recuperación de los riesgos
Este estándar internacional de alto nivel para la administración de la seguridad de la

información, fue publicado por la ISO (International Organization for Standardization) en
diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen
las organizaciones.
Seguridad Información
El ISO 17799, al definirse como una guía en la implementación del sistema de

administración de la seguridad de la información, se orienta a preservar los siguientes
principios de la seguridad informática:
Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la

información.
Integridad. Garantizar que la información no será alterada, eliminada o destruida por
entidades no autorizadas.

Fundada en 1827
Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información

cuando la requieran.La seguridad de la información es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los sistemas tecnológicos que permitan resguardar y
proteger la información buscando mantener la confidencialidad, la disponibilidad e
integridad de la misma.
NTC 27001:2006
Esta norma ha sido elaborada para brindar un modelo para el establecimiento,
implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema
de gestión de la seguridad de la información (SGSI). La adopción de un SGSI debería ser
una decisión estratégica para una organización. El diseño e implementación del SGSI de
una organización están influenciados por las necesidades y objetivos, los requisitos de
seguridad, los procesos empleados y el tamaño y estructura de la organización. Se espera
que estos aspectos y sus sistemas de apoyo cambien con el tiempo. Se espera que la
implementación de un SGSI se ajuste de acuerdo con las necesidades de la organización,
por ejemplo, una situación simple requiere una solución de SGSI simple.
Esta norma promueve la adopción de un enfoque basado en procesos, para establecer,

implementar, operar, hacer seguimiento, mantener y mejorar el SGSI de una organización.
Para funcionar eficazmente, una organización debe identificar y gestionar muchas
actividades. Se puede considerar como un proceso cualquier actividad que use recursos y
cuya gestión permita la transformación de entradas en salidas. Con frecuencia, el resultado
de un proceso constituye directamente la entrada del proceso siguiente. La aplicación de un
sistema de procesos dentro de una organización, junto con la identificación e interacciones
entre estos procesos, y su gestión, se puede denominar como un “enfoque basado en
procesos”.
El enfoque basado en procesos para la gestión de la seguridad de la información,
presentado en esta norma, estimula a sus usuarios a hacer énfasis en la importancia de:
• Comprender los requisitos de seguridad de la información del negocio, y
lanecesidad de establecer la política y objetivos en relación con la seguridad de
lainformación;
• Implementar y operar controles para manejar los riesgos de seguridad de la
información de una organización en el contexto de los riesgos globales del negocio
de la organización;
• El seguimiento y revisión del desempeño y eficacia del SGSI, y
• La mejora continua basada en la medición de objetivos.
ISO 27002:2005

Fundada en 1827
ISO/IEC 27002:2005 establece directrices y principios generales para iniciar, implementar,

mantener y mejorar la gestión de la seguridad de la información en una organización. Los
objetivos descritos proporcionan una guía general sobre las metas comúnmente aceptadas
de la gestión de la seguridad de la información. ISO/IEC 27002:2005 contiene las mejores
prácticas de control de objetivos y controles en las siguientes áreas de gestión de la
seguridad de la información:
politica de seguridad;
organización de la seguridad de la información;
gestión de activos;
seguridad de los recursos humanos;
seguridad física y ambiental;
gestión de comunicaciones y operaciones;
control de acceso;
adquisición, desarrollo y mantenimiento de sistemas de información;
gestión de incidentes de seguridad de la información;
gestión de la continuidad del negocio;
cumplimiento.
Los objetivos de control y los controles en ISO/IEC 27002:2005 están destinados a ser
implementados para cumplir con los requisitos identificados por una evaluación de riesgos.
ISO/IEC 27002:2005 pretende ser una base común y una guía práctica para desarrollar
estándares de seguridad organizacionales y prácticas efectivas de gestión de la seguridad, y
para ayudar a generar confianza en las actividades entre organizaciones.
ISO/IEC 27001:2005
Cubre todos los tipos de organizaciones (por ejemplo, empresas comerciales, agencias
gubernamentales, organizaciones sin fines de lucro). ISO/IEC 27001:2005 especifica los
requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestión de Seguridad de la Información documentado dentro del contexto de los
riesgos comerciales generales de la organización. Especifica requisitos para la
implementación de controles de seguridad adaptados a las necesidades de organizaciones
individuales o partes de ellas.

Fundada en 1827
ISO/IEC 27001:2005 está diseñado para garantizar la selección de controles de seguridad

adecuados y proporcionados que protejan los activos de información y den confianza a las
partes interesadas.
ISO/IEC 27001:2005 está destinado a ser adecuado para varios tipos diferentes de uso,
incluidos los siguientes:
uso dentro de las organizaciones para formular requisitos y objetivos de seguridad;

usar dentro de las organizaciones como una forma de garantizar que los riesgos de
seguridad se gestionen de manera rentable;
uso dentro de las organizaciones para garantizar el cumplimiento de las leyes y
reglamentos;
uso dentro de una organización como un marco de proceso para la implementación y
gestión de controles para garantizar que se cumplan los objetivos de seguridad específicos
de una organización;
definición de nuevos procesos de gestión de la seguridad de la información;
identificación y aclaración de los procesos de gestión de seguridad de la información
existentes;
uso por parte de la dirección de las organizaciones para determinar el estado de las
actividades de gestión de la seguridad de la información;
uso por parte de los auditores internos y externos de las organizaciones para determinar el
grado de cumplimiento de las políticas, directivas y normas adoptadas por una
organización;
uso por parte de organizaciones para proporcionar información relevante sobre políticas,
directivas, estándares y procedimientos de seguridad de la información a socios comerciales
y otras organizaciones con las que interactúan por motivos operativos o comerciales;
implementación de seguridad de la información que permite negocios;
utilizado por las organizaciones para proporcionar información relevante sobre la seguridad
de la información a los clientes.
La ISO 27001:2013 es la norma internacional que proporciona un marco de trabajo para

los sistemas de gestión de seguridad de la información (SGSI) con el fin de proporcionar
confidencialidad, integridad y disponibilidad continuada de la información, así como
cumplimiento legal. La certificación ISO 27001 es esencial para proteger sus activos más
importantes, la información de sus clientes y empleados, la imagen corporativa y otra
información privada. La norma ISO inlcuye un enfoque basado en procesos para lanzar,
implantar, operar y mantener un SGSI.

Fundada en 1827
La implantación de la ISO 27001 es la respuesta ideal a los requisitos legislativos y de los

clientes, incluyendo el RGPD y otras amenazas potenciales, incluyendo: Crimen
cibernético, violación de los datos personales, vandalismo / terrorismo, fuego / daños, uso
malintencionado, robo y ataque de virus.
La norma ISO 27001 se estructura para ser compatible con otras normas de sistemas de
gestión, como la ISO 9001 y es neutral respecto a tecnología y preveedores, lo que significa
que es completamente independiente de la plataforma de IT. Por ello, todos los miembros
de la organización deben ser educados sobre el significado de la norma y cómo se aplica en
la organización.
Conseguir la certificación ISO 27001 acreditada demuestra que su empresa está

comprometida con seguir las mejores prácticas de seguridad de la información.
Adicionalmente, la certificación ISO 27001 proporciona ina evaluación experte de si la
información de su empresa está adecuadamente protegida. Siga leyendo para conocer más
benfecios de la certificación ISO 27001.
Ley 962 DE 2005
Esta Ley es una iniciativa gubernamental que establece las directrices fundamentales de la
política de racionalización de trámites, que guían las actuaciones de la Administración
Pública en las relaciones del ciudadano-empresario con el Estado en sus diferentes niveles,
para el ejercicio de actividades, derechos o cumplimiento de obligaciones.
Este instrumento jurídico se fundamenta en la construcción de una gestión pública moderna

y transparente, mediante el fortalecimiento tecnológico, permiten al ciudadano acceder a
los servicios públicos de forma ágil y efectiva, genera ahorros en costos y tiempo, evita
exigencias injustificadas a los colombianos. Todo requisito, para que sea exigible al
administrado, deberá encontrarse inscrito en el Sistema Único de Información de Trámites,
SUIT, que opera a través del Portal del Estado Colombiano,
Prohíbe a las autoridades públicas establecer trámites, requisitos y permisos para el

ejercicio de actividades, derechos o cumplimiento de obligaciones, salvo que se encuentren
expresamente autorizados por la Ley. Así mismo, prohíbe solicitar la presentación de
documentos de competencia de otras autoridades.
Esta ley pretende:

Fundada en 1827
• Mejorar la calidad de vida del ciudadano en sus relaciones con la

Administración Pública (menos filas, mayor agilidad, menos costos, mayor
efectividad y menos trámites).
• Contar con un Estado eficiente, eficaz y transparente (mayor agilidad en
los procedimientos y mayor coordinación interinstitucional). Para tal efecto y
atendiendo el principio de colaboración, las entidades están obligadas a
realizar alianzas con el objetivo de intercambiar información y no trasladar al
usuario esta carga operativa.
Modelo Estándar de Control Interno MECI 1000:2005
El Modelo Estándar de Control Interno para el Estado Colombiano -MECI-1000:2005

tiene como fundamento y soporte el anexo técnico que es parte integrante del decreto
número 1599 de mayo 20 de 2005,
El Modelo Estándar de Control Interno para el Estado Colombiano -MECI-1000:2005, en

su estructura general se encuentra compuesto por tres (3) subsistemas, nueve (9)
componentes y veintinueve (29) elementos de control, y cada uno de ellos contiene unas
características singulares e indispensables para el funcionamiento del sistema como un
todo.
El Modelo Estándar de Control Interno para el Estado Colombiano -MECI-1000:2005, se

constituye en una herramienta gerencial de gestión, que permite al gobernante o gerente
público, establecer las acciones, las políticas, los métodos, los procedimientos y
mecanismos de prevención, control, evaluación y de mejoramiento continuo para alcanzar
los fines esenciales del Estado consagrados en el artículo 2º de la Constitución Política de
Colombia que claramente anota:
Son fines esenciales del Estado: servir a la comunidad, promover la prosperidad general y
garantizar la efectividad de los principios, derechos y deberes consagrados en la
Constitución; facilitar la participación de todos en las decisiones que los afectan y en la
vida económica, política, administrativa y cultural de la nación; defender la independencia
nacional, mantener la integridad territorial y asegurar la convivencia pacífica y la vigencia
de un orden justo (...).
Inicialmente se asigna un plazo no superior a veinticuatro (24) meses, contados a partir de

la fecha de publicación (23 de mayo de 2005) en el Diario Oficial del decreto número 1599

Fundada en 1827
de mayo 20 de 2005; luego mediante el decreto número 2621 de fecha 3 de agosto de 2006,
se amplió en veinte (20) meses, contados a partir de la vigencia de la norma, el término
para la implementación del Modelo Estándar de Control Interno, medida ésta justificada en
la necesidad de ajustar a mediano plazo los análisis de los procesos institucionales como
soporte para la correcta implementación; queda entonces como fecha límite o plazo
máximo, el 3 de abril de 2008.
NTCGP1000:2004.
La NTC GP 1000, por su siglas Norma Técnica de Calidad de la Gestión Pública, es la

norma que especifica los requisitos para la implementación de un Sistema de Gestión de
Calidad aplicable a todas las entidades públicas. El propósito fundamental de esta norma se
centra en promover que las entidades mejoren la calidad y el desempeño de los servicios y
productos ofrecidos a la ciudadanía. Es una herramienta de gestión que permite dirigir y
evaluar el desempeño institucional en términos de calidad y satisfacción social.
En el sentido normativo, de acuerdo a los establecido en el artículo 6 de la Ley 872 de

2003, la NTC GP 1000 emplea como base las normas internacionales ISO 9000:2005 y la
ISO 9001:2008 sobre la gestión de calidad, sin embargo, en términos generales, la norma
también integra requisitos y conceptos adicionales a los del estándar ISO.
Es importante tener en cuenta que la NTC GP 1000 pasó a ser parte del Modelo Integrado
de Planeación y Gestión – MIPG con el decreto 1499 de 2017, por ello a futuro se deben
tener en cuenta los lineamientos que presenta el MIPG.
ENFOQUE BASADO EN PROCESOS
La orientación de la NTC GP 1000 promueve la adaptación de un enfoque basado en

procesos ¿En qué consiste un enfoque basado en procesos? En determinar y gestionar una
serie de actividades relacionadas entre sí. La ventaja de adoptar este tipo de enfoque es que
permite tener un control continuo sobre los procesos individuales de la entidad y el modo
en que estos forman parte de la organización cómo un todo. Este tipo de enfoque permite
entender el funcionamiento de una entidad como un engranaje por lo que promueve la
mejora continua.

Fundada en 1827
La implementación de un enfoque basado en procesos dentro de un Sistema de Gestión de

la Calidad se centra en la importancia de los siguientes aspectos:
La comprensión y el cumplimiento de los requisitos

La necesidad de considerar los procesos en términos del valor que generan
La obtención de resultados del desempeño y la eficacia del proceso
La mejora continua de procesos con base en mediciones objetivas
ISO/IEC TR 18044:2004
Brinda asesoramiento y orientación sobre la gestión de incidentes de seguridad de la
información para gerentes de seguridad de la información y gerentes de sistemas de
información.
ISO/IEC TR 18044:2004 proporciona
Información sobre los beneficios que se obtendrán y las cuestiones clave asociadas con un
buen enfoque de gestión de incidentes de seguridad de la información (para convencer a la
alta dirección corporativa y al personal que informará y recibirá retroalimentación de un
esquema de que se debe introducir y utilizar el esquema);
Información sobre ejemplos de incidentes de seguridad de la información y una idea de sus

posibles causas;
• una descripción de la planificación y la documentación necesarias para

introducir un buen enfoque estructurado de gestión de incidentes de seguridad
de la información;
• una descripción del proceso de gestión de incidentes de seguridad de la
información*.
Las respuestas rápidas, coordinadas y efectivas a un incidente de seguridad de la
información requieren extensos preparativos técnicos y de procedimiento. Las respuestas a
incidentes de seguridad de la información pueden consistir en acciones inmediatas, a corto
y largo plazo. Cualquier acción emprendida como respuesta a un incidente debe basarse en
procedimientos y procesos de respuesta a incidentes de seguridad previamente
desarrollados, documentados y aceptados, incluidos los del análisis posterior a la respuesta.
Ley 599 de 2000

Fundada en 1827
Expide el Código Penal Colombiano. Deroga el Decreto 100 de 1984, anterior Código
Penal. Determina la entrada en vigencia del nuevo estatuto a partir del 24 de Julio de 2001.
Señala sus normas rectoras, principios y características generales del Sistema Penal
Colombiano. Libro I. Determina las conductas punibles particulares, indica los bienes
jurídicos protegidos y la clasificación de los delitos según los mismos. Libro II. Vigencia y
derogatorias, Art. 476.
Artículo 192. Violación ilícita de comunicaciones. El que ilícitamente sustraiga, oculte,

extravíe, destruya, intercepte, controle o impida una comunicación privada dirigida a otra
persona, o se entere indebidamente de su contenido, incurrirá en prisión de uno (1) a tres
(3) años, siempre que la conducta no constituya delito sancionado con pena mayor. Si el
autor de la conducta revela el contenido de la comunicación, o la emplea en provecho
propio o ajeno o con perjuicio de otro, la pena será prisión de dos (2) a cuatro (4) años.
Artículo 286. Falsedad ideológica en documento público. El servidor público que en

ejercicio de sus funciones, al extender documento público que pueda servir de prueba,
consigne una falsedad o calle total o parcialmente la verdad, incurrirá en prisión de cuatro
(4) a ocho (8) años e inhabilitación para el ejercicio de derechos y funciones públicas de
cinco (5) a diez (10) años.
Artículo 287. Falsedad material en documento público. El que falsifique documento
público que pueda servir de prueba, incurrirá en prisión de tres (3) a seis (6) años. Si la
conducta fuere realizada por un servidor público en ejercicio de sus funciones, la pena será
de cuatro (4) a ocho (8) años e inhabilitación para el ejercicio de derechos y funciones
públicas de cinco (5) a diez (10) años. Artículo 288. Obtención de documento público falso.
El que para obtener documento público que pueda servir de prueba, induzca en error a un
servidor público, en ejercicio de sus funciones, haciéndole consignar una manifestación
falsa o callar total o parcialmente la verdad, incurrirá en prisión de tres (3) a seis (6) años.
Artículo 289. Falsedad en documento privado. El que falsifique documento privado que
pueda servir de prueba, incurrirá, si lo usa, en prisión de uno (1) a seis (6) años. Artículo
291. Uso de documento falso. Modificado por el art. 54, Ley 1142 de 2007. El que sin
haber concurrido a la falsificación hiciere uso de documento público falso que pueda servir
de prueba, incurrirá en prisión de dos (2) a ocho (8) años. Artículo 292. Destrucción,
supresión u ocultamiento de documento público. El que destruya, suprima u oculte total o
parcialmente documento público que pueda servir de prueba, incurrirá en prisión de dos (2)
a ocho (8) años. Si la conducta fuere realizada por un servidor público en ejercicio de sus
funciones, se impondrá prisión de tres (3) a diez (10) años e inhabilitación para el ejercicio
de derechos y funciones públicas por el mismo término. Si se tratare de documento

Fundada en 1827
constitutivo de pieza procesal de carácter judicial, la pena se aumentará de una tercera parte
a la mitad.

Fundada en 1827


ActividadTERMINADA

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ActividadTERMINADA

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD DE CARTAGENA

Apreciado Estudiante la Actividad No.2 Consiste en las Siguientes Preguntas teniendo en

La Actividad deben Realizarla individualmente, Utilizar las Normas APA. En tutoría

¡Siempre a la altura de los tiempos!

A los datos personales contenidos en bases de datos o archivos mantenidos en un ámbito

Decreto 2693 de 2012.

Establece los lineamientos generales de la Estrategia de Gobierno en Línea con el objetivo

¡Siempre a la altura de los tiempos!

administrativas, determinando los principios y fundamentos a través de los cuáles se

Decreto 2578 de 2012.

Le corresponde al Archivo General establecer y reglamentar el Sistema Integral Nacional

Decreto 2609 de 2012

¡Siempre a la altura de los tiempos!

Ley 1437 de 2011

Compilatorio del Código de Procedimiento Administrativo y de lo Contencioso

Por la cual se expide el Código de Procedimiento Administrativo y de lo Contencioso

La Ley 1273 de 2009

Creó nuevos tipos penales relacionados con delitos informáticos y la protección de la

• Artículo 269A: Acceso abusivo a un sistema informático. El que, sin autorización o

• Artículo 269B: Obstaculización ilegítima de sistema informático o red de

¡Siempre a la altura de los tiempos!

funcionamiento o el acceso normal a un sistema informático, a los datos

• Artículo 269C: Interceptación de datos informáticos. El que, sin orden judicial

• Artículo 269H: Circunstancias de agravación punitiva: Las penas imponibles de

¡Siempre a la altura de los tiempos!

1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o

• Artículo 269I: Hurto por medios informáticos y semejantes. El que, superando

• Artículo 269J: Transferencia no consentida de activos. El que, con ánimo de lucro y

• Protección de los derechos de los usuarios.

• Prestación del servicio de Provisión

¡Siempre a la altura de los tiempos!

• Potestades del Estado en la prestación eficiente del Servicio, y administración de

Prioridad al acceso y uso de las Tecnologías de la Información y las Comunicaciones. El

Ley 1150 DE 2007

Introduce modificaciones a la Ley 80 de 1993, y dicta disposiciones generales aplicables a

¡Siempre a la altura de los tiempos!

Reglamenta parcialmente la ley 1150 de 2007 sobre las modalidades de selección,

La nueva norma 7799-3:2006 proporciona esta guía y cubre aspectos como:

- Análisis del riesgo

- Gestión del riesgo

- Revisión del análisis y gestión del riesgo.

- Monitorización del perfil de riesgo

- Gestión del riesgo en el contexto de la gestión corporativa

- Cumplimiento con otros estandares y regulaciones basados en riesgo.

¡Siempre a la altura de los tiempos!

La información es poder y se clasifica en:

• Crítica: Es indispensable para la operación de la empresa.

Estándar ISO 17799

Existen dos palabras muy importantes que son riesgo y seguridad:

Riesgo: Es la materialización de vulnerabilidades identificadas, asociadas con su

La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad,

Este estándar internacional de alto nivel para la administración de la seguridad de la

El ISO 17799, al definirse como una guía en la implementación del sistema de

Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la

¡Siempre a la altura de los tiempos!

Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información

Esta norma promueve la adopción de un enfoque basado en procesos, para establecer,

¡Siempre a la altura de los tiempos!

ISO/IEC 27002:2005 establece directrices y principios generales para iniciar, implementar,

¡Siempre a la altura de los tiempos!

ISO/IEC 27001:2005 está diseñado para garantizar la selección de controles de seguridad

uso dentro de las organizaciones para formular requisitos y objetivos de seguridad;