Módulo 1

SEGURIDAD Y GESTIÓN DE RIESGOS

 Unidad 4: Asuntos
legales y regulatorios
a. Concepto básicos de ley
b. Leyes y regulaciones nacionales relacionadas con la S.I
c. Convenio internacional de cibercriminalidad
d. Políticas y estrategias gubernamentales en temas relacionados
con la SI, y SD
e. Estrategias internaciones de ciberseguridad
Concepto básicos de ley
Conceptos legales
Acciones ilegales, delictivas, antiéticas o no autorizadas que hacen uso de
dispositivos electrónicos e internet, a fin de vulnerar, menoscabar o dañar
¿Qué es el cibercrimen? los bienes, patrimoniales o no, de terceras personas o entidades. Como
robar información y datos personales que están resguardados o
contenidos en un medio electrónico.

Delito informático

Cibercrimen
Es el uso ilegal de la tecnología, que afecta la confidencialidad, la
integridad y disponibilidad de la información y los datos que pueden
estar almacenados en los sistemas informáticos, la estructura y el
componente físico de una empresa o entidad
Fuente:
Tusabogadosycontadores. (26 enero de 2018).Acciones que son consideradas un delito informático en
Colombia. https://tusabogadosycontadores.co/blog/acciones-que-son-consideradas-un-delito-
informatico-en-colombia/
Infolaft.(10 de noviembre de 2014). Cibercrimen en Colombia: todo lo que debe saber.
https://www.infolaft.com/lo-que-debe-saber-sobre-el-cibercrimen-en-colombia/
Ejemplos de delitos informáticos
Sabotajes
Acoso contra menores o informáticos
pornografía infantil
Destruir información
Delito cometido Hurto
de bases de datos,
en contra de los equipos, soportes,
menores de Por medio
etc., para suspender
edad a través del informático
una actividad laboral
internet.

Estafa Falsificación de Infracciones a la

Documentos Propiedad
Intelectual
E-mail, llamada
telefónica o Falsificaciones Ataque informático
visita personal de cedulas, o relacionado con
exigiendo una documentos que derechos de autor
cantidad de puedan servir de (reproducción,
dinero para identificación de distribución, plagio)
evitar las personas
consecuencias

Fuente: Tusabogadosycontadores. (26 enero de 2018).Acciones que son consideradas un delito informático en Colombia. https://tusabogadosycontadores.co/blog/acciones-que-son-consideradas-un-delito-informatico-en-
colombia/
Ejemplos de delitos informáticos
Sabotajes
Acoso contra menores o informáticos
pornografía infantil
Destruir información
Hurto
de bases de datos,
equipos, soportes,
Por medio
etc., para suspender
informático
una actividad laboral

Estafa Falsificación de Infracciones a la

Documentos Propiedad
Intelectual
E-mail, llamada
telefónica o
visita personal
exigiendo una
cantidad de
dinero para https://youtu.be/0rX0Eb8ZQF8
evitar
consecuencias

Fuente: Tusabogadosycontadores. (26 enero de 2018).Acciones que son consideradas un delito informático en Colombia. https://tusabogadosycontadores.co/blog/acciones-que-son-consideradas-un-delito-informatico-en-
colombia/
Ejemplos de delitos informáticos
Sabotajes
Acoso contra menores o informáticos
pornografía infantil
Destruir información
Delito cometido Hurto
de bases de datos,
en contra de los equipos, soportes,
menores de Por medio
etc., para suspender
edad a través del informático
una actividad laboral
internet.

Estafa Falsificación de Infracciones a la

Documentos Propiedad
Intelectual
E-mail, llamada
telefónica o Falsificaciones Ataque informático
visita personal de cedulas, o relacionado con
exigiendo una documentos que https://youtu.be/9VdxbbYTO7U
derechos de autor
cantidad de puedan servir de (reproducción,
dinero para identificación de distribución, plagio)
evitar las personas
consecuencias

Fuente: Tusabogadosycontadores. (26 enero de 2018).Acciones que son consideradas un delito informático en Colombia. https://tusabogadosycontadores.co/blog/acciones-que-son-consideradas-un-delito-informatico-en-
colombia/
Ejemplos de delitos informáticos
Sabotajes
Acoso contra menores o informáticos
pornografía infantil
Destruir información
Delito cometido Hurto
de bases de datos,
en contra de los equipos, soportes,
menores de Por medio
etc., para suspender
edad a través del informático
una actividad laboral
internet.

Estafa Falsificación de Infracciones a la

Documentos Propiedad
Intelectual
E-mail, llamada
telefónica o Falsificaciones
visita personal de cedulas, o https://youtu.be/exdXF6BiiNY
exigiendo una documentos que
cantidad de puedan servir de
dinero para identificación de
evitar las personas
consecuencias

Fuente: Tusabogadosycontadores. (26 enero de 2018).Acciones que son consideradas un delito informático en Colombia. https://tusabogadosycontadores.co/blog/acciones-que-son-consideradas-un-delito-informatico-en-
colombia/
Ejemplos de delitos informáticos
Sabotajes
informáticos
Destruir información
Hurto
de bases de datos,
equipos, soportes,
Por medio
etc., para suspender
informático
una actividad laboral

Infracciones a la
Propiedad
Intelectual

Ataque informático
https://youtu.be/SYbJdbBNL3w relacionado con
derechos de autor
(reproducción,
distribución, plagio)

Fuente: Tusabogadosycontadores. (26 enero de 2018).Acciones que son consideradas un delito informático en Colombia. https://tusabogadosycontadores.co/blog/acciones-que-son-consideradas-un-delito-informatico-en-
colombia/
Ejemplos de delitos informáticos
Sabotajes
informáticos
Destruir información
de bases de datos,
equipos, soportes,
etc., para suspender
una actividad laboral

Infracciones a la
Propiedad
Intelectual

Ataque informático
relacionado con
https://youtu.be/qSJI5AftvCU derechos de autor
(reproducción,
distribución, plagio)

Fuente: Tusabogadosycontadores. (26 enero de 2018).Acciones que son consideradas un delito informático en Colombia. https://tusabogadosycontadores.co/blog/acciones-que-son-consideradas-un-delito-informatico-en-
colombia/
Ejemplos de delitos informáticos
Sabotajes
informáticos

Destruir información
de bases de datos,
equipos, soportes,
etc., para suspender
una actividad laboral

https://www.youtube.com/watch?v=NSfWhv2U4sE

Fuente: Tusabogadosycontadores. (26 enero de 2018).Acciones que son consideradas un delito informático en Colombia. https://tusabogadosycontadores.co/blog/acciones-que-son-consideradas-un-delito-informatico-en-
colombia/
 Tendencia para el 2022 –delitos informáticos
Ingeniería social
Son técnicas de engaño y manipulación Ransomware
para hacerse con los datos de los
usuarios. Es un tipo de programa dañino que
restringe el acceso a determinadas
partes o archivos del sistema
operativo infectado y pide un rescate
a cambio de quitar esta restricción.
Phishing
Estafa que tiene como objetivo obtener a
través de internet datos privados de los
usuarios, especialmente para acceder a sus
cuentas o datos bancarios Ataques de fuerza bruta

Un atacante emplea determinadas

técnicas para probar combinaciones de
Business Email Compromise BEC contraseñas con el objetivo de
descubrir las credenciales de una
Diseñado para obtener acceso a la información potencial víctima y así lograr acceso a
comercial crítica o extraer dinero a través de una
una cuenta o sistema.
estafa por correo electrónico.

Fuente: Sandra Poveda

Ejercicio 1

Identificar el delito informático

Nombre URL
Wannacry https://youtu.be/ftbQx_hsJE8
Central de hackeo https://www.youtube.com/watch?v=TZytRcjJ4FU&feature=youtu.be
Mr Robot https://youtu.be/GIlS5eJHYNI

https://docs.google.com/forms/d/e/1FAIpQLSe1YidhV_X82n61eSpfgfvowLADYONbdbW02JnSvkz7s
Gr7xw/viewform
https://youtu.be/DipRWxwroBY
Delitos informáticos-Ley 1273 de 2009
• Código penal Acceso abusivo a un sistema
Ley 599 de 2000 informático
Prisión: 48 a 96
El que, sin autorización o por
• Ley 1273 de 2009 fuera de lo acordado, acceda
meses
en todo o en parte a un
sistema informático protegido
multa: 100 a
o no con una medida de
seguridad, o se mantenga
1.000 SMLMV
dentro del mismo en contra de
la voluntad de quien tenga el
legítimo derecho a excluirlo
Artículo 269A
Prisión: 48 a 96 meses
Multa: 100 a 1.000 SMLMV
Obstaculización ilegítima de
sistema informático o red de
telecomunicación
El que, sin estar facultado
para ello, impida u su origen, destino o en el interior
obstaculice el funcionamiento
o el acceso normal a un
sistema informático, a los
datos informáticos allí
contenidos, o a una red de
telecomunicaciones
Artículo 269B
Prisión: 48 a 96 meses
Multa: 100 a 1.000 SMLMV
Interceptación de datos
informáticos
El que, sin orden judicial previa
intercepte datos informáticos en
de un sistema informático, o las
emisiones electromagnéticas
provenientes de un sistema
informático que los transporte
Artículo 269C
Prisión: 36 a 72 meses
Multa: 100 a 1.000 SMLMV
Delitos informáticos-Ley 1273 de 2009

Daño Informático Violación de datos personales Suplantación de sitios web para

capturar datos personales
El que, sin estar facultado para
ello, destruya, dañe, borre,
Prisión: 48 a 96
El que, sin estar facultado para ello,
El que con objeto ilícito y sin estar
con provecho propio o de un tercero,
deteriore, altere o suprima datos
informáticos, o un sistema de
meses
obtenga, compile, sustraiga, ofrezca, facultado para ello, diseñe,
venda, intercambie, envíe, compre, desarrolle, trafique, venda, ejecute,
tratamiento de información o sus
partes o componentes lógicos
multa: 100 a 1.000
intercepte, divulgue, modifique o programe o envíe páginas
emplee códigos personales, datos electrónicas, enlaces o ventanas
SMLMV
personales contenidos en ficheros, emergentes.
archivos, bases de datos o medios
semejantes
Artículo 269D Artículo 269F Artículo 269G

Prisión: 48 a 96 meses Prisión: 48 a 96 meses

Prisión: 48 a 96 meses Multa: 100 a 1.000 SMLMV
Multa: 100 a 1.000 SMLMV
Multa: 100 a 1.000 SMLMV
Delitos informáticos-Ley 1273 de 2009

Hurto por medios informáticos y semejantes

Transferencia no consentida de activos

El que, superando medidas de seguridad informáticas,

El que, con ánimo de lucro y valiéndose de alguna
realice la conducta señalada en el artículo 239
manipulación informática o artificio semejante,
manipulando un sistema informático, una red de
consiga la transferencia no consentida de cualquier
sistema electrónico, telemático u otro medio
activo en perjuicio de un tercero.
semejante, o suplantando a un usuario ante los
sistemas de autenticación y de autorización
establecidos.

Art. 239 Hurto: El que se apodere de una cosa mueble

ajena, con el propósito de obtener provecho para sí o
para otro.
Artículo 269J
Artículo 269I
Prisión: 48 a 120 meses
Prisión: 72 a 168 meses Multa: 200 a 1500 SMLMV
https://youtu.be/pccILuiK8mU
Acosta Argote, Cesar. (25 de enero de 2022) Conozca las sanciones por los ciberdelitos que más crecieron durante el año pasado. https://www.asuntoslegales.com.co/consumidor/conozca-las-sanciones-por-los-
ciberdelitos-que-mas-crecieron-durante-el-ano-pasado-3291291
Acosta Argote, Cesar. (3 de junio de 2021) .¿Qué castigos estipula el Código Penal para los delitos informáticos como la estafa?. https://www.asuntoslegales.com.co/actualidad/que-castigos-estipula-el-codigo-penal-para-
los-delitos-informaticos-como-la-estafa-3180022
Ejercicio 2

Identificar el delito cibernético según la Ley 1273 de 2009

CASO URL
Video DIJIN https://youtu.be/_0RTTmnkJZ4

Ana Karina Soto https://youtu.be/mv_vjHQ0ozA

Canal Capital https://youtu.be/DvwnJ7k0S4Y
Arauca https://youtu.be/lQvlpX5Xz-A

https://forms.gle/Domze83xSsXJYL5GA
 Leyes y regulaciones
nacionales relacionadas con
la S.I
Normativa nacional aplicable
Entidad Norma Cantidad
Circular 3
Presidencia de la República (25) Decreto 19
Directiva 3
Congreso de Colombia (16) Ley 16
Decreto 2
Ministerio de las Tecnologías de la Información y las comunicaciones Instructivo 1
(6) Lineamiento 1
Resolución 2
Superintendencia de Industria y Comercio Circular 3
(4) Circular externa 1
Dirección Nacional de Derechos de Autor
3
(3) Circular
Departamento Administrativo de la Función Pública (1) Manual 1
Departamento Nacional de Planeación (1) Conpes 1
Ministerio del Trabajo
1
Resolución
Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC)
1
Norma Técnica
Total 58

Fuente: Sandra Poveda

Normativa nacional aplicable

Fuente: Sandra Poveda

Ejercicio 3

Revisar el Excel adjunto y confrontar contra el normograma de su entidad

Convenio internacional
de cibercriminalidad
¿Cuál es el Convenio internacional de cibercriminalidad?

Es el convenio de Cuenta con 65 países

Permite mejorar la Prevenir, detectar,
Budapest, que es el miembros. En la
coordinación y la investigar y enjuiciar
estándar mundial región, también son
cooperación entre a la delincuencia
en la lucha contra la Parte: Argentina
los Estados organizada
ciberdelincuencia. (2018), Chile (2017),
transnacional en el
Costa Rica (2018),
ciberespacio
Panamá (2014),
Paraguay (2018) y
Perú (2019)

Fuente: Consejo de Europa. (23 de noviembre de 2001). Convenio sobre la ciberdelicuencia. https://www.oas.org/juridico/english/cyb_pry_convenio.pdf
Adopción del Convenio internacional de cibercriminalidad

2001 2018 2020

24 de Julio de 2018
23 de noviembre 16 de marzo de
de 2001 Colombia aprobó el 2020
Convenio de
El convenio de Budapest mediante Colombia depositó
Budapest fue la Ley 1928 de 2018 el instrumento de
publicado por el “Por medio de la adhesión al
Consejo de Europa cual se aprueba el Convenio de
Convenio sobre la Budapest ante el
Ciberdelincuencia, Consejo de Europa
adoptado el 23 de
noviembre de 2001,
en Budapest”.
Fuente: Cancilleria de Colombia. (17 de marzo de 2020). Colombia se adhiere al Convenio de Budapest contra la ciberdelincuencia. https://www.cancilleria.gov.co/colombia-adhiere-convenio-
budapest-ciberdelincuencia
 Expectativas de Colombia frente al Convenio de Budapest

ESTANDARES INTERNACIONALES TRANSFERENCIA DE CONOCIMIENTO

Actualizar y complementar la legislación Acceder a proyectos y programas para la
nacional a los estándares internacionales transferencia de conocimientos, apoyo
contra la ciberdelincuencia. investigativo, soporte tecnológico y
acciones conjuntas bilaterales y
multilaterales.

INTERCAMBIO DE INFORMACIÓN
Formalizar y dinamizar los canales de intercambio de
información con los países miembros del Convenio, COOPERACION JUDICIAL
para facilitar las investigaciones judiciales sobre Mejorar la cooperación judicial
hechos delictivos de carácter transnacional. internacional, avanzar en los temas de
evidencia digital, y participar en las
estrategias conjuntas en materia de
ciberdelincuencia.
Fuente: Cancilleria de Colombia. (17 de marzo de 2020). Colombia se adhiere al Convenio de Budapest contra la ciberdelincuencia. https://www.cancilleria.gov.co/colombia-adhiere-convenio-
budapest-ciberdelincuencia
https://youtu.be/xHYeSuJ7_Ss
Articulado Convenio de Budapest
Capítulo I - Terminología
Artículo 1 - Definiciones

Capítulo II - Medidas que deberán adoptarse a nivel nacional

Sección 1 - Derecho penal sustantivo
Titulo 1 - Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos.
Artículo 2 - Acceso ilícito
Artículo 3 - Interceptación ilícita
Artículo 4 - Ataques a la integridad de los datos
Artículo 5 - Ataques a la integridad del sistema
Artículo 6 - Abuso de los dispositivos

Título 2 - Delitos informáticos

Artículo 7 - Falsificación informática
Artículo 8 - Fraude informático

Titulo 3 -Delitos relacionados con el contenido

Artículo 9 - Delitos relacionados con la pornografía infantil

Titulo 4 -Delitos relacionados con infracciones de la propiedad intelectual y de los derechos afines
Artículo 10 - Delitos relacionados con infracciones de la propiedad intelectual y de los derechos afines

Fuente: Consejo de Europa. (23 de noviembre de 2001). Convenio sobre la ciberdelicuencia. https://www.oas.org/juridico/english/cyb_pry_convenio.pdf
 Articulado Convenio de Budapest
Capítulo II - Medidas que deberán adoptarse a nivel nacional

Sección 1 - Derecho penal sustantivo

Titulo 5 -Otras formas de responsabilidad y de sanción
Artículo 11 - Tentativa y complicidad
Artículo 12 - Responsabilidad de las personas jurídicas
Artículo 13 - Sanciones y medidas

Sección 2 - Derecho procesal

Titulo 1 -Disposiciones comunes
Artículo 14- Ámbito de aplicación de las disposiciones de procedimiento
Artículo 15- Condiciones y salvaguardias

Titulo 2 - Conservación rápida de datos informáticos almacenados

Artículo 16 - Conservación rápida de datos informáticos almacenados
Artículo 17 - Conservación y revelación parcial rápidas de los datos relativos al tráfico

Titulo 3 - Orden de presentación

Artículo 18 - Orden de presentación

Titulo 4 -Registro y confiscación de datos informáticos almacenados

Artículo 19 - Registro y confiscación de datos informáticos almacenados
Fuente: Consejo de Europa. (23 de noviembre de 2001). Convenio sobre la ciberdelicuencia. https://www.oas.org/juridico/english/cyb_pry_convenio.pdf
 Articulado Convenio de Budapest
Capítulo II - Medidas que deberán adoptarse a nivel nacional

Sección 2 - Derecho procesal

Título 5- Obtención en tiempo real de datos informáticos
Artículo 20 - Obtención en tiempo real de datos relativos al tráfico
Artículo 21 - Interceptación de datos relativos al contenido

Capítulo II - Medidas que deberán adoptarse a nivel nacional

Sección 3 - Jurisdicción
Artículo 22 – Jurisdicción

Capítulo III - Cooperación internacional

Sección 1- Principios generales
Título 1- Principios generales relativos a la cooperación internacional
Artículo 23 - Principios generales relativos a la cooperación internacional

Título 2 - Principios relativos a la extradición

Artículo 24 - Extradición

Titulo 3 - Principios generales relativos a la asistencia mutua

Artículo 25 - Principios generales relativos a la asistencia mutua
Artículo 26 - Información espontánea
Fuente: Consejo de Europa. (23 de noviembre de 2001). Convenio sobre la ciberdelicuencia. https://www.oas.org/juridico/english/cyb_pry_convenio.pdf
 Articulado Convenio de Budapest

Capítulo III - Cooperación internacional

Sección 1- Principios generales
Título 4- Procedimientos relativos a las solicitudes de asistencia mutua en ausencia de acuerdos internacionales aplicables
Artículo 27 - Procedimientos relativos a las solicitudes de asistencia mutua en ausencia de acuerdos internacionales aplicables
Artículo 28 - Confidencialidad y restricciones de uso

Capítulo III - Cooperación internacional

Sección 2 - Disposiciones específicas
Título 1 - Asistencia mutua en materia de medidas provisionales
Artículo 29 - Conservación rápida de datos informáticos almacenados
Artículo 30 - Revelación rápida de datos conservados

Titulo 2 - Asistencia mutua en relación con el acceso a datos almacenados

Artículo 31 -Asistencia mutua en relación con el acceso a datos almacenados
Artículo 32 -Acceso transfronterizo a datos almacenados, con consentimiento o cuando sean accesibles al público
Artículo 33 -Asistencia mutua para la obtención en tiempo real de datos relativos al tráfico
Artículo 34 -Asistencia mutua en relación con la interceptación de datos relativos al contenido

Título 3 - Red 2417

Artículo 35 - Red 24/7

Fuente: Consejo de Europa. (23 de noviembre de 2001). Convenio sobre la ciberdelicuencia. https://www.oas.org/juridico/english/cyb_pry_convenio.pdf
Articulado Convenio de Budapest
Capítulo IV - Cláusulas finales
Artículo 36 - Firma y entrada en vigor
Artículo 37 -Adhesión al Convenio
Artículo 38 -Aplicación territorial
Artículo 39 - Efectos del Convenio
Artículo 40 - Declaraciones
Artículo 41- Cláusula federal
Artículo 42 - Reservas
Artículo 43 - Mantenimiento y retirada de las reservas
Artículo 44 - Enmiendas
Artículo 45 - Solución de controversias
Artículo 46 - Consultas entre las Partes
Artículo 47 - Denuncia
Artículo 48 - Notificación

Fuente: Consejo de Europa. (23 de noviembre de 2001). Convenio sobre la ciberdelicuencia. https://www.oas.org/juridico/english/cyb_pry_convenio.pdf
Ejercicio 4

Explorar el convenio Convenio sobre la ciberdelicuencia.

https://www.oas.org/juridico/english/cyb_pry_convenio.pdf
 Políticas y estrategias
gubernamentales en temas
relacionados con la SI, y SD
Políticas Nacionales de Seguridad

Lineamientos de política para ciberseguridad y Política nacional de seguridad digital Política nacional de confianza y
ciberdefensa seguridad digital
Políticas Nacionales de Seguridad

CONPES 3701 de 2011 CONPES 3854 de 2016

Lineamientos de política para ciberseguridad y Política nacional de seguridad digital
ciberdefensa

❑ Orientada a implementar capacidades tanto ❑ Orientada a trabajar bajo un enfoque de riesgos bajo la responsabilidad
institucionales, de capacitación y normativa compartida de múltiples partes interesadas
❑ Inclusión conceptos ciberseguridad y ciberdefensa ❑ Inclusión concepto múltiple partes interesadas.
❑ Creación Colcert, Centro Cibernético Policial – CCP, ❑ Creación roles coordinador nacional de seguridad digital y enlace seguridad.
Comando Conjunto Cibernético – CCOC ❑ Definición instancia de máximo nivel interinstitucional e intersectorial en el
❑ Identificación Infraestructura critica nacional Gobierno nacional.
❑ Modelo Nacional de Gestión de riesgos.
❑ Revisión marco legal, estudios, sensibilizaciones
❑ Catálogo de infraestructuras críticas cibernéticas nacionales

Fuente:

Consejo Nacional de Política Económica y Social. (14 de julio de 2011). CONPES 3701 de 2011 Lineamientos de política para ciberseguridad y ciberdefensa.
https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3701.pdf

Consejo Nacional de Política Económica y Social.(11 de abril 2016). CONPES 3854 de 2014. Política nacional de seguridad digital. https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3854.pdf
 CONPES 3854 de 2016
Política nacional de seguridad
digital

https://www.youtube.com/watch?v=APLLQd9OcBU
Políticas Nacionales de Seguridad

CONPES 3995 de 2020

Política nacional de confianza y seguridad digital

❑ Se enfoca en fortalecer las capacidades ya existentes de gobernanza, adopción estándares y modelos que involucren las nuevas tecnologías
❑ Coordinar y diseñar una estrategia de formación de capacidades
❑ Formación profesional en seguridad digital, seguridad de la información, ciberseguridad e infraestructuras crítica
❑ desarrollo de capacidades dirigido a organizaciones públicas (tanto del orden nacional como territorial), con el fin de promover la gestión
efectiva de los riesgos de seguridad digital
❑ Desarrollo de capacidades dirigido a los niveles directivos y ejecutivos de organizaciones privadas
❑ Fortalecimiento de las empresas de la industria de Tecnologías de la Información que provean bienes y servicios de seguridad digital,
contemplando la articulación con el programa de formación de fuerza laboral en ciberseguridad
❑ Revisión del marco normativo.
❑ Creación equipo de respuesta a incidentes del sector inteligencia
❑ Crear registro central único de incidentes de seguridad digital a nivel nacional
❑ Crear Sistema de Intercambio de Información Cibernética para divulgación de indicadores de compromiso.

Fuente: Consejo Nacional de Política Económica y Social. (1 de julio de 2020). Política nacional de confianza y seguridad digital. https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3995.pdf
 CONPES 3995 de 2020
Política nacional de confianza y seguridad digital

https://www.facebook.com/GobDigitalCO/
videos/conpes-3995-de-confianza-y-
seguridad-digital/276682406874306/
Ejercicio 5
Explorar las líneas de acción de los CONPES, identificando las actividades donde el sector privado participa

• Consejo Nacional de Política Económica y Social. (14 de julio de 2011). CONPES 3701 de 2011 Lineamientos de política para ciberseguridad y
ciberdefensa.
• https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3701.pdf
• https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3701_Seguimiento.xls

• Consejo Nacional de Política Económica y Social.(11 de abril 2016). CONPES 3854 de 2014. Política nacional de seguridad digital.
• https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3854.pdf
• https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3854_Anexo_Plan%20de%20Acci%C3%B3n%20y%20Seguimiento%20(P
AS).xlsx

• Consejo Nacional de Política Económica y Social. (1 de julio de 2020). Política nacional de confianza y seguridad digital.
• https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3995.pdf
• https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/PAS%203995.xlsx
 Política Gobierno Digital

Seguridad y privacidad: Busca las entidades públicas incorporen la seguridad de la información en todos sus procesos, trámites, servicios, sistemas de
información, infraestructura y en general, en todos los activos de información de las entidades del Estado, con el fin de preservar la confidencialidad,
integridad, disponibilidad y privacidad de los datos. Este habilitador se desarrolla a través del Modelo de Seguridad y Privacidad de la Información, que
orienta la gestión e implementación de la seguridad de la información en el Estado.

Fuente: MINTIC. (2022). Seguridad de la información en la política de Gobierno Digital. https://gobiernodigital.mintic.gov.co/seguridadyprivacidad/portal/

https://youtu.be/6fjrTlXygJM
Política Seguridad Digital

• Salvaguardar los derechos

El país realice una gestión humanos y los valores
Está basada en el sistemática de riesgos de fundamentales de los individuos.
CONPES 3854 de 2016 seguridad digital con el fin de • Adoptar un enfoque incluyente y
Política Nacional de promover un entorno digital colaborativo que involucre
Seguridad Digital confiable y seguro, que activamente a todos los
coordinada por la maximice los beneficios interesados.
Presidencia de la económicos y sociales de • Asegurar una responsabilidad
República. todos los actores públicos y compartida entre todos los actores
privados, impulsando la involucrados.
competitividad y • Adoptar un enfoque basado en
productividad en todos los riesgos, que permita a los
sectores de la economía individuos el libre, confiable y
seguro desarrollo de sus
actividades en el entorno digital.
CONPES
Objetivo Principios
fundamentales

Fuente: Función Pública. (4 de marzo de 2021). Manual Operativo del Modelo Integrado de Planeación y gestión
Estrategias
Se generan como apoyo para que el Gobierno Nacional logre fortalecer las capacidades de las entidades públicas para enfrentar las amenazas del
entorno digital, contribuyendo en la creación de una cultura de gestión de riesgos que afiance la confianza en el uso del entorno digital. Es por esto que
se considera fundamental robustecer el liderazgo del Gobierno nacional y construir una nueva visión tomando como referentes las mejores prácticas
internacionales para abordar los riesgos de seguridad digital

CSIRT Gobierno Modelo de Gestión de Riesgos de Seguridad Digital

Equipo de Respuesta a Incidentes Conjunto de lineamientos y buenas prácticas que buscan
de Seguridad Digital para las guiar a las entidades públicas en la identificación, análisis,
Entidades del Gobierno. evaluación y tratamiento de los riesgos de seguridad digital.

MSPI
Imparte lineamientos a las entidades públicas para Acompañamiento
la adopción de buenas prácticas, tomando como Facilitar los procesos de adopción por parte de las diferentes
referencia estándares internacionales, con el Entidades de nivel nacional y territorial del modelo de
objetivo de orientar la gestión e implementación seguridad y privacidad de la información, acorde con las
adecuada del ciclo de vida de la seguridad de la funciones de GIT de Seguridad y Privacidad de TI
información

Fuente: MINTIC. (2022). Seguridad de la información en la política de Gobierno Digital. https://gobiernodigital.mintic.gov.co/seguridadyprivacidad/portal/

Estrategias internaciones
de ciberseguridad
Estrategia de ciberseguridad de EEUU
La actuación conjunta de los sectores públicos y privados con
el propósito de proteger las infraestructuras críticas del país
Elaborar planes y tácticas con el propósito de desarrollar esta
capacidad de actuar en conjunto entre los sectores públicos y
privados, fomentar y apoyar al sector privado para que pueda
llevar a cabo su labor en el ámbito del espacio cibernético y el
desarrollo de un sistema federal que sirva a estos objetivos
Aumentar la conciencia de la sociedad y las empresas ante los
ciberataques y dar importancia a las actividades de enseñanza
y orientación a nivel federal.
Desarrollar planes con el objetivo de eliminar la amenaza que
supone el creciente poder cibernético de Rusia para la
ciberseguridad de Estados Unidos.
Fuente: Ciberseguridad. (22 de octubre de 2019). EEUU. https://ciberseguridad.com/normativa/eeuu
Tomar las medidas necesarias para proteger las innovaciones
tecnológicas de Estados Unidos y los intereses comerciales del
sector privado ante las actividades de espionaje cibernético de
China.
Definir como infraestructura crítica nacional los ordenadores,
software y tecnologías en red de los sectores agricultores,
alimenticios, agua potable, sanitarios, seguridad social,
informativos y de telecomunicaciones, energéticos, transporte,
financieros, mensajería y marítimos y protegerlos de los posibles
ataques cibernéticos..
Tomar las medidas necesarias para garantizar la libertad y
seguridad del espacio cibernético y luchar, a nivel global,
contra las medidas técnicas y administrativas de Rusia y China
para fragmentar el internet..
Apoyar a los aliados contra los ciberataques que tengan
como objetivo desestabilizarlos.
 Normas ciberseguridad de EEUU

Ley de intercambio de información sobre ciberseguridad (CISA) de 2015

Objetivo: Mejorar la ciberseguridad en los Estados Unidos a través del intercambio mejorado de información sobre amenazas de
ciberseguridad y para otros fines. Permitir el intercambio de información de tráfico de Internet entre el gobierno de EE.UU. y las empresas de
tecnología y fabricación.

Ley de mejora de la ciberseguridad de 2014

Objetivo: Proporciona una asociación pública y privada voluntaria y en curso para mejorar la ciberseguridad y fortalecer la investigación y el
desarrollo de la ciberseguridad, el desarrollo de la fuerza laboral y la educación y la conciencia pública y la preparación.

Ley de notificación de incumplimiento de datos de la Bolsa Federal de 2015

Objetivo: Intercambio de seguro de salud para notificar a cada individuo cuya información personal se sabe que se obtuvo o accedió como
resultado de una violación de la seguridad de cualquier sistema.

Ley de Protección de Avance (Ciberseguridad Nacional) de 2015

Objetivo: Modificar la Ley de Seguridad Nacional de 2002 para permitir que el Departamento de Seguridad Nacional y centro de integración de
comunicaciones (NCCIC) incluyan los gobiernos tribales, intercambio de información, y los centros de análisis, y entidades privadas entre sus
representantes no federales.

Fuente: Ciberseguridad. (22 de octubre de 2019). EEUU. https://ciberseguridad.com/normativa/eeuu

Normas ciberseguridad de EEUU

https://youtu.be/-Kor26PBnAA
 Estrategia de ciberseguridad de Rusia
Dirigir y administrar los enfrentamientos haciendo uso de
una fuerza convencional menor, lo que significa menos
pérdidas humanas y recursos, mediante la introducción de
métodos no militares en sus capacidades militares.
Deshacer la hegemonía de Estados Unidos sobre el
control y la regulación del internet se ha convertido en
otro objetivo principal dentro de la estrategia de
ciberseguridad de Rusia.
Fuente: Ciberseguridad. (22 de octubre de 2019). Rusia. https://ciberseguridad.com/normativa/rusia
La doctrina busca lograr una ventaja sobre la región, país,
comunidad o Estado objetivos mediante ataques cibernéticos,
el desgaste, la presión a través de la guerra psicológica y
ocasionar daños en las infraestructuras críticas y la economía.
Desarrolla sus propios programas y su hardware, fomenta el uso
de aplicaciones nacionales entre los jóvenes, incrementa el
control del espacio cibernético nacional separándolo del global,
así como del Wifi en las áreas públicas, restringe el uso de
aplicaciones VPN y desarrolla programas antivirus propios.
 Normas ciberseguridad de Rusia

Ley Federal N ° 187-FZ sobre la seguridad de la infraestructura de información crítica de la Federación de Rusia de 2017
Objetivo: Establecer los principios básicos para garantizar la seguridad de la infraestructura de información crítica, los poderes relacionados
de los organismos estatales rusos, así como los derechos, obligaciones y responsabilidades de las personas que poseen instalaciones con
infraestructura de información crítica, proveedores de comunicaciones y sistemas de información que proporcionan interacción.

Ley Federal N.º 152-FZ sobre datos personales 2006

Objetivo: Proteccion de datos personales, no distingue entre controladores de datos y procesadores de datos. Por lo tanto, cualquier persona
o entidad que trabaje con datos personales se considera un operador de datos personales y se rige por la regulación de la Ley de Datos
Personales.

Ley Federal No. 149-FZ sobre Información, Tecnologías de la Información y Protección de la Información (la Ley de Información)
Objetivo: los operadores móviles necesitarán almacenar las grabaciones de todas las llamadas telefónicas y el contenido de todos los mensajes
de texto durante un período de seis meses, lo que conlleva enormes coste

Fuente: Ciberseguridad. (22 de octubre de 2019). Rusia. https://ciberseguridad.com/normativa/rusia

 Estrategia de ciberseguridad de China

Obtener tecnologías de nueva generación, importantes para Establecer una estructura efectiva de contraespionaje
procurar la estabilidad y crecimiento económico del país, para contrarrestar las actividades de ciber espionaje
mediante operaciones de ciber espionaje. planeadas por los servicios de inteligencia extranjeros.

Controlar el internet con el propósito de vigilar los Apoyar las capacidades militares con las capacidades que
movimientos opositores y separatistas y prevenir los otorgan las tecnologías de nueva generación en el espacio
levantamientos sociales para procurar el liderazgo del Partido cibernético y desarrollar planes contra las infraestructuras
Comunista de China (PCC) en la administración del país críticas de las fuerzas militares de los adversarios

Desarrollar contramedidas frente a los planes de guerras Organizar estrategias de guerra informativa centrada en
informativas centradas en las tecnologías en red de los tecnologías en red y actividades de ciberataques contra
adversarios y contrarrestar las actividades de intervención las regiones y administraciones objetivo.
en los asuntos internos del país.

Fuente: Ciberseguridad. (22 de octubre de 2019). China. https://ciberseguridad.com/normativa/china

 Normas ciberseguridad de China

Ley de Ciberseguridad de China 2017

Objetivo: Requiere que los operadores de red almacenen datos seleccionados dentro de China y permite a las autoridades chinas realizar
controles al azar en las operaciones de red de una empresa. Beijing afirma que la ley tiene la intención de alinear a China con las mejores
prácticas mundiales para la seguridad cibernética.

Ley de Criptografía 2020

Objetivo: China pretende desposeer a las grandes empresas de toda la información y comunicaciones que guardan electrónicamente en el
país. Así, cualquier empresa extranjera que tenga datos encriptados en este país debe facilitar al gobierno las claves de cifrado.

Programa denominado Esquema de protección multinivel de ciberseguridad 2019

Objetivo: Establece los controles técnicos y organizativos de todas las empresas y las personas en China deben cumplir con las obligaciones de
seguridad de Internet relacionadas con MLPS exigidas por la Ley de Ciberseguridad de China.

Fuente: Ciberseguridad. (22 de octubre de 2019). China. https://ciberseguridad.com/normativa/china

 Normas ciberseguridad de China

NMX-I-27001-NYCE-2015 Tecnologías de la Información-Técnicas de Seguridad-Sistemas de Gestión de Seguridad de la Información -

Requisitos, que reproduce las disposiciones establecidas en la ISO / IEC 27001: 2013 Tecnología de la información-Técnicas de seguridad-
Sistemas de gestión de seguridad de la información-Requisitos;

NMX-I-27002-NYCE-2015 Tecnologías de la Información-Técnicas de Seguridad-Código de Buenas Prácticas para el Control de la Seguridad de

la información, que reproduce las disposiciones establecidas en la ISO / IEC 27002: 2013 Information Technology-Security Técnicas-Código de
prácticas para los controles de seguridad de la información

Código Penal Federal

Regula y penaliza una serie de ciberactividades que incluyen Piratería, Phishing, Infección de sistemas informáticos con malware (incluidos
ransomware, spyware, gusanos, troyanos y virus), Posesión o uso de hardware, software u otras herramientas utilizadas para cometer delitos
cibernéticos, Robo de identidad o fraude de identidad, Robo electrónico.

Ley Federal de Protección de Datos Personales en Posesión de los Particulares 2017

Establecer un marco legal para la protección de datos personales por parte de cualquier autoridad, entidad u órgano de los poderes ejecutivo,
legislativo y judicial, partidos políticos y fondos fiduciarios y públicos que operan a nivel federal, estatal y municipal

Fuente: Ciberseguridad. (22 de octubre de 2019). China. https://ciberseguridad.com/normativa/china

Normas ciberseguridad de China

https://youtu.be/wNIJYZntNb8
Estrategia de ciberseguridad de México

Protocolo nacional para compartir información de ataques cibernéticos, que establezca esquemas de colaboración entre autoridades,
organizaciones, empresas y usuarios, al mismo tiempo que garantice la confidencialidad de la información de los sujetos que fueron víctimas
del ciberataque, para evitar la afectación a la reputación

Boletín público, periódico e informativo de los riesgos y eventos cibernéticos que publique la autoridad coordinadora. Es importante que se
conozcan los ataques ya perpetrados para conocimiento de potenciales afectados y prevenir que vuelvan a suceder

Generación de estadísticas oficiales, con datos que provengan de instituciones públicas y privadas de los tipos de riesgos en ciberseguridad
que refleje lugares, periodicidad e incidencia, así como instrumentos de vigilancia de dichos riesgos para
su seguimiento

Simulacros en ciberseguridad en el ámbito público y privado guiados en todo momento por reconocidos expertos en la materia;

Reglas de atención y sanciones en materia de ciberseguridad para el caso de catástrofes naturales, pandemias, epidemias, etc.;

Fuente: Ciberseguridad. (18 de diciembre de 2019). México. https://ciberseguridad.com/normativa/latinoamerica/mexico/

Estrategia de ciberseguridad de México

https://youtu.be/8nmrBaUEKp8
Estrategia de ciberseguridad de Argentina

Concientización del uso seguro del Ciberespacio Capacitación y educación en el uso seguro del
Ciberespacio.

Fortalecimiento de capacidades de prevención,

Desarrollo del marco normativo. detección y respuesta.

Protección y recuperación de los sistemas de información del Fomento de la industria de la ciberseguridad.

Sector Público

Protección de las Infraestructuras Críticas

Cooperación Internacional. Nacionales de Información

Fuente: Ciberseguridad. (12 de diciembre de 2019). Argentina. https://ciberseguridad.com/normativa/latinoamerica/argentina/

 Normas ciberseguridad de Argentina

Ley 26.388 de Delito informático

Introduce la tipificación de nuevos delitos a distintos artículos del Código Penal de la Nación. Delitos como fraude informático, sabotaje
informático, daño informático y propagación de virus entre otros.

Ley 25.326 de Protección de Datos Personales

Protección integral de los datos personales recogidos en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de
datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así
como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero
de la Constitución Nacional.

Decreto Reglamentario N° 1558/2001

Establece los principios generales relativos a la Protección de datos personales, los derechos de los titulares de los datos, usuarios y
responsables de archivos, registros y bancos de datos, los controles necesarios y las sanciones

Ley 25.506 de Firma Digital

Admite y se fijan las condiciones para el uso de la firma electrónica y de la firma digital reconociendo su eficacia jurídica. También se instaura la
Infraestructura de Firma Digital de la República Argentina

Fuente: Ciberseguridad. (12 de diciembre de 2019). Argentina. https://ciberseguridad.com/normativa/latinoamerica/argentina/

 Normas ciberseguridad de Argentina

Ley 26.904 de Grooming

Regula el grooming y se considera un delito castigado con penas de 6 meses a 4 años a los adultos que se contacten por medio de
comunicaciones electrónicas a menores de edad con el propósito de cometer cualquier delito contra la integridad sexual.

Ley 27.126 de Inteligencia Nacional

Define el marco jurídico dentro del que deben llevarse a cabo las actuaciones de inteligencia del Estado. Concreta que esas actuaciones
tendrán que realizarse conforme la Constitución Nacional, los tratados de derechos humanos y cualquier otra ley que recoja derechos y
garantías.

Fuente: Ciberseguridad. (12 de diciembre de 2019). Argentina. https://ciberseguridad.com/normativa/latinoamerica/argentina/

Normas ciberseguridad de UE

https://youtu.be/7Yui6gsd2qc
Normas ciberseguridad de Perú

https://youtu.be/VKYKQpocygE
¿Preguntas?
Infografía
Tema: Concepto básicos de ley

• Tusabogadosycontadores. (26 enero de 2018).Acciones que son consideradas un delito informático en Colombia.
https://tusabogadosycontadores.co/blog/acciones-que-son-consideradas-un-delito-informatico-en-colombia/

• Congreso De La República. (5 de enero de 2009). LEY 1273 DE 2009. http://www.secretariasenado.gov.co/senado/basedoc/ley_1273_2009.html

• Infolaft.(10 de noviembre de 2014). Cibercrimen en Colombia: todo lo que debe saber. https://www.infolaft.com/lo-que-debe-saber-sobre-el-
cibercrimen-en-colombia/

• Congreso de Colombia. (4 de Julio de 2000). Por la cual se expide el Código Penal.

https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=6388
Infografía
Tema: Convenio internacional de cibercriminalidad

• Cancilleria de Colombia. (17 de marzo de 2020). Colombia se adhiere al Convenio de Budapest contra la ciberdelincuencia.
https://www.cancilleria.gov.co/colombia-adhiere-convenio-budapest-ciberdelincuencia

• Consejo de Europa. (23 de noviembre de 2001). Convenio sobre la ciberdelicuencia. https://www.oas.org/juridico/english/cyb_pry_convenio.pdf

• Congreso de Colombia (24 de julio de 2018). LEY 1928 DE 2018. http://www.secretariasenado.gov.co/senado/basedoc/ley_1928_2018.html

 Infografía
Tema: Políticas y estrategias gubernamentales en temas relacionados con la SI, y SD

• Consejo Nacional de Política Económica y Social. (14 de julio de 2011). CONPES 3701 de 2011 Lineamientos de política para ciberseguridad y
ciberdefensa. https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3701.pdf

• Consejo Nacional de Política Económica y Social.(11 de abril 2016). CONPES 3854 de 2014. Política nacional de seguridad digital.
https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3854.pdf

• Consejo Nacional de Política Económica y Social. (1 de julio de 2020). Política nacional de confianza y seguridad digital.
https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3995.pdf

• MINTIC. (2022). Seguridad de la información en la política de Gobierno Digital. https://gobiernodigital.mintic.gov.co/seguridadyprivacidad/portal/

Infografía
Tema: Estrategias internaciones de ciberseguridad.

• AA.(3 de diciembre de 2020).¿Cuáles son los objetivos de las estrategias de ciberseguridad de los países con más poder del mundo?.
https://www.aa.com.tr/es/an%C3%A1lisis/-cu%C3%A1les-son-los-objetivos-de-las-estrategias-de-ciberseguridad-de-los-pa%C3%ADses-con-m%C3%A1s-
poder-del-mundo/2063747

• American Chamber Mexico. (13 de agosto de 2020). Estrategia de Ciberseguridad en México Por un futuro ciberseguro.
https://www.amcham.org.mx/sites/default/files/publications/VF_Estrategia%20de%20Ciberseguridad%20en%20Me%CC%81xico%20(1).pdf

• Argentina. (29 de mayo de 2019). Estrategia nacional de Ciberseguridad de la República argentina.

https://www.argentina.gob.ar/sites/default/files/infoleg/res829-01.pdf

• Ciberseguridad. (22 de octubre de 2019). EEUU. https://ciberseguridad.com/normativa/eeuu

• Ciberseguridad. (22 de octubre de 2019). Rusia. https://ciberseguridad.com/normativa/rusia

• Ciberseguridad. (22 de octubre de 2019). China. https://ciberseguridad.com/normativa/china

 Infografía
Tema: Estrategias internaciones de ciberseguridad.

• Ciberseguridad. (18 de diciembre de 2019). México. https://ciberseguridad.com/normativa/latinoamerica/mexico/

• Ciberseguridad. (12 de diciembre de 2019). Argentina. https://ciberseguridad.com/normativa/latinoamerica/argentina/