Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2023-2026
Tabla de Contenido
INTRODUCCIÓN 4
1. OBJETIVO 4
1.1. OBJETIVO GENERAL 4
2. ALCANCE 5
3. MARCO NORMATIVO 5
4. RESPONSABILIDADES 10
5. DEFINICIONES 10
7. RECURSOS 34
8. SEGUIMIENTO Y MEDICIÓN 34
8.1. INDICADORES 34
CONTROL DE CAMBIOS
MARCO ESTRATEGICO
La Superintendencia de Sociedades, para el desarrollo de sus fines misionales, así como para la
ejecución de sus procesos, trámites y servicios, cuenta con una infraestructura tecnológica que está
compuesta por Hardware, Software, Comunicaciones, Bases de datos, instalaciones físicas,
hiperconvergencia, servicios en la nube, seguridad perimetral, sistemas de control de acceso y otros
elementos auxiliares, que permiten una alta disponibilidad, integridad, confidencialidad y seguridad
de la información tanto pública como privada; todo, dentro del marco de la Arquitectura Empresarial
(AE), la transformación digital y el uso de tecnologías emergentes como la Inteligencia Artificial y
Big Data, impulsados por el Gobierno Nacional, el Ministerio de Tecnologías de la Información y las
Comunicaciones (MINTIC), los planes intersectoriales y los planes de implementación de Gobierno
Digital (Decreto 1008 de 2018), Seguridad Digital (Resolución Número 00500 de marzo 10 de 2021
“Por la cual se establecen los lineamientos y estándares para la estrategia de seguridad digital y se
adopta el modelo de seguridad y privacidad como habilitador de la política de Gobierno Digital”), el
modelo de Seguridad y Privacidad de la Información, los cuales se están implementado de manera
rigurosa y formal en la Superintendencia de Sociedades.
Dentro de este marco normativo y acorde con la arquitectura empresarial implementada, la
Superintendencia de Sociedades ha adoptado un Sistema de Gestión Integrado (SGI) que
comprende las normas (NTC ISO 9001Gestión de Calidad, NTC ISO/IEC 27001 Sistema de Gestión
de la Seguridad de la Información, NTC ISO 14001 sistema de Gestión Ambiental, El Sistema de
Gestión de la Seguridad y Salud en el Trabajo (SG-SST), NTC 5906 (Centro de Conciliación y
Arbitraje), el Modelo Estándar de Control Interno –MECI- y el Modelo Integrado de Planeación y
Gestión definido en el Decreto 1499 de 2017.).
La implementación del Sistema de Gestión de Seguridad de la Información (ISO27001:2013) desde
el año 2011 ha servido como soporte del cumplimiento del Modelo de Seguridad y Privacidad de la
Información (MSPI), debido a que esta norma es el fundamento del MSPI. Con esto se ha logrado
un alto cumplimiento de este modelo que soporta a su vez la seguridad y privacidad de la
Información como habilitador transversal de la Política de Gobierno Digital.
Teniendo en cuenta lo anterior, se formula el presente Plan, en cumplimiento de la normativa
aplicable vigente, y en particular, como parte de los planes institucionales establecidos en el Decreto
612 de 2018.
1. OBJETIVO
2. ALCANCE
3. MARCO NORMATIVO
De acuerdo con el documento GC-MO-001 Modelos del sistema de Gestión Integrado, numeral 2.1
MODELO DE LA ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN, se define el
gobierno de seguridad de la información, el cual se encuentra conformado por los roles de Oficial
de Seguridad de la Información, Administrador de Seguridad Informática – Grupo de Seguridad e
Informática Forense, Dueños de los procesos, Administrador de Seguridad Física, Control Interno y
Oficial de Protección de Datos, quienes tienen unas responsabilidades especificas a cada rol.
5. DEFINICIONES
Activo de Información: Es todo aquello que posee valor para una entidad, como: elementos
de hardware, software de procesamiento, almacenamiento y comunicaciones, bases de
datos, información física y digital, procedimientos y recursos humanos asociados con el
manejo de los datos y la información misional, operativa, administrativa de la entidad, entre
otros.
Archivo: Conjunto de documentos, sea cual fuere su fecha, forma y soporte material,
acumulados en un proceso natural por una persona o Entidad pública o privada, en el
transcurso de su gestión, conservados respetando aquel orden para servir como testimonio
e información a la persona o institución que los produce y a los ciudadanos, o como fuentes
de la historia. También se puede entender como la institución que está al servicio de la
gestión administrativa, la información, la investigación y la cultura. (Ley 594 de 2000, art 3).
Amenazas: Situación potencial de un incidente no deseado, el cual puede ocasionar daño
a un sistema o a la organización.
Análisis del riesgo: Proceso sistemático para entender la naturaleza del riesgo y deducir
su nivel.
Auditoría: Proceso sistemático, independiente y documentado para obtener evidencias de
auditoría y obviamente para determinar el grado en el que se cumplen los criterios de
auditoría. (ISO/IEC 27000).
Ciberseguridad: Protección de activos de información, mediante el tratamiento de las
amenazas que ponen en riesgo la información que se procesa, almacena y transporta
mediante los sistemas de información que se encuentran interconectados.
Ciberespacio: Es el ambiente tanto físico como virtual compuesto por computadores,
sistemas computacionales, programas computacionales (software), redes de
telecomunicaciones, datos e información que es utilizado para la interacción entre usuarios.
(Resolución CRC 2258 de 2009).
Custodio del activo de información: Es una parte designada de la entidad, un cargo,
proceso, o grupo de trabajo encargado de administrar y hacer efectivos los controles de
seguridad que el propietario de la información haya definido, tales como copias de seguridad,
asignación privilegios de acceso, modificación y borrado. (tomado de la “Guía para la gestión
y clasificación de activos de información”).
Confidencialidad: Propiedad que determina que la información sólo esté disponible y sea
revelada a individuos, entidades o procesos autorizados. (tomado de la “Guía para la gestión
y clasificación de activos de información”).
Contratistas: Entenderemos por contratista aquella persona natural o jurídica que ha
celebrado un contrato de prestación de servicios o productos con una entidad.
Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la información por debajo del nivel
de riesgo asumido. Control es también utilizado como sinónimo de salvaguarda o
contramedida. En una definición más simple, es una medida que modifica el riesgo.
Disponibilidad: Propiedad de que la información sea accesible y utilizable por solicitud de
una entidad autorizada, cuando ésta así lo requiera. (tomado de la “Guía para la gestión y
clasificación de activos de información”).
De acuerdo con lo estipulado en el numeral 2.1.3 del Manual de Gobierno Digital del MINTIC,
el Plan de Seguridad y Privacidad de la Información debe establecer los detalles de cómo se
realizará la implementación de la seguridad de la información en los procesos de la entidad,
estipulando directrices, tiempo y responsables para lograr un adecuado proceso de gestión,
administración, evaluación y resultados del plan desarrollado.
La superintendencia de Sociedades cuenta con un modelo de gestión integrado (MGI) que tiene
establecida, aprobada y publicada, una política del Sistema de Gestión Integrado, en la cual se
especifican las diferentes políticas de cada sistema de gestión.
En este nivel se encuentran las entidades, en las cuales existen procesos procesos básicos de
gestión de la seguridad y privacidad de la información. De igual forma existen controles que
Repetible
permiten detectar posibles incidentes de seguridad, pero no se encuentra gestionados
dentro del componente planificación del MSPI.
En este nivel se encuentran las entidades que tienen documentado, estandarizado y
aprobado por la dirección, el modelo de seguridad y privacidad de la información. Todos los
Definido
controles se encuentran debidamente documentados, aprobados, implementados, probados
y actualizados.
En este nivel se encuentran las entidades, que cuenten con métricas, indicadores y realizan
Administrado
auditorías al MSPI, recolectando información para establecer la efectividad de los controles.
En este nivel se encuentran las entidades, en donde existe un mejoramiento continuo del
Optimizado
MSPI, retroalimentando cualitativamente el modelo.
L
Tabla No.1: Niveles de Avance según el Instrumento de Diagnóstico de MINTIC
Como resultado de la aplicación del instrumento de identificación de la línea base de seguridad
del MINTIC, con corte a junio de 2023 y la revisión por parte de auditorías Internas y externas
de la Norma ISO 27001:2013, Anexo A con sus 114 Controles de Seguridad y de la evaluación
registrada en el modelo de Seguridad y Privacidad de la Información (MSPI) se obtiene un
promedio de evaluación de los controles del 70%, para el cierre del 2023, y con el desarrollo de
las acciones definidas se pretende avanzar en 5 puntos para llegar a un 75% de avance en la
implementación.
1
Fuente: Instrumento de identificación de la línea base de seguridad administrativa y técnica suministrada por MINTIC
Grafico No.1: Brecha Anexo A. ISO 27001:2013
Los dominios que se encuentra en el nivel REPETIBLE requieren establecer las acciones que
apoyen la documentación, implementación y operación de los controles y lo lleven a un nivel de
madurez superior
Los dominios que se encuentran en nivel DEFINIDO, requieren la definición de métricas claras sobre
los procesos, controles y procedimientos que permitan el seguimiento y control permanente para
identificar desviaciones.
Así mismo, el avance general en el ciclo PHVA del Sistema de Gestión de Seguridad y Privacidad
de la Información de la Superintendencia alcanzó el 85%, se requiere mantener la actualización
periódica de las políticas, los activos y riesgos de seguridad de la información para todos los
procesos y la ejecución de los planes de mejora resultado de las auditorías realizadas:
Teniendo en cuenta los anteriores resultados, para la vigencia 2023 se establece el Plan de
Seguridad y privacidad de la información el cual dando cumplimiento a la Resolución 500 de
MINTIC, incluye la Estrategia de Seguridad digital y las acciones requeridas para su
implementación y así garantizar la mejora continua.
6.2. IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN (Estrategia de planificación y control operacional)
https://supersociedades.gov.co/documents/20122/377715/10.2.1_RegistroActivosInformacion-
2021-06-04.xlsx/435f76d7-4046-9331-2dff-7a21fff36274?t=1665337185291
https://supersociedades.gov.co/documents/20122/377715/Indice-Informacion-Clasificada-y-
Reservada-2021.xlsx/c6aecfaa-ada2-6d1c-7d21-416c1a127669?t=1665755628633
https://supersociedades.gov.co/documents/20122/377715/10.4.1_EsquemaPublicacionInfor
macion.xls/e3219284-f4f7-667b-391c-d7246d5d92d6?t=1646925795351
60%
Título del eje
50%
90% 92% 94%
40% 84% 84%
80% 77%
72%
30% 60% 60% 60%
49%
20% 38% 37%
10%
0%
A.9 A.10 A.16 A.17 A.12 A.11 A.15 A.13 A.6 A.7 A.14 A.5 A.8 A.18
Brecha 62% 40% 40% 40% 51% 28% 20% 23% 16% 16% 63% 10% 8% 7%
Estado Actual 38% 60% 60% 60% 49% 72% 80% 77% 84% 84% 37% 90% 92% 94%
Para cada uno de los dominios que se encuentra en estado Definido repetible y administrado se
definirán actividades tendientes a dar cumplimiento al establecimiento de los controles, según lo
expuesto en el numeral 7.1.3. del presente documento.
La mitigación de los riesgos de seguridad de la información hace parte del Plan de Tratamiento de
Riesgos de Seguridad y Privacidad de la Información.
Los activos de información se encuentran en proceso de actualización y luego estarán disponibles para
consulta en la página web https://www.supersociedades.gov.co en la opción Transparencia y acceso
a la información pública - Inicio (supersociedades.gov.co)
CRONOGRAMA
FECHAS DE
Estado Actividades para lograr los objetivos de SGSI PROGRAMACION
Dominios ISO 27001 Nivel RESPONSABLE
Actual 2023 FECHA
FECHA FINAL
INICO
DIRECCION DE
para la seguridad de la Información en
A.5. Políticas de TECNOLOGIAS DE MAYO
la Entidad AGOSTO
la seguridad de 90% LA INFORMACION DE
2. Se debe realizar la actualización y DE 2023
la información Y LAS 2023
aprobación y divulgación del documento
COMUNICACIONES
de modelos y lineamientos para gestión
de redes
1. Crear/ actualizar la política para el
uso de dispositivos móviles
2. Revisar y actualizar la Política para
tele-trabajadores y trabajo en casa
3. Desarrollar el plan de actualización
de la documentación del SGSI
OPTIMIZADO
DIRECCION DE
3. Inclusión de los temas de seguridad
A.7. Seguridad TECNOLOGIAS DE ENERO
en el proceso de ingreso de contratistas DICIEMBRE
de los recursos 84% LA INFORMACION DE
4. Establecer los lineamientos y el DE 2023
humanos Y LAS 2023
procedimiento para la gestión de los
COMUNICACIONES
equipos de cómputo, propios de
terceros y alquilados
5. Incluir la firma del acuerdo de
confidencialidad a todos los usuarios
que acceden a la información de la
Entidad
CRONOGRAMA
FECHAS DE
Estado Actividades para lograr los objetivos de SGSI PROGRAMACION
Dominios ISO 27001 Nivel RESPONSABLE
Actual 2023 FECHA
FECHA FINAL
INICO
TECNOLOGIAS DE
web de la y publicar en datos abiertos
LA INFORMACION ENERO
A.8. Gestión de 4. Apoyar a los procesos en la DICIEMBRE
92% Y LAS DE
activos identificación de los riesgos de DE 2023
COMUNICACIONES 2023
seguridad de la información y la entrega
Y ENLACES DE
para consolidación en la matriz de
CADA PROCESO
riesgos en el sistema correspondiente.
5. Apoyar a los procesos en la
implementación de los controles para
cada riesgo no aceptable
6. Definir, presentar para aprobación y
publicar el plan de tratamiento de
riesgos de seguridad y privacidad de la
información
información DIRECCION DE
A.11. Seguridad - Áreas donde se almacenen y guarden TECNOLOGIAS DE MAYO
DICIEMBRE
física y del 72% elementos de respaldo datos (CD, LA INFORMACION DE
DE 2023
entorno Discos, Cintas etc.) Y LAS 2023
2. Validar el Monitoreo de los controles COMUNICACIONES
de accesos biométricos
3. Cumplimiento de normas de
seguridad física en centros de datos y
de cableado
4. Monitoreo del funcionamiento de las
UPS que alimentan el centro de
cómputo, y revisar que exista contrato
de soporte y mantenimiento
1. Validar el cumplimiento del GINT-PR-
017 Gestión de la capacidad de la
infraestructura tecnológica
2. Diseñar en conjunto con la mesa de
ayuda el procedimiento de asignación
de Equipos que incluya el software y
DIRECCION DE
DEFINIDO
documentación existente
DIRECCION DE
3. No se cuenta con control de acceso a
A.13. Seguridad TECNOLOGIAS DE MARZO
la red a través de NAC DICIEMBRE
de las 77% LA INFORMACION DE
4. Validar los lineamientos de la política DE 2023
comunicaciones Y LAS 2023
respecto a acceso, revisar la
COMUNICACIONES
inactivación de estos servicios
corporativos y servicios de red
5. Ajustar el servicio de correo (borrado)
e internet dentro de las políticas y
realizar la divulgación
La evaluación fue realizada bajo los siguientes dominios que define el Marco de Referencia de NIST para
Ciberseguridad:
PONDERACION DESCRIPCION
Dando como resultado general, en la sumatoria de los dominios evaluados (identificar, proteger,
detectar, responder y recuperar), un puntaje medio-bajo de 40,85%, frente a las demás entidades
públicas, el puntaje de la Superintendencia está actualmente situada dentro del promedio en el que se
encuentran las demás entidades, con una calificación media –baja (45%-50%).
Imagen No.2 Calificación marco de referencia NIST
De acuerdo con el resultado obtenido a continuación se relacionan las brechas identificadas para cada
uno de los dominios:
Se obtuvo una calificación de 56%, fue la más alta de los dominios evaluados, este resultado obedece
al esfuerzo que se ha hecho desde la DTIC por tener actualizados las políticas, procesos,
procedimientos y guías referentes a la gestión en seguridad.
Este dominio cubre los controles establecidos en la Norma ISO 27001:2013 relacionados con:
Políticas de seguridad
Gestión de activos
Organización de la seguridad
Gestión de Riesgos de Seguridad
RECOMENDACIONES:
Para el dominio proteger se obtuvo una calificación de 42%, este resultado obedece a la ausencia de
controles de seguridad para el acceso remoto, múltiples factores de autenticación, controles para la
protección de la integridad de los datos en reposo y controles para la fuga de información.
Este dominio cubre los controles establecidos en la Norma ISO 27001:2013 relacionados con:
Control de Accesos
Entrenamiento
Gestión de Servicios
Seguridad de Datos
Tecnologías de Seguridad
RECOMENDACIONES
Se recomienda realizar el monitoreo de los eventos críticos de las Bases de Datos a través de
mecanismos como el SIEM.
Realizar la definición y activación a través del Firewall de los módulos de DLP.
Para el dominio de detectar se obtuvo una calificación de 35%, Se debe contar con el servicio de
Monitoreo Continuo (NOC / SOC), con el fin de realizar la detección de anomalías y eventos maliciosos
y los procesos de detección
RECOMENDACIONES
Se debe realizar los ajustes al procedimiento de incidentes y definir los procesos requeridos para la
detección, reglas de correlación y eventos.
Se debe realizar el monitoreo y acciones sobre las herramientas con las que se cuenta actualmente, y
realizar el análisis de malware.
Integrarse con Office 365 para conocer los movimientos que se realizan de manera automatizada.
Se requiere validar y activar la protección de amenazas de día cero con el EDR actual.
Validar el Sand Boxing Cloud (tráfico actual del firewall http y https) con el que se cuenta actualmente
a través del Firewall.
Para el dominio de responder se obtuvo una calificación de 33%, este resultado obedece a que existen
un plan de respuesta a incidentes.
RECOMENDACIONES
Se recomienda implementar dentro del NOC / SOC mecanismos de protección de marca y gestión de
riesgo digital, con el fin de contar con mecanismos de detección temprana de ataques que afecten la
reputación e imagen de la entidad, y que permitan la toma de contramedidas contra los mismos.
Validar la configuración del EDR, frente a la respuesta de los incidentes, definir las acciones de bloqueo.
Para el dominio de responder se obtuvo una calificación de 39%, se tienen definidos planes de
recuperación para algunos servicios.
RECOMENDACIONES
Se recomienda definir los mecanismos de respaldo entre datacenter incluyendo premisas y nube, y su
prueba periódica.
Definir las pruebas del proceso de restauración de los esquemas de contingencia, para los servicios
tecnológicos de la Entidad.
Se debe contar con playbooks debidamente documentados y disponibles para la atención de los
incidentes que se presenten.
para la temprana D.a1, D.a2, D.a1, D.a2, D.a2, SENTINEL, incluido en el licenciamiento E5
contención de un ataque. D.b2 D.b2, D.c1 D.b2, de Microsoft en tiempos en los que
D.c) Visión y cacería de D.d1 D.a1) no está disponible por cualquier que
amenazas del sean los motivos.
comportamiento en la red D.b2) Construcción, actualización y
D.d) Detección inteligente socialización de playbooks con y sin servicios
de ataques (objetivos, SOC-NOC.
comportamientos, D.c1) Adquisición de una tecnología de
tecnologías y métodos) detección y respuesta para el
comportamiento de la red NDR.
D.d1) Adquisición, gestión de una estrategia
honeypot y sandboxing.
HOJA DE RUTA CIBERSEGURIDAD
CORTO MEDIANO LARGO
NIST ESTRATEGIA TECNOLOGIA y/o PROCESO
PLAZO PLAZO PLAZO
RS.a1) Construcción del plan de respuesta a
incidentes de ciberseguridad, el cual debe
incluir los roles, responsables e
implícitamente el plan de comunicaciones
en la entidad y con las entidades de
autoridad.
RS.a) Avanzar en la
RS.b1) Realizar ejercicios de simulación de
construcción de un plan de
ciberataques en donde se realicen ejercicios
respuesta.
de salas de crisis y análisis forense, el
RESPONDER
RS.b) Simulación de
resultado de estos debe socializarse a la
ataques, puesta en marcha RS.b1, RS.b1,
RS.a1, RS.b1 dirección y deben tenerse en cuenta las
al plan de respuesta a Rs.c2 RS.c1
lecciones aprendidas.
incidentes de
RS.c1) Adquisición de herramientas
ciberseguridad.
tecnológicas en una solución estratégica de
RS.c) Soluciones en
detección y respuesta (XDR) que tenga la
detección y respuesta.
capacidad de alimentarse del D.a1 y
automatizar procesos de respuesta.
Rs.c2) Adquisición de características de
SOAR en el D.a1 para la automatización de
configuraciones a los casos de uso
establecidos
RC.a1) Apoyar la construcción de un plan
DRP.
RC.a2) Los controles de seguridad definidos
en el ambiente DRP, deberán obedecer a los
mismos del ambiente original.
RC.b1) Definir cronograma para ejercicios de
RC.a) Plan de recuperación recuperación en: contingencia de canales,
ante desastres tecnológicos backups en línea y en cinta, balanceo de
RECUPERAR
8. SEGUIMIENTO Y MEDICIÓN
8.1. INDICADORES
Para la mejora de este indicador, la función pública indica algunas actividades a desarrollar, que
quedan registradas en el plan de mejoramiento FURAG, supervisado por la Oficina Asesora de
Planeación.
Otro de las mediciones para el avance en la implementación del Modelo de Seguridad y privacidad
de la información tiene que ver con el cumplimiento de los requisitos y controles del anexo A de la
Norma ISO 27001:2013, Para esto las auditorías internas y externas dejan informes con las
observaciones y hallazgos, los cuales, según los lineamientos del Sistema de Gestión Integrado,
deben generan un plan de mejoramiento.
Finalmente, se medirá el cumplimiento del presente Plan, a través del resultado del siguiente
indicador, para el cual la meta es 80%:
Actividades Ejecutadas
Cumplimiento plan de seguridad y privacidad de la Información:
Actividades Programadas