PLAN DE TRATAMIENTO DE RIESGOS DE

SEGURIDAD Y PRIVACIDAD DE LA
INFORMACION
MUNICIPIO DE PULI CUNDINAMARCA

2023

JOSE WILLIAM HERREÑO LOZANO

ALCALDE MUNICIPAL
 1. INTRODUCCION

EL MUNICIPIO DE PULI CUNDINAMARCA, entendiendo que el tratamiento de los

riesgos de seguridad y privacidad de la información son aquellos procesos que
reducen las pérdidas y brindan protección a la información y que es de valiosa
importancia que las entidades cuenten con un plan de tratamiento de riesgos para
minimizar perdidas y maximizar oportunidades, se ha visto en la necesidad de
desarrollar un análisis de gestión de riesgo de seguridad de la información aplicado
en la entidad Municipal.

El aporte que arroja este plan permite identificar el nivel de riesgo en que se
encuentran los activos mediante el nivel de madurez de la seguridad existente y
sobre todo incentivar al personal a seguir las respectivas normas y procesos
referentes a la seguridad de la información y recursos, todos los servidores público,
están en cumplimiento de sus funciones expuestos a riesgos que puedan hacer
fracasar una gestión; por tal razón es necesario tomar medidas para identificar las
causas y consecuencias de la materialización de dichos riegos.

2. OBJETIVOS
2.1. OBJETIVO GENERAL

El principal objetivo en la implementación del plan es mitigar los riesgos asociados

a la seguridad y privacidad de la información en los procesos de la Alcaldía
Municipal de Pulí Cundinamarca, mediante la aplicación de las normas que lo
regulan.

2.2. OBJETIVOS ESPECIFICOS

- Definir la metodología, fases y actividades para la implementación del plan.

- Identificar los riesgos actuales y sus posibles causas.

- Establecer controles y políticas de seguridad de la información que garantice

la confidencialidad integridad y disponibilidad de la información.

- Cumplir con los principios de seguridad y privacidad de la información.

- Dar cumplimiento a los principios de la función administrativa.

- Salvaguardar los activos de información.

3. ALCANCE
 Lograr el compromiso del Municipio de Puli Cundinamarca, para emprender la
implementación del plan de tratamiento de riesgos de seguridad y privacidad de
la información.

Designar funciones de liderazgo para apoyar y asesorar el proceso de diseño e

implementación del plan de tratamiento de riesgos de seguridad y privacidad de
la información

Esta política aplica a toda la entidad, sus funcionarios, contratistas y terceros de

la Entidad Municipal y la ciudadanía en general.

FASES DE IMPLEMENTACIÓN

La alta dirección debe adquirir el compromiso de facilitar el cumplimiento de los

objetivos sobre la gestión del riesgo de seguridad y privacidad de la información, a
través del establecimiento de políticas, roles y responsabilidades, y la designación de
recursos necesarios para que el proceso se desarrolle en la institución de forma
efectiva.

1. PLANEAR

Abarca los Pasos 1, 2 y 3 de la Guía para la Administración de los Riesgo de Gestión,

Corrupción y Seguridad Digital y el Diseño de Controles en Entidades Públicas,
emitida por la Función Pública.

2. HACER

Con los insumos de la ejecución de la fase anterior, se ejecuta la ruta crítica definida,
es decir, se implementan los planes de tratamiento de riesgos definidos. Aquí la Línea
Estratégica debe cumplir con el compromiso de brindar los recursos necesarios para
iniciar el tratamiento de los riesgos.
El responsable de seguridad digital deberá supervisar y acompañar el proceso de
implementación de los planes de tratamiento, verificando que los responsables de los
planes.

3. VERIFICAR

Monitoreo y revisión a través de las tres líneas de defensa definidas en el MIPG en la

Dimensión 7 Control Interno, de los planes de tratamiento para determinar su
efectividad.

4. ACTUAR

Mejoramiento continuo de la gestión del riesgo de seguridad digital, se debe

garantizar la mejora continua de la gestión de riesgos de seguridad digital, por lo
tanto, debe establecer que cuando existan hallazgos, falencias o incidentes de
seguridad digital se debe mitigar el impacto de su existencia y tomar acciones para
controlarlos y prevenirlos. Adicionalmente, se debe establecer y hacer frente a las
consecuencias propias de la no conformidad que llegó a materializarse.

GESTIÓN DE RIESGOS

IDENTIFICACIÓN DEL RIESGO

1. Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El
manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la
misión y el cumplimiento de los objetivos estratégicos, la clara definición de
políticas, diseño y conceptualización de la entidad por parte de la alta gerencia.

2. Riesgos de Imagen: Están relacionados con la percepción y la confianza por

parte de la ciudadanía hacia la institución.

3. Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y

operatividad de los sistemas de información institucional, de la definición de
los procesos, de la estructura de la entidad y de la articulación entre
dependencias.

4. Riesgos Financieros: Se relacionan con el manejo de los recursos de la

entidad.

5. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para

cumplir con los requisitos legales, contractuales, de ética pública y en general
con su compromiso ante la comunidad de acuerdo con su misión.

6. Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la

entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento
de la misión.

Identificación del riesgo:

PROCESO objetivo del proceso Identificación de Activos RIESGOS

 Causas (Amenazas y Vulnerabilidad)

Descripción del riesgo

Efectos de la materialización del Riesgo

SITUACION NO DESEADA

- Hurto de información o de equipos informáticos.

- Hurto de información durante el cumplimiento de las funciones laborales, por
intromisión.
- Incendio en las instalaciones de la entidad por desastre natural o de manera
intencional.
- Alteración de claves y de información.
- Pérdida de información.
- Baja Cobertura de internet.
- Daño de equipos y de información
- Atrasos en la entrega de información
- Atrasos en asistencia técnica
- Fuga de información
- Manipulación indebida de información

TERMINOS Y DEFINICIONES
 En la presente política de seguridad y privacidad de la información se citan
algunos términos y definiciones que hacen posible su aprehensión en dicho
contexto así:

- POLITICA: Declaración de alto nivel que describe la posición de la entidad

sobre un tema específico.

- ESTANDAR: Regla que especifica una acción o respuesta que se debe seguir a
una situación dada. Los estándares son orientaciones obligatorias que buscan
hacer cumplir las políticas. Los estándares son diseñados para promover la
implementación de las políticas de alto nivel de la entidad antes de crear
nuevas políticas.

- MEJOR PRACTICA: Una regla de seguridad específica o una plataforma que es

aceptada, a través de la industria al proporcionar el enfoque más efectivo a una
implementación de seguridad concreta.

Las mejores prácticas son establecidas para asegurar que las características de
seguridad de los sistemas utilizados con regularidad estén configurados y
administrados de manera uniforme, garantizando un nivel consistente de
seguridad a través de la entidad.

- GUIA: Una guía es una declaración general utilizada para recomendar o sugerir
un enfoque para implementar políticas, estándares buenos prácticas. Las guías
son esencialmente, recomendaciones que deben considerarse al implementar
la seguridad. Aunque no son obligatorias, serán seguidas a menos que existan
argumentos documentados y aprobados para no hacerlo.

- PROCEDIMIENTO: Los procedimientos, definen específicamente como las

políticas, estándares, mejores prácticas y guías que serán implementadas en
una situación dada. Los procedimientos son independientes de la tecnología o
de los procesos y se refieren a las plataformas, aplicaciones o procesos
específicos.
 Son utilizados para delinear los pasos que deben ser seguidos por una
dependencia para implementar la seguridad relacionada con dicho proceso o
sistema específico. Generalmente los procedimientos son desarrollados,
implementados y supervisados por el dueño del proceso o del sistema, los
procedimientos seguirán las políticas de la entidad, los estándares, las mejores
prácticas y las guías tan cerca como les sea posible, y a la vez se ajustarán a los
requerimientos procedimentales o técnicos establecidos dentro del a
dependencia donde ellos se aplican.

- ALTA DIRECCIÓN: Todos aquellos aspectos o de elementos que solos o en

combinación con otros, pueden producir la materialización de un riesgo.

- AUDITORÍA INTERNA: La auditoría interna es una actividad independiente

que se realiza dentro de una empresa, se encamina a la revisión de las
operaciones de la empresa (especialmente las contables), con el propósito de
dar un servicio y definir el direccionamiento de los ejercicios.

- AUDITORÍA EXTERNA: La auditoría externa es el examen crítico, sistemático

y detallado del sistema de información de una unidad económica, el cual se hace
por un contador público que no posea vínculos con la empresa para la cual hará la
monitoria. En el caso de las entidades públicas por los organismos de control competentes.

- FACTORES DE RIESGO: Es aquel al que se enfrenta una entidad en ausencia de

acciones de la dirección para modificar su probabilidad o impacto.

- CONTROL: Propiedad de ser accesible y utilizable a demanda por una entidad.

Vulnerabilidad: Posibilidad de que, por acción u omisión, se use el poder para
desviar la gestión de lo público hacia un beneficio privado.
- GESTIÓN DEL RIESGO: Proceso efectuado por la alta dirección de la entidad y
por todo el personal para proporcionar a la administración un aseguramiento
razonable con respecto al logro de los objetivos.

- ALTA GERENCIA: Persona o grupo de personas del máximo nivel jerárquico

que dirigen y controlan una entidad.

- CONTEXTO EXTERNO: Se trata del entorno en el cual opera la entidad. Son las
condiciones económicas, sociales, culturales, políticas, legales, ambientales o
tecnológicas.

- CONTEXTO INTERNO: Las condiciones que se relacionan con la estructura,

cultura organizacional, el cumplimiento de planes, programas/proyectos,
procesos/procedimientos, sistemas de información, modelo de operación,
recursos humanos y económicos con que cuenta la entidad.

- PROCESO: Conjunto de actividades mutuamente relacionadas o que

interactúan para generar un valor.

- RIESGOS: Posibilidad de que suceda algún evento que tendrá un impacto sobre
los objetivos de la entidad, pudiendo entorpecer el desarrollo de sus funciones.

- RIESGO DE CORRUPCIÓN: Posibilidad de que, por acción u omisión, se use el

poder para poder desviar la gestión de lo público hacia un beneficio privado.

- CAUSA: Medios, circunstancias, situaciones o agentes generadores del riesgo.

4. POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD

DE LA INFORMACIÓN

El Municipio de Pulí Cundinamarca, entendiendo la importancia de una adecuada

gestión de la información, se ha comprometido con la implementación de un
sistema de gestión de seguridad de la información buscando establecer un marco
de confianza en el ejercicio de sus deberes con el Estado y los ciudadanos, todo
enmarcado en el estricto cumplimiento de las leyes y en concordancia con la
misión y visión de la entidad.

Para la entidad, la protección de la información busca la disminución del impacto

generado sobre sus activos, por los riesgos identificados de manera sistemática
con objeto de mantener un nivel de exposición que permita responder por la
integridad, confidencialidad y la disponibilidad de esta, acorde con las
necesidades de los diferentes grupos de interés identificados.

De acuerdo con lo anterior, esta política aplica a toda la entidad, sus funcionarios,
contratistas y terceros de la administración municipal de la alcaldía Municipal de
Pulí y la ciudadanía en general.

Los principios sobre los que se basa el desarrollo de las acciones o toma de
decisiones alrededor del SGSI estarán determinadas por las siguientes premisas:

- Minimizar el riesgo en las funciones más importantes de la entidad.

- Cumplir con los principios de seguridad de la información.
- Cumplir con los principios de la función administrativa.
- Mantener la confianza de sus clientes, socios y empleados.
- Apoyar la innovación tecnológica.
- Proteger los activos tecnológicos.
- Establecer las políticas, procedimientos e instructivos en materia de
seguridad de la información.

- Fortalecer la cultura de seguridad de la información en los funcionarios

y contratistas de la Alcaldía Municipal de Pulí.

- Garantizar la continuidad del negocio frente a incidentes.

 - La Alcaldía Municipal de Pulí, ha decidido definir, implementar, operar y
mejorar de forma continua un Sistema de Gestión de Seguridad de la
Información, soportado en lineamientos claros alineados a las
necesidades del negocio, y a los requerimientos regulatorios.

NIVEL DE CUMPLIMIENTO

Todas las personas funcionarios y contratistas, deberán dar cumplimiento un 100%

de la política.

4.1. PRINCIPIOS DE SEGURIDAD QUE SOPORTAN EL SGSI DE

EL MUNICIPIO DE PULÍ, CUNDINAMARCA.

• La responsabilidad del Municipio frente a la seguridad de la información

será definidas, compartidas, publicadas y aceptadas por cada uno de los
funcionarios, contratistas o grupos de interés.

• El Municipio de Pulí, Cundinamarca. Deberá proteger toda información

generada, procesada o resguardada por los procesos Administrativos, su
infraestructura tecnológica y activos del riesgo que se genera de los accesos
otorgados a terceros (ej.: usuarios o grupos de interés), o como resultado de
un servicio interno en outsourcing.

• El Municipio de Pulí, Cundinamarca. protegerá la información de datos

cerrados creada, procesada, transmitida o resguardada por sus procesos
Administrativos, con el fin de minimizar impactos financieros, operativos o
legales debido a un uso incorrecto de esta.

• El Municipio de Pulí, Cundinamarca. Resguardará su información de las

amenazas originadas por parte de personal interno o externo.
• El Municipio de Pulí, Cundinamarca. Deberá proteger sus instalaciones de
procesamiento y la infraestructura tecnológica que soporta sus procesos
críticos.

• El Municipio de Pulí, Cundinamarca. Controlará organizará y supervisará la

operación de sus procesos Administrativos garantizando la seguridad de los
recursos tecnológicos y las redes de datos.

• El Municipio de Pulí, Cundinamarca. implementará control de acceso a la

información, sistemas y recursos de red.

• El Municipio de Pulí, Cundinamarca. Fomentará y garantizará en los

funcionarios, contratistas y grupos de interés que la seguridad deberá ser
parte integral del ciclo de vida de los sistemas de información.

• El Municipio de Pulí, Cundinamarca. garantizará a través de una adecuada

gestión de protocolos de seguridad y las debilidades asociadas con los sistemas
de información una mejora efectiva de su modelo de seguridad.

• El Municipio de Pulí, Cundinamarca. garantizará el cumplimiento de las

obligaciones legales, regulatorias y contractuales establecidas.

El incumplimiento a la política de Seguridad y Privacidad de la Información traerá

consigo, las consecuencias legales que apliquen a la normativa de la Entidad,
incluyendo lo establecido en las normas que competen al Gobierno nacional y
territorial en cuanto a Seguridad y Privacidad de la Información se refiere.

5. CICLO DE OPERACIÓN

Para realizar una correcta implementación de políticas de seguridad de la

información, es necesario cumplir con una serie de fases, las cuales tienen como
 objetivo que la entidad desarrolle, apruebe, implemente y socialice e interiorice las
políticas para un uso efectivo por parte de todos los funcionarios, contratistas y/o
terceros de la entidad.

Figura 1 – Ciclo de operación del Modelo de Seguridad y Privacidad de la Información

5.1. FASE DE DIAGNOSTICO

En esta fase y mediante el uso de herramientas de diagnóstico, se desarrollan

actividades de reconocimiento y valoración del estado de gestión, cumplimento de
requisitos y lineamientos de seguridad de la información basado con el Modelo de
Seguridad y Privacidad de Información de la estrategia de Gobierno Digital del
Gobierno Nacional (u otros modelos de seguridad de la información aplicables y
reconocidos), y de la implementación de controles de seguridad de la información con
visión de mitigar todo tipo de escenario de riesgo asociado que pudiese generar un
impacto indeseado a la Entidad.

El resultado de la evaluación de diagnóstico permitirá establecer el nivel de madurez

del ciclo de operación del modelo de seguridad y privacidad de la información en el
Municipio de Pulí, y el mapa de ruta para las actividades claves de las fases de diseño
y establecimiento del mismo modelo.

5.2. FASE DE PLANEACION

Para el desarrollo de esta fase y basado con el resultado de la evaluación de
diagnóstico y el análisis de contexto de la Entidad, se identificarán los aspectos claves
que definan y orienten las actividades para los propósitos de seguridad y privacidad
de la información, entre ellos, la justificación, el alcance, la política y los objetivos del
Modelo de Seguridad y Privacidad de la Información (MSPI).

5.2.1. ALCANCE DEL MSPI

El plan de seguridad y privacidad de la información y lineamientos asociados como

directriz de la Administración Municipal de Pulí, será de aplicabilidad e
implementación para todos los procesos y aspectos administrativos de la
organización y de cumplimiento por parte de todos aquellos servidores públicos y
terceros que presten sus servicios o tengan algún tipo de relación con la Entidad.

El alcance del MSPI permitirá al Municipio definir los límites sobre los cuales se
implementará la seguridad y privacidad de la información, por tanto, deberá tener
en cuenta, los procesos que impactan directamente la consecución de los objetivos
misionales, procesos, servicios, sistemas de información, ubicaciones físicas,
terceros relacionados e interrelaciones del MSPI con otros procesos.

5.2.2. GOBIERNO DE LA SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

El modelo de gobierno de la seguridad de la información se presentará a través de

una estructura de directrices y lineamientos por niveles de acuerdo con el propósito
de cada uno de ellos. La estructura de directrices y lineamientos de seguridad de la
información se define de la siguiente manera:

a. Política general de seguridad de la información: Documento de alto

nivel que denota compromiso de la alta dirección con respecto a
seguridad de la información; define reglas de comportamiento asociado
a protección de activos de información.
 b. Políticas Tácticas de seguridad de la información: Son exigencias
particulares de apoyo a la política estratégica, manifiestan la manera en
que se va a ejecutar a conseguir tienen propósito especial, es de estricto
cumplimiento, que soportan los propósitos principales de la política
estratégica del SGSI.

c. Normas y estándares de seguridad de la información: Todas

aquellas reglas específicas orientadas para respaldar el cumplimiento
de las políticas de gestión tecnológica.

SOPORTE DOCUMENTAL: Todo documento generado para dirigir y orientar la

gestión de la seguridad de la información; permitirá compartir a los servidores
públicos comprender los propósitos de seguridad de la información, las directrices
y lineamientos relacionados con seguridad de la información.

5.2.3. POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA

INFORMACIÓN

La política de seguridad de información es la declaración general que representa la

posición de la Agencia Nacional de Infraestructura frente a la necesidad de
protección de su información, al igual que de la preservación de aquellos activos de
información que la soportan, por tal motivo define que:

El Municipio de Pulí, reconoce el valor de su información como uno de sus activos

más valiosos y es consciente de la necesidad de su custodia, conservación,
disponibilidad, integridad, accesibilidad y confidencialidad en los casos que
corresponda, generando una cultura de protección y uso adecuado a través de la
implementación y mejora continua de un sistema de gestión de seguridad de la
información, con un enfoque de administración y tratamiento de riesgos asociados
y el cumplimiento de todos los requisitos propios de su actividad, legales,
reglamentarios y contractuales, que permitan asegurar la confianza de las partes
interesadas.
5.2.4. OBJETIVOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

En beneficio del apoyo y cumplimiento de los propósitos de la política estratégica de

seguridad de la información en el Municipio de Pulí, se declaran los siguientes
objetivos generales:

- Establecer las directrices y lineamientos relativos a seguridad de la

información.
- Generar una cultura y apropiación de trabajo enfocada a la toma de conciencia
para la protección y el uso adecuado de la información por parte de los
servidores públicos.
- Implementar mecanismos de control para la protección de los datos, la
información y los recursos asociados que los soportan.
- Asegurar que los riesgos asociados a seguridad de la información se mantienen
en un nivel aceptable.
- Mantener un enfoque de cumplimiento estricto de los requisitos legales,
normativos o contractuales aplicables y relativos al tratamiento y protección
de la información.

5.2.5. COMPROMISO DE LA ALTA DIRECCIÓN

El Alcalde Municipal aprueba la política general de seguridad de la información

como muestra de su compromiso y apoyo a las actividades de diseño,
implementación, mantenimiento y mejora continua de políticas y lineamientos
consecuentemente orientados a la salvaguardar la confidencialidad, integridad y
disponibilidad de la información de la Entidad. Su compromiso se demostrará a
través de:

- La revisión y aprobación de políticas y lineamientos de seguridad de la

información.
- La promoción de una cultura de seguridad y protección de la información.
- El apoyo para la divulgación de los propósitos y lineamientos de seguridad de
la información a los servidores públicos y partes interesadas.
- La asignación de los recursos necesarios para la implementación y
mantenimiento del sistema de gestión de seguridad de la información.
- La realización de actividades de verificación y evaluación del desempeño del
sistema de gestión de seguridad de la información de manera periódica.

7.2.6 ROLES Y RESPONSABILIDADES DE MSPI

El Municipio de Pulí, definirá una estructura de roles y asignación formal de

responsabilidades orientados a la seguridad y privacidad de la información en
diferentes niveles de la Entidad para permitir la adecuada y oportuna toma de
decisiones enfocados al cumplimiento de los objetivos de seguridad y privacidad
de la información (MSPI) de la Entidad.

A QUIEN ESTÁ DIRIGIDO EL MSPI:

Proceso de Gestión de la Información (INF), como el marco de referencia para el

sistema de gestión de seguridad de la información.

Líderes de áreas y de procesos, entendiendo los propósitos de la Entidad y a los

cuales deberán prestar su apoyo y responsabilidad para su aplicación.

Grupos Internos de Trabajo, tales como Control Interno, talento Humano, Jurídico,
Planeación y demás áreas operativas del Municipio de Pulí, para promover y
aplicar las políticas, estándares y demás lineamientos del manual de seguridad de
la información

Todos los funcionarios, contratistas, o partes interesadas, que presten sus servicios
o tengan algún tipo de relación con el Municipio de Pulí, quienes deben ser
informados de las responsabilidades de seguridad a través de los términos y
condiciones o contratos laborales, procedimientos de seguridad y guías,
entrenamiento y sensibilización.
 5.2.6. PLAN DE COMUNICACIONES

El Municipio identificará y aplicará un plan de comunicaciones, de sensibilización y

de capacitación que promueva estrategias para crear, incentivar y mantener una
cultura organizacional mediante la generación de competencias y hábitos de
protección de la información en todos los niveles de la Entidad.

5.3. FASE DE IMPLEMENTACION

El desarrollo de esta fase permitirá al Municipio llevar a cabo la implementación de

los aspectos y planes identificados en las fases anteriores (diagnóstico y planeación).

Un plan de control operacional establecerá las actividades y la programación para la

implementación tanto de los requisitos, controles y buenas prácticas de seguridad y
privacidad de la información en el Municipio de Pulí.

Como estrategia para la orientación de los propósitos de seguridad y privacidad de la

información al interior del Municipio de Pulí, se definen y aprueban políticas y
directrices que guiarán las prácticas de protección de la información en cuanto a su
confidencialidad, integridad y disponibilidad.
 Figura 4 - Fase de implementación Modelo de Seguridad y Privacidad de la Información

Con base a los resultados de la fase de planeación, en la fase de implementación

deberá ejecutarse las siguientes actividades:

PLANIFICACIÓN Y CONTROL OPERACIONAL.

La entidad debe planificar, implementar y controlar los procesos necesarios para

cumplir con los requisitos de seguridad y privacidad de la información que
permitan implementar las acciones determinadas en el plan de tratamiento de
riesgos.

La entidad debe tener información documentada en la medida necesaria para tener

la confianza en que los procesos se han llevado a cabo según lo planificado,
adicionalmente, deberá llevarse un control de cambios que le permitan tomar
acciones para mitigar efectos adversos cuando sea necesario.

IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS.

Se debe implementar el plan de tratamiento de riesgos de seguridad digital, en el

cual se identifica el control a aplicar para llevar cada uno de los riesgos a un nivel
aceptable para la entidad, en donde la base para ejecutar esta actividad es la Guía
de Administración del Riesgo que emita el DAFP.

INDICADORES DE GESTIÓN.

La entidad deberá definir indicadores que le permitan medir la efectividad, la

eficiencia y la eficacia en la gestión y las acciones implementadas en seguridad de
la información.

Los indicadores buscan medir:

 - Efectividad en los controles.
- Eficiencia del MSPI al interior de la entidad.
- Proveer estados de seguridad que sirvan de guía en las revisiones y la mejora
continua.
- Comunicar valores de seguridad al interior de la entidad.
- servir como insumo al plan de control operacional.

5.4. FASE DE EVALUACIÓN DE DESEMPEÑO

El proceso de seguimiento y monitoreo del MSPI se hace con base a los resultados que
arrojan los indicadores de la seguridad de la información propuestos para
verificación de la efectividad, la eficiencia y la eficacia de las acciones implementadas.

PLAN DE REVISIÓN Y SEGUIMIENTO A LA IMPLEMENTACIÓN DEL MSPI.

En esta actividad la entidad debe crear un plan que contemple las siguientes
actividades:

- Revisión de la efectividad de los controles establecidos y su apoyo al

cumplimiento de los objetivos de seguridad.
- Revisión de la evaluación de los niveles de riesgo y riesgo residual después de
la aplicación de controles y medidas administrativas.
 - Seguimiento a la programación y ejecución de las actividades de autorías
internas y externas del MSPI.
- Seguimiento al alcance y a la implementación del MSPI.
- Seguimiento a los registros de acciones y eventos / incidentes que podrían
tener impacto en la eficacia o desempeño de la seguridad de la información al
interior de la entidad.
- Medición de los indicadores de gestión del MSPI
- Revisiones de acciones o planes de mejora (solo aplica en la segunda revisión
del MSPI)

Este plan permitirá la consolidación de indicadores periódicamente y su evaluación

frente a las metas esperadas; deben ser medibles permitiendo analizar causas de
desviación y su impacto en el cumplimiento de las metas y objetivos del MSPI.

PLAN DE EJECUCIÓN DE AUDITORIAS

La entidad debe generar un documento donde se especifique el plan de auditorías

para el MSPI, donde especifique la frecuencia, los métodos, las responsabilidades, los
requisitos de planificación y la elaboración de informes.

Se debe llevar a cabo auditorías y revisiones independientes a intervalos planificados

que permitan identificar si el MSPI es conforme con los requisitos de la organización,
está implementado adecuadamente y se mantiene de forma eficaz; así mismo es
necesario difundir a las partes interesadas, los resultados de la ejecución de las
auditorías. Es importante conservar la información documentada como evidencia de
los resultados de las auditorías.

5.5. FASE: MEJORA CONTINUA

En esta fase la Entidad se consolida los resultados obtenidos de la fase de evaluación

de desempeño, y se diseña el plan de mejoramiento continuo, tomando las acciones
oportunas para mitigar las debilidades identificadas.
En esta fase la Entidad define y ejecuta el plan de mejora continua con base en los
resultados de la fase de evaluación del desempeño.

Este plan incluye:

- Resultados de la ejecución del plan de seguimiento, evaluación y análisis para

el MSPI.

- Resultados del plan de ejecución de auditorías y revisiones independientes al

MSPI.

Utilizando los insumos anteriores, la entidad puede efectuar los ajustes a los
entregables, controles y procedimientos dentro del MSPI. Estos insumos tendrán
como resultado un plan de mejoramiento y un plan de comunicaciones de mejora
continua, revisados y aprobados por la Alta Dirección de la entidad. La revisión por la
Alta Dirección hace referencia a las decisiones, cambios, prioridades etc. tomadas en
sus comités y que impacten el MSPI.

5.6. MODELO DE MADUREZ

Este esquema permite identificar el nivel de madurez del MSPI en el que se

encuentran la Entidad, midiendo la brecha entre el nivel actual de la entidad y el nivel
optimizado. Es decir, se aplica en la fase de Diagnóstico y como herramienta de
evaluación de los avances de la implementación del modelo
A continuación, la figura 7, muestra los diferentes niveles que hacen parte del modelo
de madurez

Figura 7 - Modelo de Seguridad y Privacidad de la Información

El esquema que muestra los niveles de madurez del MSPI, busca establecer unos
criterios de valoración a través de los cuales se determina el estado actual de la
seguridad de la información en la Entidad.

PRINCIPIOS DE SEGURIDAD TIC

La política de seguridad TIC de El Municipio de Pulí, Cundinamarca, se desarrollará,

con carácter general, de acuerdo con los siguientes principios generales de seguridad:

a) Principio de confidencialidad: los activos TIC deberán ser accesibles

únicamente para aquellas personas usuarias, órganos y entidades o procesos
expresamente autorizados para ello, con respeto a las obligaciones de secreto
y sigilo profesional.

b) Principio de integridad y calidad: se deberá garantizar el mantenimiento de

la integridad y calidad de la información, así como de los procesos de
tratamiento de esta, estableciéndose los mecanismos para asegurar que los
procesos de creación, tratamiento, almacenamiento y distribución de la
información contribuyen a preservar su exactitud y corrección.

c) Principio de disponibilidad y continuidad: se garantizará un alto nivel de

disponibilidad en los activos TIC y se dotarán de los planes y medidas
 necesarias para asegurar la continuidad de los servicios y la recuperación
ante posibles contingencias graves.

d) Principio de gestión del riesgo: se deberá articular un proceso continuo de

análisis y tratamiento de riesgos como mecanismo básico sobre el que debe
descansar la gestión de la seguridad de los activos TIC.

e) Principio de proporcionalidad en coste: la implantación de medidas que

mitiguen los riesgos de seguridad de los activos TIC deberá hacerse bajo un
enfoque de proporcionalidad en los costes económicos y operativos.

f) Principio de concienciación y formación: se articulará iniciativas que

permitan a las personas usuarias conocer sus deberes y obligaciones en
cuanto al tratamiento seguro de la información se refiere. De igual forma, se
fomentará la formación específica en materia de seguridad TIC de todas
aquellas personas que gestionan y administran sistemas de información y
telecomunicaciones.

g) Principio de prevención: se desarrollarán planes y líneas de trabajo

específicas orientadas a prevenir fraudes, incumplimientos o incidentes
relacionados con la seguridad TIC.

h) Principio de mejora continua: se revisará el grado de eficacia de los controles

de seguridad TIC implantados, al objeto de adecuarlos a la constante
evolución de los riesgos y del entorno tecnológico de la Municipio de Pulí.

i) Principio de seguridad TIC en el ciclo de vida de los activos TIC: las

especificaciones de seguridad se incluirán en todas las fases del ciclo de vida
 de los servicios y sistemas, acompañadas de los correspondientes
procedimientos de control.

j) Principio de función diferenciada: la responsabilidad de la seguridad de los

sistemas de tecnologías de la información y comunicaciones estará
diferenciada de la responsabilidad sobre la prestación de los servicios.

NORMAS DE USO ACTIVOS TIC

- Los sistemas de información y recursos TIC del Municipio de Pulí,

Cundinamarca, puestos a disposición de los colaboradores y usuarios en
general, en especial equipos, correo electrónico y acceso a redes, son para uso
exclusivo de los procesos y tratamientos de los usuarios autorizados, con
finalidades de gestión y administración, y no pueden usarse con otras
finalidades comerciales o particulares que no estén expresamente autorizadas.

- Cada usuario es responsable del uso que haga de los recursos TIC, así como de
las contraseñas o posibilidades de acceso que reciba, no pudiendo sin
autorización copiar, difundir, modificar o destruir información del Municipio
de Pulí Cundinamarca, ni mantener desprotegidos equipos, soportes digitales
o documentos en papel.

- Vacunación de cualquier medio de almacenamiento USB.

- Prohibido descargar software o archivos de páginas que no sean

institucionales.

- Los equipos de cómputos deben estar bloqueados, cuando el encargado del

mismo no esté trabajando.

- El encargado Los Procesos De Sistemas De Información E Informáticos es el

responsable de la administración y gestión de los recursos TIC, debiéndose
 autorizar por él cualquier instalación, conexión o desconexión de elementos,
periféricos, aplicaciones, o herramientas informáticas del tipo que sea en el
ámbito de actuación y/o de responsabilidad del El Municipio de Pulí
Cundinamarca.

-
- El incumplimiento del contenido de esta norma o de las normas y
procedimientos que la desarrollan puede suponer el bloqueo o suspensión de
derechos de acceso del usuario, que podrá ser sancionado de acuerdo con la
legislación aplicable o del régimen disciplinario interno, sin perjuicio de las
posibles acciones administrativas, civiles o penales que en su caso
correspondan en función de los hechos, su tipificación y gravedad.

- Se fomentará la difusión de información y la concienciación de los usuarios,

para crear una cultura de la seguridad y de la protección de la información.

- En cuanto a la autenticación de usuarios se usarán mecanismos fiables que

exijan la identificación inequívoca y personalizada, como contraseñas robustas,
certificados digitales, datos biométricos o dispositivos físicos, y los usuarios no
suplantará la identidad de otro. En todos los casos, sobre todo si la
autenticación es mediante contraseñas, los datos de autenticación estarán
protegidos tanto en los sistemas como cuando se transmitan y por parte del
propio usuario.

- Cada usuario podrá acceder solamente a los datos y recursos de información a

los que esté autorizado por quien tenga competencia para ello, para el
desarrollo de sus funciones y según el principio de mínimo privilegio. Los
usuarios con perfiles más amplios necesitarán autorización especial y
aprobada por la Gerencia, y se revisará periódicamente por si fuera preciso
actualizar su perfil.
- Solo se utilizarán, siguiendo las instrucciones y/o procedimientos autorizados
por el encargado Los Procesos De Sistemas De Información E Informáticos,
productos, aplicaciones, paquetes y dispositivos que permitan una seguridad
adecuada, así como los cambios posteriores que se incorporen.

- Solamente se grabarán datos del Municipio de Pulí Cundinamarca, en

soportes informáticos (CDs, DVD, tarjetas tipo SD, conectables a puertos USB…)
en los casos autorizados, y los soportes no podrán sacarse de las instalaciones
si no es con autorización expresa. Han de estar protegidos, reflejados en un
inventario si son varios, y en un registro de salida cuando proceda, y
destruyéndolo cuando no sea necesario, según la normativa de datos
personales.

- Para garantizar la disponibilidad, y bajo la responsabilidad del encargado Los

Procesos De Sistemas De Información E Informáticos, los sistemas y conexiones
serán fiables, se obtendrán copias protegidas de la información, que se
almacenarán en lugares no afectados por las mismas amenazas que los
sistemas primarios, y en los casos más críticos existirán sistemas alternativos
de proceso, propios o ajenos, que junto con los planes y procedimientos
correspondientes, puedan permitir la continuidad de las operaciones, según la
criticidad de los procesos y las circunstancias surgidas.

- La red de comunicaciones estará protegida mediante cortafuegos y otros

sistemas aplicables para evitar accesos no autorizados, especialmente desde el
exterior de la red.

- Cuando se produzca la baja de un usuario se bloqueará o inhabilitará su cuenta

de usuario, y devolverá todas las llaves e identificadores, tarjetas, y los recursos
y documentos que sean del Municipio de pulí Cundinamarca.

- Se considerará un mal uso o uso inaceptable aquella actuación del usuario que
pueda afectar a la disponibilidad de un servicio, al trabajo del resto de los
 usuarios, a la confidencialidad y seguridad de la información o que, en general,
ponga en riesgo cualquiera de las cinco dimensiones de la seguridad
(disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad) de la
información y/o de los servicios relacionados con ella. A continuación, se
recogen algunos ejemplos de lo que se consideran “malos usos” o usos
indebidos de las TIC´S.

- El uso de una cuenta de usuario para lo que no se tiene autorización o bien la

apropiación indebida de las credenciales (usuario y contraseña) de otro.

- Consumir bebidas y alimentos en puestos de trabajo para evitar los riesgos que
afecten los equipos de cómputo ídem que la documentación.

- Uso de la red de El Municipio de Pulí, Cundinamarca , para conseguir un

acceso no autorizado a cualquier ordenador, servidor o aplicación.

- Realizar alguna actuación de forma intencionada que interfiera en el

funcionamiento normal de otros ordenadores, impresoras, dispositivos o
redes.

- Instalar y ejecutar de forma intencionada en cualquier ordenador o subred

cualquier tipo de software que provoque el mal funcionamiento o la sobrecarga
de dicho equipo o subred (malware).

- El abuso deliberado de los recursos puestos a disposición del usuario.

- Los intentos de saltarse medidas de protección de la información o de explotar

posibles fallos de seguridad en los sistemas.

- El no cumplimiento intencionado de las condiciones de las licencias de software

o de sus derechos de autor.
 - El envío de mensajes de correo con contenido fraudulento, ofensivo, obsceno o
amenazante.

- Ocultar o falsificar la identidad de una cuenta de usuario o de una máquina.

- El uso de los servicios de difusión de información para fines que no tengan

relación con las propias del desempeño laboral o que no sean de interés para
El Municipio de Pulí, Cundinamarca.

- Los intentos de monitorización y/o rastreo de las comunicaciones de los

usuarios.

- Los usuarios, cuando se les solicite, deben colaborar con los administradores
de sistemas, en la medida de sus posibilidades, en cualquier investigación que
se haga sobre mal uso de los recursos, aportando la información que tengan y
se les requiera.

- El Municipio de Pulí, Cundinamarca, colaborará en la persecución de los

delitos informáticos que tengan origen o destino en su infraestructura o
usuarios, dando prioridad a los requerimientos que se reciban por parte de las
autoridades competentes, aportando toda la información que sea posible para
el esclarecimiento del incidente y todo ello dentro del marco de la legalidad
vigente.

ORGANIZACIÓN Y GESTIÓN DE LA SEGURIDAD TIC

La Seguridad TIC es indispensable en la ejecución y manejo de la Seguridad de la

Información, la cual es considerada como un activo de la organización y un
componente fundamental estratégico del desempeño organizacional de la institución
gubernamental a la cual , se encomienda la labor de seguimiento, vigilancia y
coordinación de las medidas aplicables en este ámbito al grupo de Seguridad de la
Información asignado para tal fin por la Gerencia, cuyas actividades en este ámbito de
actuación se concretan en:
 - Definición y propuesta de objetivos, iniciativas y planes estratégicos en
seguridad TIC.
- Elevación de propuestas en relación con:

• Disponibilidad de los recursos TIC`S.

• Revisión de normas en materia de seguridad TIC.
• Verificación cumplimiento de protocolos de seguridad TIC.
• Seguimiento y elaboración de informes acerca de incidentes en elementos
TIC que afecten a la seguridad de la información.
• Promulgación de los protocolos TICS

SEGUIMIENTO Y EVALUACIÓN DE LA POLÍTICA

La planeación, organización y el control de la política de seguridad y privacidad de la

información, está se encuentra entrelazada con la dimensión de MIPG de Control
Interno, que se desarrolla con el MECI a través de un esquema de asignación de
responsabilidades y roles, el cual se distribuye en diversos servidores de la entidad
como se describe a continuación:

1ª. Línea de Defensa:

• Controles de Gerencia Operativa (Líderes de proceso y sus equipos).

• La gestión operacional se encarga del mantenimiento efectivo de
controles internos, ejecutar procedimientos de riesgo y el control sobre
una base del día a día. La gestión operacional identifica, evalúa, controla y
mitiga los riesgos.

2ª. Línea de Defensa:

 • Media y Alta Gerencia (Líderes de Proceso, Coordinadores,
responsables de proyectos, entre otros).
• Asegura que los controles y procesos de gestión del riesgo de la 1ª Línea
de Defensa sean apropiados y funcionen correctamente.

3ª. Línea de Defensa:

• A cargo de la Oficina de Control Interno, Auditoría Interna o quién haga

sus veces
• Proporciona Información sobre la efectividad del SCI., la operación de
la
• 1ª y 2ª Línea de defensa con un enfoque basado en riesgos

DIVULGACION O PUBLICACION DE LA POLITICA

La Difusión y comunicación se realizará de forma oficial a todos los servidores

públicos, contratistas, grupos de interés y ciudadanía en general y será cargada al link
de Transparencia y Acceso a la Información Publica en la página en la página web
institucional de la entidad.

CRONOGRAMA ACTIVIDADES PLAN DE SEGURIDAD Y PRIVACIDAD

DE LA INFORMACION

1. Mantener la Integridad, disponibilidad, privacidad, control y autenticidad de

la información manejada por los sistemas de computarizados del municipio de
Pulí, los mecanismos utilizados para el procesamiento de la información,
frente a amenazas internas o externas, deliberadas o accidentales, con el fin de
asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad y
confiabilidad de la información.
 2. Implementar el plan de seguridad y privacidad de la información definido para
la vigencia 2023.

3. Porcentaje de cumplimiento del plan de seguridad y privacidad de la

información.

4. Número de actividades ejecutadas.

5. Total de actividades programadas en el plan de seguridad y privacidad de la

información

INDICADORES DE MEDICION
1. Seguimiento a la política de seguridad y privacidad de la información.
2. Registrar a la entidad en el Registro Nacional de Base de Datos

JOSE WILLIAN HERREÑO LOZANO

Alcalde

Elaboro: Anny Sánchez Rondon/ Asesora externa control interno

Reviso: Miguel Andrés Reyes/ secretario General y de Gobierno