Privacidad de la Informacin
Modelo
HISTORIA
VERSIN
FECHA
CAMBIOS INTRODUCIDOS
1.0.0
15/12/2010
2.0.0
30/09/2011
Restructuracin de forma
2.0.1
30/11/2011
3.0.0
03/03/2015
TABLA DE CONTENIDO
PG.
DERECHOS DE AUTOR ................................................................................................................. 4
AUDIENCIA ........................................................................................................................................... 5
INTRODUCCIN ................................................................................................................................ 6
JUSTIFICACIN ................................................................................................................................. 9
GLOSARIO ......................................................................................................................................... 10
OBJETIVOS ....................................................................................................................................... 13
MARCO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN .......................... 14
Captulo I - DESCRIPCIN DETALLADA DEL MODELO DE OPERACIN........... 15
COMPONENTE - PLANIFICACIN ......................................................................................... 17
COMPONENTE - IMPLEMENTACIN ................................................................................... 18
COMPONENTE EVALUACIN DE DESEMPEO ........................................................ 19
COMPONENTE MEJORA CONTINUA ............................................................................... 20
Captulo II - MODELO DE MADUREZ ..................................................................................... 21
Captulo III - PLAZOS..................................................................................................................... 26
-
........................................................................................................................... 31
DERECHOS DE AUTOR
A menos que se indique de forma contraria, el copyright (traducido literalmente
como derecho de copia y que, por lo general, comprende la parte patrimonial de los
derechos de autor) del texto incluido en este documento es del Ministerio de
Tecnologas de la Informacin y las Comunicaciones. Se puede reproducir
gratuitamente en cualquier formato o medio sin requerir un permiso expreso para
ello, bajo las siguientes condiciones:
AUDIENCIA
Entidades pblicas de orden nacional y entidades pblicas del orden territorial, as
como proveedores de servicios de Gobierno en Lnea, y terceros que deseen
adoptar el Modelo de Seguridad y Privacidad de la informacin en el marco de la
Estrategia de Gobierno en Lnea.
INTRODUCCIN
En lo referente a seguridad de la informacin, la Ley 1341 de 2009 por la cual se
definen principios y conceptos sobre la sociedad de la informacin y la organizacin
de las tecnologas de la informacin y las comunicaciones TIC-se crea la agencia
nacional de espectro y se dictan otras disposiciones, seala en su artculo dos (2),
como principios orientadores y aspectos fundamentales para la promocin de la libre
competencia y el comercio electrnico, lo siguiente: la proteccin a los derechos de
los usuarios de las TIC, el acceso y uso de las TIC, la garanta de los derechos de
los ciudadanos y la masificacin del Gobierno en Lnea.
Adicional a lo expuesto, el Gobierno Nacional, a travs del documento CONPES
3701 del 14 de julio de 2011, estableci la Estrategia Nacional de Ciberseguridad y
Ciberdefensa, con el fin de desarrollar medidas que aseguren la informacin de los
ciudadanos frente a las amenazas informticas, estableciendo compromisos a
cargo del Ministerio de las TIC, entre otras entidades relacionados con el diseo e
implementacin de planes, polticas, estrategias, gestin, capacitacin y
sensibilizacin en lo referente a seguridad de la informacin.
Con la expedicin del decreto 2618 del 2012, se modifica la estructura del Ministerio
de las TIC, se crea la Subdireccin de Seguridad y Privacidad de TI, la cual tiene
las siguientes funciones:
JUSTIFICACIN
La estrategia de la Direccin de Estndares y Arquitectura de TI a travs de la
Subdireccin de Seguridad y Privacidad de TI, es dar cumplimiento a sus funciones
acorde a la Estrategia de Gobierno en lnea, a travs de las cuales se contribuye,
con la construccin de un Estado ms eficiente, ms transparente y participativo,
que preste los mejores servicios con la colaboracin de toda la sociedad, mediante
el aprovechamiento de las TIC, as mismo, trabajando en el fortalecimiento de la
proteccin de la privacidad de los usuarios como parte de una estrategia de
seguridad y privacidad en el pas y apoyando las actividades que permitan el ingreso
a los diferentes organismos nacionales e internacionales, tales como Organizacin
de Estados Americanos (OEA), Unin Internacional de Comunicaciones (UTI),
Convenio de Budapest, entre otros.
El modelo expuesto en este documento, incluye la actualizacin del modelo de
seguridad de la informacin para gobierno en lnea, versin 2.0, plan de operacin,
modelo de madurez, entre otros.
GLOSARIO
Activo
En relacin con la seguridad de la informacin, se refiere a cualquier informacin
o elemento relacionado con el tratamiento de la misma (sistemas, soportes,
edificios, personas) que tenga valor para la organizacin. (ISO/IEC 27000).
Amenazas
Causa potencial de un incidente no deseado, que puede provocar daos a un
sistema o a la organizacin. (ISO/IEC 27000).
Anlisis de Riesgo
Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.
(ISO/IEC 27000).
Auditora
Proceso sistemtico, independiente y documentado para obtener evidencias de
auditoria y obviamente para determinar el grado en el que se cumplen los
criterios de auditoria. (ISO/IEC 27000).
Ciberseguridad
Capacidad del Estado para minimizar el nivel de riesgo al que estn expuestos
los ciudadanos, ante amenazas o incidentes de naturaleza ciberntica.
(CONPES 3701).
Ciberespacio
mbito o espacio hipottico o imaginario de quienes se encuentran inmersos en
la civilizacin electrnica, la informtica y la ciberntica. (CONPES 3701,
Tomado de la Academia de la lengua Espaola).
Control
Las polticas, los procedimientos, las prcticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la informacin por debajo
del nivel de riesgo asumido. Control es tambin utilizado como sinnimo de
salvaguarda o contramedida. En una definicin ms simple, es una medida que
modifica el riesgo.
Declaracin de aplicabilidad
Documento que enumera los controles aplicados por el Sistema de Gestin de
Seguridad de la Informacin SGSI, de la organizacin tras el resultado de los
procesos de evaluacin y tratamiento de riesgos y su justificacin, as como la
justificacin de las exclusiones de controles del anexo A de ISO 27001. (ISO/IEC
27000).
Riesgo
Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad
para causar una prdida o dao en un activo de informacin. Suele considerarse
como una combinacin de la probabilidad de un evento y sus consecuencias.
(ISO/IEC 27000).
Seguridad de la informacin
Preservacin de la confidencialidad, integridad, y disponibilidad de la
informacin. (ISO/IEC 27000).
Trazabilidad
Cualidad que permite que todas las acciones realizadas sobre la informacin o
un sistema de tratamiento de la informacin sean asociadas de modo inequvoco
a un individuo o entidad. (ISO/IEC 27000).
Vulnerabilidad
Debilidad de un activo o control que puede ser explotada por una o ms
amenazas. (ISO/IEC 27000).
OBJETIVOS
Diagnstico
Mejora continua
Gestin
Planificacin
Implementacin
COMPONENTE - DIAGNSTICO
En este componente se pretende identificar el estado de la organizacin con
respecto a los requerimientos del Modelo de Seguridad y Privacidad de la
Informacin, que de ahora en adelante se denominara MSPI, el cual se encuentra
en la Estrategia de Gobierno en Lnea.
El resultado de la aplicacin de la herramienta de autoevaluacin, encuesta y
estratificacin (ver gua autoevaluacin, encuesta y estratificacin), permitir
determinar el nivel de madurez de seguridad y privacidad de la informacin en la
entidad y establecer la brecha con los objetivos a alcanzar.
Diagnstico
Ilustracin 3 Diagnstico
Metas
Determinar el estado actual de la gestin de
seguridad y privacidad de la informacin al interior
de la Entidad, teniendo en cuenta la infraestructura
de red de comunicaciones (IPv4/IPv6). (Ver, gua
para el aseguramiento del protocolo IPv6)
Identificar el nivel de madurez de seguridad y
privacidad de la informacin en la Entidad.
Realizar pruebas que permitan a la Entidad medir la
efectividad de los controles existentes.
Entregable
Documento con el resultado de la autoevaluacin
realizada a la Entidad, de la gestin de seguridad y
privacidad de la informacin e infraestructura de red
de comunicaciones (IPv4/IPv6), revisado y aprobado
por la alta direccin.
Documento con el resultado de la herramienta de la
encuesta, revisado, aprobado y aceptado por la alta
direccin.
Documento con el resultado de la estratificacin de la
entidad, aceptado y aprobado por la direccin.
COMPONENTE - PLANIFICACIN
En este componente, se debe definir la estrategia metodolgica, que permita
establecer el alcance, objetivos, procesos y procedimientos, pertinentes a la gestin
del riesgo y mejora de seguridad de la informacin, en procura de los resultados
que permitan dar cumplimiento con las metas propuestas del MSPI.
Contexto
Organizacional
Liderazgo
Planificacin
Soporte
Metas
Objetivos, alcance y limites del MSPI.
Polticas de seguridad y privacidad de la
informacin. (Ver, gua de polticas de seguridad
y privacidad de la informacin)
Procedimientos de control documental del MSPI
Asignacin de recurso humano, comunicacin de
roles y responsabilidades de seguridad y
privacidad de la informacin.
Inventario de activos de informacin. (Ver, Gua
de clasificacin de activos de informacin)
Acciones para tratar riesgos y oportunidades de
seguridad de la informacin. (Ver, gua de
gestin del riesgo)
o
Identificacin y valoracin de riesgos
de (Metodologa, Reportes).
o
Tratamiento de riesgos (Seleccin de
controles).
Toma de conciencia.
Plan y estrategia de transicin de IPv4 a
IPv6.(Ver, Gua de transicin de IPV4 a IPv6
para Colombia, circular 0002 del 6 de julio 2011).
Entregables
Documento con el alcance y limites de la
seguridad de la informacin,
debidamente aprobado y socializado al
interior de la Entidad, por la alta
direccin.
Acto administrativo a travs del cual se
crea o se modifica las funciones del
comit gestin institucional ( el que
haga sus veces), en donde se incluyan
los temas de seguridad de la informacin
en la entidad, revisado y aprobado por la
alta Direccin.
Documento con las polticas de
seguridad y privacidad de la informacin,
debidamente aprobadas y socializadas al
interior de la Entidad, por la alta
Direccin.
Formatos de procesos y procedimientos,
debidamente definidos, establecidos y
aprobados por el comit que integre los
sistemas de gestin institucional.
Documento de inventario de activo de
informacin, revisado y aprobado por la
alta Direccin.
Nivel
Inicial/
Gestionado
COMPONENTE - IMPLEMENTACIN
Implementacin
Planificacin y control
operacional.
Implementacin de controles.
Implementacin del plan de
tratamiento de riesgos.
Implementacin del plan y
estrategia de transicin de
IPv4 a IPv6.
Metas
Planificacin y control operacional.
Implementacin de controles. (Ver, Gua de
Controles)
Implementacin del plan de tratamiento de
riesgos. (Ver, Gua de gestin del riesgo)
Implementacin del plan y estrategia de
transicin de IPv4 a IPv6.(Ver, Gua de
transicin de IPV4 a IPv6 para Colombia, circular
0002 del 6 de julio 2011).
Entregables
Documento con la estrategia de
planificacin y control operacional,
revisado y aprobado por la alta Direccin.
Documento con el informe del plan de
tratamiento de riesgos, que incluya la
implementacin de controles de acuerdo
con lo definido en la declaracin de
aplicabilidad, revisado y aprobado por la
alta Direccin.
Indicadores de gestin del MSPI,
revisado y aprobado por la alta Direccin.
Documento con el informe de la
implementacin del plan y la estrategia
de transicin de IPv4 a IPv6, revisado y
aprobado por la alta Direccin.
Nivel
Definido
Evaluacin de
desempeo
Metas
Plan de seguimiento, evaluacin y anlisis
del MSPI.
Auditoria Interna.
Evaluacin del plan de tratamiento de
riesgos.
Entregables
Documento con el plan de seguimiento,
evaluacin, anlisis y resultados del
MSPI, revisado y aprobado por la alta
Direccin.
Documento con el plan de auditoras
internas y resultados, de acuerdo a lo
establecido en el plan de auditoras,
revisado y aprobado por la alta Direccin.
Resultado del seguimiento, evaluacin y
anlisis del plan de tratamiento de
Nivel
Gestionado
cuantitativamente
Mejora
continua
Metas
Plan de seguimiento, evaluacin y anlisis para el
MSPI.
Auditoria Interna.
Comunicacin de resultados y plan de
mejoramiento.
Revisin y aprobacin por la alta Direccin.
Entregables
Documento con el plan de seguimiento,
evaluacin y anlisis para el MSPI,
revisado y aprobado por la alta Direccin.
Documento con el consolidado de las
auditoras realizadas de acuerdo con el
plan de auditoras, revisado y aprobado
por la alta Direccin.
Nivel
Optimizado
Nivel 5
Optimizado
Nivel 4
Gestionado cuantitativamente
Nivel 3
Definido
Nivel 2
Gestionado
Nivel 1
Inicial
Nivel
Inicial
Gestionado
Definido
Descripcin
En este nivel se encuentran las Entidades, que an no cuentan con una identificacin de
activos y gestin de riesgos, que les permita determinar el grado de criticidad de la
informacin, respecto a la seguridad y privacidad de la misma, por lo tanto los controles no
estn alineados con la preservacin de la confidencialidad, integridad, disponibilidad y
privacidad de la informacin.
En este nivel se encuentran las Entidades, en las cuales existen procesos bsicos de
gestin de la seguridad y privacidad de la informacin. De igual forma existen controles que
permiten detectar posibles incidentes de seguridad, pero no se encuentran gestionados
dentro del componente de planificacin del MSPI.
En este nivel se encuentran las Entidades que tiene documentado, estandarizado y
aprobado por la direccin, el modelo seguridad y privacidad de la informacin. Todos los
controles se encuentran debidamente documentados, aprobados, implementados,
probados y actualizados.
Gestionado
cuantitativamente
En este nivel se encuentran las Entidades, que cuenten con mtricas, indicadores y realizan
auditoras al modelo de seguridad y privacidad de la informacin, recolectando informacin
para establecer la efectividad de los controles.
Optimizado
En este Nivel se encuentran las Entidades, en donde existe un mejoramiento continuo del
modelo de seguridad y privacidad de la informacin, retroalimentacin cualitativa del
modelo.
Nivel
Requerimientos
Inicial
Gestionado
Meta
Establecer y documentar el
alcance,
limites,
poltica,
procedimientos,
roles
y
responsabilidades y del Modelo de
Seguridad y Privacidad de la
Informacin.
Determinar el impacto que generan
los eventos que atenten contra la
integridad,
disponibilidad
y
confidencialidad de la informacin
de la Entidad.
Disear programas para los
funcionarios,
de
toma
de
conciencia y comunicacin, de las
polticas de seguridad y privacidad
de la informacin.
Definido
Gestionado
cuantitativamente
Optimizado
Elaboracin de planes de
mejora.
Gestionado
Definido
Gestionado
Cuantitativamente
Optimizado
2015
90%
2016
100%
50%
2017
Mantener
100%
Mantener
100%
80%
2018
Mantener
100%
Mantener
100%
100%
90%
100%
25%
40%
60%
80%
100%
2019
Mantener
100%
Mantener
100%
Mantener
100%
Mantener
100%
Planificacin
Liderazgo
Contexto
Organizacional
Planificacin
40%
Soporte
Diagnostico
60%
100%
80%
Operacin
Mejora
Evaluacin de
desempeo
2020
Mantener
100%
Mantener
100%
Mantener
100%
Mantener
100%
Entidades A (%)
2020
2017
2019
2016
2018
2015
Componente/Ao
70%
90%
100%
Mantener Mantener
100%
100%
Mantener
100%
80%
95%
100%
Mantener Mantener
100%
100%
Mantener
100%
20%
45%
80%
100%
Mantener
100%
Mantener
100%
35%
50%
80%
100%
Mantener Mantener
100%
100%
Planificacin
Liderazgo
Contexto
Organizacional
Planificacin
35%
Diagnostico
Soporte
50%
100%
80%
Operacin
Mejora
Evaluacin de
desempeo
Evaluacin de
desempeo
2020
2017
2019
2016
45%
70%
100%
65%
80%
100%
10%
30%
Seguridad y Privacidad de la
Informacin
10%
30%
Componente/Ao
2018
2015
Entidades B (%)
50%
Mantener
100%
Mantener
100%
65%
Mantener
100%
Mantener
100%
80%
Mantener
100%
Mantener
100%
100%
50%
65%
80%
100%
2020
2017
2019
2016
45%
70%
100%
65%
80%
100%
10%
30%
10%
30%
Componente/Ao
2018
2015
Entidades C (%)
50%
Mantener
100%
Mantener
100%
65%
Mantener
100%
Mantener
100%
80%
Mantener
100%
Mantener
100%
100%
50%
65%
80%
100%
Planificacin
Liderazgo
Contexto
Organizacional
Planificacin
30%
Diagnostico
10%
50%
100%
65%
80%
Soporte
Operacin
Mejora
Evaluacin de
desempeo
Evaluacin de
desempeo
a. Evaluacin de Seguridad
La entidad debe verificar la eficacia, eficiencia y efectividad del modelo se seguridad
y privacidad de la informacin. Estableciendo las acciones pertinentes para la
mejora continua del sistema, mitigando los riesgos identificados y cumpliendo con
los objetivos del modelo.