Modelo de Seguridad y

Privacidad de la Informacin

Modelo

HISTORIA
VERSIN

FECHA

CAMBIOS INTRODUCIDOS

1.0.0

15/12/2010

Versin inicial del documento

2.0.0

30/09/2011

Restructuracin de forma

2.0.1

30/11/2011

Actualizacin del documento

3.0.0

03/03/2015

Revisin del documento

TABLA DE CONTENIDO
PG.
DERECHOS DE AUTOR ................................................................................................................. 4
AUDIENCIA ........................................................................................................................................... 5
INTRODUCCIN ................................................................................................................................ 6
JUSTIFICACIN ................................................................................................................................. 9
GLOSARIO ......................................................................................................................................... 10
OBJETIVOS ....................................................................................................................................... 13
MARCO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN .......................... 14
Captulo I - DESCRIPCIN DETALLADA DEL MODELO DE OPERACIN........... 15
COMPONENTE - PLANIFICACIN ......................................................................................... 17
COMPONENTE - IMPLEMENTACIN ................................................................................... 18
COMPONENTE EVALUACIN DE DESEMPEO ........................................................ 19
COMPONENTE MEJORA CONTINUA ............................................................................... 20
Captulo II - MODELO DE MADUREZ ..................................................................................... 21
Captulo III - PLAZOS..................................................................................................................... 26
-

........................................................................................................................... 31

DERECHOS DE AUTOR
A menos que se indique de forma contraria, el copyright (traducido literalmente
como derecho de copia y que, por lo general, comprende la parte patrimonial de los
derechos de autor) del texto incluido en este documento es del Ministerio de
Tecnologas de la Informacin y las Comunicaciones. Se puede reproducir
gratuitamente en cualquier formato o medio sin requerir un permiso expreso para
ello, bajo las siguientes condiciones:

El texto particular no se ha indicado como excluido y por lo tanto no puede

ser copiado o distribuido.
La copia no se hace con el fin de ser distribuida comercialmente.
Los materiales se deben reproducir exactamente y no se deben utilizar en un
contexto engaoso.
Las copias sern acompaadas por las palabras "copiado/distribuido con
permiso del Ministerio de Tecnologas de la Informacin y las
Comunicaciones de Colombia. Todos los derechos reservados.
El ttulo del documento debe ser incluido al ser reproducido como parte de
otra publicacin o servicio.

Si se desea copiar o distribuir el documento con otros propsitos, debe solicitar el

permiso entrando en contacto con la Direccin de Estndares y Arquitectura de TI
del Ministerio de Tecnologas de la Informacin y las Comunicaciones de la
Repblica de Colombia.
Todas las referencias a las polticas, definiciones o contenido relacionado,
publicadas en la norma tcnica colombiana NTC ISO/IEC 27001 vigente, as como
a los anexos con derechos reservados por parte de ISO/ICONTEC.

AUDIENCIA
Entidades pblicas de orden nacional y entidades pblicas del orden territorial, as
como proveedores de servicios de Gobierno en Lnea, y terceros que deseen
adoptar el Modelo de Seguridad y Privacidad de la informacin en el marco de la
Estrategia de Gobierno en Lnea.

INTRODUCCIN
En lo referente a seguridad de la informacin, la Ley 1341 de 2009 por la cual se
definen principios y conceptos sobre la sociedad de la informacin y la organizacin
de las tecnologas de la informacin y las comunicaciones TIC-se crea la agencia
nacional de espectro y se dictan otras disposiciones, seala en su artculo dos (2),
como principios orientadores y aspectos fundamentales para la promocin de la libre
competencia y el comercio electrnico, lo siguiente: la proteccin a los derechos de
los usuarios de las TIC, el acceso y uso de las TIC, la garanta de los derechos de
los ciudadanos y la masificacin del Gobierno en Lnea.
Adicional a lo expuesto, el Gobierno Nacional, a travs del documento CONPES
3701 del 14 de julio de 2011, estableci la Estrategia Nacional de Ciberseguridad y
Ciberdefensa, con el fin de desarrollar medidas que aseguren la informacin de los
ciudadanos frente a las amenazas informticas, estableciendo compromisos a
cargo del Ministerio de las TIC, entre otras entidades relacionados con el diseo e
implementacin de planes, polticas, estrategias, gestin, capacitacin y
sensibilizacin en lo referente a seguridad de la informacin.
Con la expedicin del decreto 2618 del 2012, se modifica la estructura del Ministerio
de las TIC, se crea la Subdireccin de Seguridad y Privacidad de TI, la cual tiene
las siguientes funciones:

Liderar la implementacin en el Estado de plataformas con estndares de

seguridad y privacidad de la informacin en coordinacin con las autoridades
pertinentes.
Definir, conjuntamente con las autoridades competentes, una estrategia de
seguridad y privacidad de la informacin desde la perspectiva de la
tecnologa en las dimensiones de la proteccin de bienes, activos, servicios,
derechos y libertades dependientes del Estado y que coordine las agencias
y entidades pblico - privadas relacionadas con este fin.
Elaborar una estrategia de seguridad de la informacin que soporte un marco
normativo especfico para las entidades del orden nacional y en coordinacin
con las entidades del orden territorial respetando la autonoma
administrativa.
Definir los lineamientos de poltica y estndares de proteccin de la
informacin pblica, para su preservacin en situaciones de desastre.

Identificar los activos dependientes del ciberespacio as como su regulacin

y definir el marco funcional y de responsabilidades en la materia, centrndose
en la defensa de las infraestructuras crticas, el tejido empresarial y las
libertades y derechos individuales, conforme a la ley vigente.
Fomentar y reforzar la cooperacin internacional en materia de
ciberseguridad a travs de alianzas multinacionales y bilaterales en la
materia.
Promover en la dinmica del Estado una cultura de la ciberresponsabilidad,
basada en la concientizacin y formacin continua en ciberseguridad, a
travs de planes de estudio que desarrollen teora prctica aplicable en las
organizaciones y provean empleo cualificado.
Promover la investigacin, el desarrollo y la innovacin del Sector en materia
de la ciberseguridad, que proporcione soluciones de tecnologas de la
informacin requeridas por el Estado.
Formular y liderar proyectos para identificar fortalezas y debilidades
relacionadas con la estructura de la informacin tales como la innovacin,
adaptacin y obsolescencia tecnolgica para garantizar estndares de
calidad y seguridad de la informacin en coordinacin con la Subdireccin de
Gestin Pblica de Tecnologas de la Informacin.

Le da facultades al Ministerio de las TIC, para generar estrategias de

implementacin y evaluacin del modelo de seguridad y privacidad de la
informacin, en las entidades del Estado.
Que el 12 de diciembre del ao 2014, fue expedido el Decreto 2573, Por el cual se
establecen los lineamientos generales de la Estrategia de Gobierno en Lnea, se
reglamenta parcialmente la Ley 1341 de 2009 y se dictan otras disposiciones. El
Decreto tiene como objeto Definir los lineamientos, instrumentos y plazos de la
estrategia de Gobierno en lnea para garantizar el mximo aprovechamiento de las
Tecnologas de la Informacin y las Comunicaciones, con el fin de contribuir con la
construccin de un Estado abierto, ms eficiente, ms transparente y ms
participativo y que preste mejores servicios con la colaboracin de toda la sociedad.
En el marco de la poltica, lineamientos y ejes de accin contenidos en el Plan Vive
Digital 2, que se desarrollarn en el periodo de gobierno 2014-2018, se encuentran
priorizados el impulso en la masificacin de las tecnologas, la consolidacin de un
ecosistema de desarrollo de aplicaciones sociales en el pas, y la obtencin de un
Gobierno ms eficiente y transparente a travs del uso de tecnologas, para lo cual

le corresponde a la Direccin de Estndares y Arquitectura de TI abordar la

ejecucin de las iniciativas que estn a su cargo en el marco de desarrollo del Plan.
Se plantea la necesidad de un marco de seguridad y privacidad de la informacin
para las entidades del Estado colombiano, la prestacin de servicios a los
ciudadanos a travs de las tecnologas de la informacin, que deber ser
respaldado por la gestin, polticas y procedimientos adecuados, que resalten el
papel de las personas como el primer eslabn de una compleja cadena de
responsabilidades en la proteccin de los activos de informacin, que est orientado
a preservar los pilares fundamentales de la seguridad de la informacin:

CONFIDENCIALIDAD: la informacin debe ser accesible slo a aquellas

personas autorizadas.

INTEGRIDAD: la informacin y sus mtodos de procesamiento deben ser

completos y exactos.

DISPONIBILIDAD: la informacin y los servicios debe estar disponible cuando

se le requiera.

Para el logro de estos objetivos, es fundamental contar con el acuerdo y

compromiso de todos los involucrados, el respaldo del nivel directivo dentro de la
entidad, siendo conscientes con los beneficios que se pueden obtener, con una
cultura enfocada a la seguridad y privacidad, pero tambin del impacto que se puede
afrontar por la materializacin de riesgos que no se controlan y que se asocian al
tema de seguridad y privacidad de la informacin.
El Modelo de Seguridad y Privacidad de la Informacin rene el conjunto de
lineamientos, polticas, normas, procesos e instituciones que proveen y promueven
la puesta en marcha, supervisin, mejora y control de la implementacin del modelo,
as como a la implementacin de la Estrategia de Gobierno en Lnea, establecida
en manual GEL.
Los captulos del modelo de seguridad y privacidad de la Informacin, presentan la
alineacin con el Marco de Referencia de Arquitectura Empresarial para la Gestin
de TI y la Estrategia de Gobierno en lnea.

JUSTIFICACIN
La estrategia de la Direccin de Estndares y Arquitectura de TI a travs de la
Subdireccin de Seguridad y Privacidad de TI, es dar cumplimiento a sus funciones
acorde a la Estrategia de Gobierno en lnea, a travs de las cuales se contribuye,
con la construccin de un Estado ms eficiente, ms transparente y participativo,
que preste los mejores servicios con la colaboracin de toda la sociedad, mediante
el aprovechamiento de las TIC, as mismo, trabajando en el fortalecimiento de la
proteccin de la privacidad de los usuarios como parte de una estrategia de
seguridad y privacidad en el pas y apoyando las actividades que permitan el ingreso
a los diferentes organismos nacionales e internacionales, tales como Organizacin
de Estados Americanos (OEA), Unin Internacional de Comunicaciones (UTI),
Convenio de Budapest, entre otros.
El modelo expuesto en este documento, incluye la actualizacin del modelo de
seguridad de la informacin para gobierno en lnea, versin 2.0, plan de operacin,
modelo de madurez, entre otros.

GLOSARIO

Activo
En relacin con la seguridad de la informacin, se refiere a cualquier informacin
o elemento relacionado con el tratamiento de la misma (sistemas, soportes,
edificios, personas) que tenga valor para la organizacin. (ISO/IEC 27000).

Amenazas
Causa potencial de un incidente no deseado, que puede provocar daos a un
sistema o a la organizacin. (ISO/IEC 27000).

Anlisis de Riesgo
Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.
(ISO/IEC 27000).

Auditora
Proceso sistemtico, independiente y documentado para obtener evidencias de
auditoria y obviamente para determinar el grado en el que se cumplen los
criterios de auditoria. (ISO/IEC 27000).

Ciberseguridad
Capacidad del Estado para minimizar el nivel de riesgo al que estn expuestos
los ciudadanos, ante amenazas o incidentes de naturaleza ciberntica.
(CONPES 3701).

Ciberespacio
mbito o espacio hipottico o imaginario de quienes se encuentran inmersos en
la civilizacin electrnica, la informtica y la ciberntica. (CONPES 3701,
Tomado de la Academia de la lengua Espaola).

Control
Las polticas, los procedimientos, las prcticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la informacin por debajo
del nivel de riesgo asumido. Control es tambin utilizado como sinnimo de
salvaguarda o contramedida. En una definicin ms simple, es una medida que
modifica el riesgo.

Declaracin de aplicabilidad
Documento que enumera los controles aplicados por el Sistema de Gestin de
Seguridad de la Informacin SGSI, de la organizacin tras el resultado de los
procesos de evaluacin y tratamiento de riesgos y su justificacin, as como la
justificacin de las exclusiones de controles del anexo A de ISO 27001. (ISO/IEC
27000).

Gestin de incidentes de seguridad de la informacin

Procesos para detectar, reportar, evaluar, responder, tratar y aprender de los
incidentes de seguridad de la informacin. (ISO/IEC 27000).

Plan de continuidad del negocio

Plan orientado a permitir la continuacin de las principales funciones misionales
o del negocio en el caso de un evento imprevisto que las ponga en peligro.
(ISO/IEC 27000).

Plan de tratamiento de riesgos

Documento que define las acciones para gestionar los riesgos de seguridad de
la informacin inaceptables e implantar los controles necesarios para proteger la
misma. (ISO/IEC 27000).

Riesgo
Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad
para causar una prdida o dao en un activo de informacin. Suele considerarse
como una combinacin de la probabilidad de un evento y sus consecuencias.
(ISO/IEC 27000).

Seguridad de la informacin
Preservacin de la confidencialidad, integridad, y disponibilidad de la
informacin. (ISO/IEC 27000).

Sistema de Gestin de Seguridad de la Informacin SGSI

Conjunto de elementos interrelacionados o interactuantes (estructura
organizativa, polticas, planificacin de actividades, responsabilidades,
procesos, procedimientos y recursos) que utiliza una organizacin para
establecer una poltica y unos objetivos de seguridad de la informacin y

alcanzar dichos objetivos, basndose en un enfoque de gestin y de mejora

continua. (ISO/IEC 27000).

Trazabilidad
Cualidad que permite que todas las acciones realizadas sobre la informacin o
un sistema de tratamiento de la informacin sean asociadas de modo inequvoco
a un individuo o entidad. (ISO/IEC 27000).

Vulnerabilidad
Debilidad de un activo o control que puede ser explotada por una o ms
amenazas. (ISO/IEC 27000).

Parte interesada (Stakeholder)

Persona u organizacin que puede afectar a, ser afectada por o percibirse a s
misma como afectada por una decisin o actividad.

OBJETIVOS

Para lograr esta visin se han adoptado los siguientes objetivos:

Contribuir al incremento de la transparencia en la gestin pblica.

Dar lineamiento para la implementacin de la gestin de la seguridad y

privacidad de la informacin, en las entidades del estado.

Promover el uso de mejores prcticas de seguridad de la informacin, para ser

la base de aplicacin del concepto de ciberseguridad en la entidad.

Alinear el marco de referencia de arquitectura empresarial con los principios de

seguridad y privacidad de la informacin.

MARCO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN

El modelo de operacin del Modelo de Seguridad y Privacidad de la Informacin,
contempla su implementacin en un ciclo de cinco (5) fases, las cuales permiten
que las entidades puedan gestionar la seguridad y privacidad de la informacin, con
el fin de fortalecer la proteccin de los datos y dar cumplimiento a lo establecido en
la Estrategia de Gobierno en Lnea, cubriendo de una manera integral cada uno de
sus componentes.
Esta gestin se aplica a todas las fases del desarrollo del modelo, de manera que
conserven las expectativas de los grupos de inters de la Entidad, tanto internos
como externos. Los insumos para la gestin del modelo estn dados por los
resultados de las actividades de cada fase, en especial los requeridos por las
Entidades, vistos en el marco de seguridad y privacidad de la informacin.
Dentro del Modelo de Seguridad y Privacidad de la Informacin se contemplan
niveles de madurez, para la evolucin permanente de la seguridad y privacidad de
la informacin al interior de la entidad. Estos requerimientos, se identifican, se
clasifican y se priorizan, como parte del proceso de la gestin de la seguridad y
privacidad de la informacin.

Captulo I - DESCRIPCIN DETALLADA DEL MODELO DE OPERACIN

En el presente capitulo se explica el ciclo de funcionamiento del modelo de
operacin, a travs de la descripcin detallada de cada una de las fases. Las cinco
(5) componentes que comprenden el modelo de operacin contienen objetivos,
metas y herramientas que permiten que la seguridad y privacidad de la informacin
sea un sistema de gestin sostenible dentro de las entidades.

Diagnstico
Mejora continua

Gestin

Planificacin

Implementacin

Ilustracin 1 Marco de Seguridad y Privacidad de la Informacin

COMPONENTE - DIAGNSTICO
En este componente se pretende identificar el estado de la organizacin con
respecto a los requerimientos del Modelo de Seguridad y Privacidad de la
Informacin, que de ahora en adelante se denominara MSPI, el cual se encuentra
en la Estrategia de Gobierno en Lnea.
El resultado de la aplicacin de la herramienta de autoevaluacin, encuesta y
estratificacin (ver gua autoevaluacin, encuesta y estratificacin), permitir
determinar el nivel de madurez de seguridad y privacidad de la informacin en la
entidad y establecer la brecha con los objetivos a alcanzar.

Diagnstico

Estado actual de la entidad

Identificar el nivel de madurez
Pruebas de efectividad

Ilustracin 3 Diagnstico

Metas
Determinar el estado actual de la gestin de
seguridad y privacidad de la informacin al interior
de la Entidad, teniendo en cuenta la infraestructura
de red de comunicaciones (IPv4/IPv6). (Ver, gua
para el aseguramiento del protocolo IPv6)
Identificar el nivel de madurez de seguridad y
privacidad de la informacin en la Entidad.
Realizar pruebas que permitan a la Entidad medir la
efectividad de los controles existentes.

Entregable
Documento con el resultado de la autoevaluacin
realizada a la Entidad, de la gestin de seguridad y
privacidad de la informacin e infraestructura de red
de comunicaciones (IPv4/IPv6), revisado y aprobado
por la alta direccin.
Documento con el resultado de la herramienta de la
encuesta, revisado, aprobado y aceptado por la alta
direccin.
Documento con el resultado de la estratificacin de la
entidad, aceptado y aprobado por la direccin.

Una vez se tenga el resultado del diagnstico inicial y determinado el nivel de

madurez de la entidad se procede a la definicin del marco de seguridad y
privacidad de la entidad que contemplan los siguientes componentes:

COMPONENTE - PLANIFICACIN
En este componente, se debe definir la estrategia metodolgica, que permita
establecer el alcance, objetivos, procesos y procedimientos, pertinentes a la gestin
del riesgo y mejora de seguridad de la informacin, en procura de los resultados
que permitan dar cumplimiento con las metas propuestas del MSPI.
Contexto
Organizacional

Liderazgo

Planificacin

Objetivos, alcance y limites del MSPI.

Polticas de seguridad y privacidad de la informacin.
Procedimientos de control documental del MSPI
Asignacin de recurso humano, comunicacin de roles y
responsabilidades de seguridad y privacidad de la informacin.
Inventario de activos de informacin.
Acciones para tratar riesgos y oportunidades de seguridad de la
informacin.

Identificacin y valoracin de riesgos de

(Metodologa, Reportes).

Tratamiento de riesgos (Seleccin de controles).

Toma de conciencia.
Plan y estrategia de transicin de IPv4 a IPv6.

Soporte

Ilustracin 4 Componente de planificacin

Metas
Objetivos, alcance y limites del MSPI.
Polticas de seguridad y privacidad de la
informacin. (Ver, gua de polticas de seguridad
y privacidad de la informacin)
Procedimientos de control documental del MSPI
Asignacin de recurso humano, comunicacin de
roles y responsabilidades de seguridad y
privacidad de la informacin.
Inventario de activos de informacin. (Ver, Gua
de clasificacin de activos de informacin)
Acciones para tratar riesgos y oportunidades de
seguridad de la informacin. (Ver, gua de
gestin del riesgo)
o
Identificacin y valoracin de riesgos
de (Metodologa, Reportes).
o
Tratamiento de riesgos (Seleccin de
controles).
Toma de conciencia.
Plan y estrategia de transicin de IPv4 a
IPv6.(Ver, Gua de transicin de IPV4 a IPv6
para Colombia, circular 0002 del 6 de julio 2011).

Entregables
Documento con el alcance y limites de la
seguridad de la informacin,
debidamente aprobado y socializado al
interior de la Entidad, por la alta
direccin.
Acto administrativo a travs del cual se
crea o se modifica las funciones del
comit gestin institucional ( el que
haga sus veces), en donde se incluyan
los temas de seguridad de la informacin
en la entidad, revisado y aprobado por la
alta Direccin.
Documento con las polticas de
seguridad y privacidad de la informacin,
debidamente aprobadas y socializadas al
interior de la Entidad, por la alta
Direccin.
Formatos de procesos y procedimientos,
debidamente definidos, establecidos y
aprobados por el comit que integre los
sistemas de gestin institucional.
Documento de inventario de activo de
informacin, revisado y aprobado por la
alta Direccin.

Nivel

Inicial/
Gestionado

Documento con el informe de anlisis de

riesgos, matriz de riesgos, plan de
tratamiento de riesgos y declaracin de
aplicabilidad, revisado y aprobado por la
alta Direccin.
Documento con el plan de comunicacin,
sensibilizacin y capacitacin, con los
respectivos soportes, revisado y
aprobado por la alta Direccin.
Documento con el plan y estrategia de
transicin de IPv4 a IPv6, revisado y
aprobado por la alta Direccin.

COMPONENTE - IMPLEMENTACIN

Este componente le permitir a la Entidad llevar acabo la implementacin del

componente de planificacin del MSPI, teniendo en cuenta los aspectos ms
relevantes en los procesos de implementacin del MSPI.
Una vez terminada la definicin del Modelo de Operacin de Seguridad y Privacidad
de la Informacin (MOSPI), y de acuerdo con la identificacin de las necesidades
de la Entidad, se procede con la elaboracin del plan de Implementacin del MSPI.
Este componente del Modelo, busca disear y ejecutar de manera especfica la
estrategia del sistema de gestin.
En dicha estrategia se deben ejecutar las actividades necesarias para el
cumplimiento de las metas definidas, para lograr la implementacin y puesta en
marcha del MSPI en la Entidad, con el fin de abarcar dentro de esta gestin los
procesos de la Entidad de manera organizada y planificada teniendo en cuenta el
contexto de la Entidad identificado en el primer componente.

Implementacin

Planificacin y control
operacional.
Implementacin de controles.
Implementacin del plan de
tratamiento de riesgos.
Implementacin del plan y
estrategia de transicin de
IPv4 a IPv6.

Ilustracin 5 Componente de implementacin

Metas
Planificacin y control operacional.
Implementacin de controles. (Ver, Gua de
Controles)
Implementacin del plan de tratamiento de
riesgos. (Ver, Gua de gestin del riesgo)
Implementacin del plan y estrategia de
transicin de IPv4 a IPv6.(Ver, Gua de
transicin de IPV4 a IPv6 para Colombia, circular
0002 del 6 de julio 2011).

Entregables
Documento con la estrategia de
planificacin y control operacional,
revisado y aprobado por la alta Direccin.
Documento con el informe del plan de
tratamiento de riesgos, que incluya la
implementacin de controles de acuerdo
con lo definido en la declaracin de
aplicabilidad, revisado y aprobado por la
alta Direccin.
Indicadores de gestin del MSPI,
revisado y aprobado por la alta Direccin.
Documento con el informe de la
implementacin del plan y la estrategia
de transicin de IPv4 a IPv6, revisado y
aprobado por la alta Direccin.

Nivel

Definido

COMPONENTE EVALUACIN DE DESEMPEO

Este componente le permitir a la Entidad, debe evaluar el desempeo y la eficacia

del MSPI, a travs de instrumentos que permita determinar la efectividad de la
implantacin del MSPI.
Para la medicin de la efectividad de los procesos y controles del MSPI, se deben
tomar los indicadores definidos en el componente de implementacin para llevar a
cabo el plan de seguimiento, evaluacin y anlisis del MSPI.

Evaluacin de
desempeo

Plan de seguimiento, evaluacin

y anlisis del MSPI.
Auditoria Interna.
Evaluacin del plan de
tratamiento de riesgos.

Ilustracin 5 Componente de Evaluacin de desempeo

Metas
Plan de seguimiento, evaluacin y anlisis
del MSPI.
Auditoria Interna.
Evaluacin del plan de tratamiento de
riesgos.

Entregables
Documento con el plan de seguimiento,
evaluacin, anlisis y resultados del
MSPI, revisado y aprobado por la alta
Direccin.
Documento con el plan de auditoras
internas y resultados, de acuerdo a lo
establecido en el plan de auditoras,
revisado y aprobado por la alta Direccin.
Resultado del seguimiento, evaluacin y
anlisis del plan de tratamiento de

Nivel

Gestionado
cuantitativamente

riesgos, revisado y aprobado por la alta

Direccin.

COMPONENTE MEJORA CONTINUA

Este componente le permitir a la Entidad, consolidar los resultados obtenidos del

componente de evaluacin de desempeo, para disear el plan de mejoramiento
continuo de seguridad y privacidad de la informacin, que permita realizar el plan
de implementacin de las acciones correctivas identificadas para el MSPI.

Mejora
continua

Plan de seguimiento, evaluacin

y anlisis para el MSPI.
Auditoria Interna.
Comunicacin de resultados y
plan de mejoramiento.
Revisin y aprobacin por la alta
Direccin.

Ilustracin 5 Componente de mejoramiento continuo

Metas
Plan de seguimiento, evaluacin y anlisis para el
MSPI.
Auditoria Interna.
Comunicacin de resultados y plan de
mejoramiento.
Revisin y aprobacin por la alta Direccin.

Entregables
Documento con el plan de seguimiento,
evaluacin y anlisis para el MSPI,
revisado y aprobado por la alta Direccin.
Documento con el consolidado de las
auditoras realizadas de acuerdo con el
plan de auditoras, revisado y aprobado
por la alta Direccin.

Nivel

Optimizado

Captulo II - MODELO DE MADUREZ

Este modelo permite identificar el nivel de madurez en la implementacin del MSPI
en el que se encuentran las Entidades, identificando la brecha existente entre el
nivel inicial y el optimizado, permitiendo establecer un plan de trabajo que le permita
dar cumplimiento a las metas establecidas en cada uno de sus niveles.
A continuacin la ilustracin 6, muestra los diferentes niveles que hacen parte del
modelo de madurez.

Nivel 5
Optimizado
Nivel 4
Gestionado cuantitativamente
Nivel 3
Definido
Nivel 2
Gestionado
Nivel 1
Inicial

Ilustracin 6 Niveles de Madurez

El modelo de madurez del MSPI, busca establece unos criterios de valoracin a

travs de los cuales se determina el estado actual de la seguridad y privacidad de
la informacin de las entidades.

A continuacin se presentan los requerimientos de cada uno de los niveles de

madurez con sus respectivas metas.

Nivel
Inicial

Gestionado

Definido

Descripcin
En este nivel se encuentran las Entidades, que an no cuentan con una identificacin de
activos y gestin de riesgos, que les permita determinar el grado de criticidad de la
informacin, respecto a la seguridad y privacidad de la misma, por lo tanto los controles no
estn alineados con la preservacin de la confidencialidad, integridad, disponibilidad y
privacidad de la informacin.
En este nivel se encuentran las Entidades, en las cuales existen procesos bsicos de
gestin de la seguridad y privacidad de la informacin. De igual forma existen controles que
permiten detectar posibles incidentes de seguridad, pero no se encuentran gestionados
dentro del componente de planificacin del MSPI.
En este nivel se encuentran las Entidades que tiene documentado, estandarizado y
aprobado por la direccin, el modelo seguridad y privacidad de la informacin. Todos los
controles se encuentran debidamente documentados, aprobados, implementados,
probados y actualizados.

Gestionado
cuantitativamente

En este nivel se encuentran las Entidades, que cuenten con mtricas, indicadores y realizan
auditoras al modelo de seguridad y privacidad de la informacin, recolectando informacin
para establecer la efectividad de los controles.

Optimizado

En este Nivel se encuentran las Entidades, en donde existe un mejoramiento continuo del
modelo de seguridad y privacidad de la informacin, retroalimentacin cualitativa del
modelo.

Nivel

Requerimientos

Inicial

Gestionado

Se identifican en forma general los activos

de informacin de la Entidad.
Se clasifican los activos de informacin
lgicos y fsicos de la Entidad.
Los funcionarios de la Entidad no tienen
conciencia de la seguridad y privacidad de
la informacin.
Existe la necesidad de implementar el
Modelo de Seguridad y Privacidad de la
Informacin, para definir polticas, procesos
y procedimientos claros para dar una
respuesta proactiva a las amenazas que se
presenten en la Entidad.
Se tratan temas de seguridad y privacidad
de la informacin en los comits del modelo
integrado de gestin.
Se empiezan a definir las polticas de
seguridad y privacidad de la informacin
basada en el Modelo de Seguridad y
Privacidad de la Informacin.
Los temas de seguridad de la informacin se
tratan
en
los
comits
directivos
interdisciplinarios de la Entidad, con
regularidad.
Con base en el inventario de activos de
informacin clasificado, se establece la
caracterizacin de cada uno de los sistemas
de informacin.

Meta

Establecer y documentar el
alcance,
limites,
poltica,
procedimientos,
roles
y
responsabilidades y del Modelo de
Seguridad y Privacidad de la
Informacin.
Determinar el impacto que generan
los eventos que atenten contra la
integridad,
disponibilidad
y
confidencialidad de la informacin
de la Entidad.
Disear programas para los
funcionarios,
de
toma
de
conciencia y comunicacin, de las
polticas de seguridad y privacidad
de la informacin.

Aprobacin de la alta direccin,

documentada y firmada, para la
Implementacin del Modelo de
Seguridad y Privacidad de la
Informacin.
Tener un inventario de activos de
informacin fsica y lgica de toda
la entidad, documentado y firmada,
por la alta Direccin.

Definido

Gestionado
cuantitativamente

Identificar los riesgos asicados con la

informacin, fsicos, lgicos, identificando
sus vulnerabilidades y amenazas.
Elaborar un informe de los incidentes de
seguridad de la informacin, estos deben
ser documentados e incluidos en el plan de
mejoramiento continuo.
Se cuentan con procedimientos que indican
a los funcionarios como manejar la
informacin y los activos de informacin en
forma segura.
Existen planes de continuidad del negocio
que contemplen los procesos crticos de la
Entidad que garanticen la continuidad de los
mismos.
Los roles de seguridad y privacidad de la
informacin estn bien definidos y se lleva
un registro de las actividades de cada uno.
Se observa en los funcionarios una
conciencia de seguridad y privacidad de la
informacin.
Se revisan y se aprueban las polticas de
seguridad y privacidad de la informacin.
Se definen los controles y medidas
necesarias para disminuir los incidentes y
prevenir su ocurrencia en el futuro.
Se Divulgan las polticas de seguridad y
privacidad de la informacin.
El comit directivo divulga, las medidas de
seguridad y privacidad de la informacin que
debern ser tomadas para la conservacin
de la informacin.
Se observa el compromiso de los
funcionarios con la seguridad y privacidad
de la informacin.
Se reconoce la importancia de ampliar los
planes de continuidad del negocio a otros
procesos, pero aun no se pueden incluir ni
trabajar con ellos.
Se implementan los controles y medidas
necesarias para disminuir los incidentes y
prevenir su ocurrencia en el futuro.
Se implementa el plan de tratamiento de
riesgos y las medidas necesarias para
mitigar la materializacin de las amenazas.
Se revisa y monitorea peridicamente los
activos de informacin de la Entidad.
Se utilizan indicadores de cumplimiento
para establecer si las polticas de seguridad
y privacidad de la informacin y las
clausulas establecidas por la organizacin
en los contratos de trabajo, son acatadas
correctamente.
Se realizan pruebas de manera sistemtica
a los controles, para determinar si estn
funcionando de manera adecuada.
Se realizan pruebas y ventanas de
mantenimiento (simulacro), para determinar
la efectividad de los planes de respuesta de
incidentes.
Se realizan pruebas a las aplicaciones o
software desarrollado in house para
determinar que cumplen con los requisitos
de seguridad y privacidad de la informacin

Documentar todos los incidentes

de seguridad y privacidad de la
informacin.
Documentar
y
proteger
adecuadamente los planes de
continuidad del negocio de la
Entidad,
este
de
estar
documentado y firmado, por la alta
Direccin.
Los planes de toma de conciencia
y comunicacin, de las polticas de
seguridad y privacidad de la
informacin,
deben
estar
aprobados y documentados, por la
alta Direccin.
Documentar los controles fsicos y
lgicos que se han definido en la
Entidad, con los cuales se busca
preservar la seguridad y privacidad
de la informacin, aprobado por la
alta Direccin.

Ejecutar los planes de toma de

conciencia,
comunicacin
y
divulgacin, de las polticas de
seguridad y privacidad de la
informacin, aprobados por la alta
Direccin.
Implementar los controles fsicos y
lgicos que se han definido en la
Entidad, con los cuales se busca
preservar la seguridad y privacidad
de la informacin.

Informe del desempeo de la

operacin del modelo de seguridad
y privacidad de la informacin, el
cual debe contener como mnimo:
o
La revisin y verificacin
contina de los controles
implementados.
o
Revisin y elaboracin
de riesgos.
o
Medicin
de
los
indicadores de gestin.
o
Informes de auditoras
de acuerdo con lo
establecido en el plan de
auditoras de la entidad.
o
Registro de actividades
en seguridad (bitcora
operativa).

Optimizado

definidos en la metodologa de desarrollo de

software de la Entidad.
Se evala la efectividad los controles y
medidas necesarias para disminuir los
incidentes y prevenir su ocurrencia en el
futuro.
Se realizan pruebas de efectividad en la
Entidad, para detectar vulnerabilidades
(fsicas, lgicas y humanas) y accesos no
autorizados a activos de informacin
crticos.
Los funcionarios apoyan y contribuyen al
mejoramiento de la seguridad y privacidad
de la informacin en la Entidad.
La Entidad aprende continuamente sobre
los incidentes de seguridad presentados.
Se analizan los datos arrojados por el
informe de desempeo en seguridad y
privacidad de la informacin para definir
acciones correctivas ms claras.
Se implementan las acciones correctivas y
planes de mejora.
Se incluyen todas las reas de la Entidad,
en los planes de respuesta de incidentes.

Elaboracin de planes de
mejora.

Lograr que la seguridad y

privacidad de la informacin este
en toda la Entidad de manera
implcita,
para
que
ningn
funcionario o Directivo sean ajenos,
sino que por el contrario, que ellos
apoyen y contribuyan a la
conservacin de la seguridad y
privacidad de la informacin en
toda la organizacin.

De conformidad con lo establecido en el modelo de madurez, a continuacin se

presenta un paralelo entre los niveles y los controles del modelo de seguridad y
privacidad de la informacin.
NIVEL
Inicial

Gestionado

Definido

Controles Modelo de Seguridad y Privacidad de la Informacin

8. GESTIN DE ACTIVOS
8.2 Clasificacin de la Informacin
5. POLITICA DE SEGURIDAD
5.1 Directrices de la Direccin en seguridad de la informacin.
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIN
6.1 Organizacin interna.
6.2 Dispositivos para movilidad y teletrabajo.
8. GESTIN DE ACTIVOS
8.1 Responsabilidad sobre los activos.
12. SEGURIDAD EN LA OPERATIVA.
12.2 Proteccin contra cdigo malicioso.
12.3 Copias de seguridad.
12.6 Gestin de la vulnerabilidad tcnica.
16. GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN.
16.1 Responsabilidades y procedimientos.
17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIN DE
LA CONTINUIDAD DEL NEGOCIO.
17.1.1 Planificacin de la continuidad de la seguridad de la informacin.
7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.
7.1 Antes de la contratacin.
7.2 Durante la contratacin.
7.3 Cese o cambio de puesto de trabajo.
9. CONTROL DE ACCESOS.
9.1 Requisitos de negocio para el control de accesos.
9.3 Responsabilidades del usuario.
11. SEGURIDAD FSICA Y AMBIENTAL
11.1 reas seguras
11.2 Seguridad de los equipos.
12. SEGURIDAD EN LA OPERATIVA.
12.1 Responsabilidades y procedimientos de operacin.

Gestionado
Cuantitativamente

Optimizado

12.5 Control del software en explotacin.

13. SEGURIDAD EN LAS TELECOMUNICACIONES.
13.1 Gestin de la seguridad en las redes.
13.2 Intercambio de informacin con partes externas.
14. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
DE INFORMACIN.
14.1 Requisitos de seguridad de los sistemas de informacin.
14.2 Seguridad en los procesos de desarrollo y soporte.
14.3 Datos de prueba.
16. GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN.
16.2 Notificacin de los eventos de seguridad de la informacin.
16.1.3 Notificacin de puntos dbiles de la seguridad.
16.1.7 Recopilacin de evidencias.
17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIN DE
LA CONTINUIDAD DEL NEGOCIO.
17.1.2 Implantacin de la continuidad de la seguridad de la informacin.
15. RELACIONES CON SUMINISTRADORES
15.1 Seguridad de la informacin en las relaciones con suministradores.
15.2 Gestin de la prestacin del servicio por suministradores.
9. CONTROL DE ACCESOS.
9.2 Gestin de acceso de usuario.
9.4 Control de acceso a sistemas y aplicaciones
10. CIFRADO
10.1 Controles Criptogrficos
12. SEGURIDAD EN LA OPERATIVA.
12.7 Consideraciones de las auditoras de los sistemas de informacin.
12.4 Registro de actividad y supervisin.
16. GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN.
16.1.4 Valoracin de eventos de seguridad de la informacin y toma de decisiones.
16.1.5 Respuesta a los incidentes de seguridad.
18. CUMPLIMIENTO.
18.1 Cumplimiento de los requisitos legales y contractuales.
18. CUMPLIMIENTO
18.2 Revisiones de la seguridad de la informacin.
16. GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN.
16.1.6 Aprendizaje de los incidentes de seguridad de la informacin.
17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIN DE
LA CONTINUIDAD DEL NEGOCIO.
Verificacin, revisin y evaluacin de la continuidad de la seguridad de la informacin.

Captulo III - PLAZOS

Los plazos para la implementacin de las actividades se establecieron para el
Manual de Gobierno en Lnea, y a travs del Decreto 2573 de 2014, en el Articulo
10. Plazos. Los sujetos obligados debern implementar las actividades
establecidas en el Manual de Gobierno en Lnea dentro de los siguientes plazos:
Sujetos Obligados del Orden Nacional
Componente/Ao
TIC para ser servicios

2015
90%

2016
100%

50%

2017
Mantener
100%
Mantener
100%
80%

2018
Mantener
100%
Mantener
100%
100%

TIC para Gobierno abierto

90%

100%

TIC para la Gestin

25%

Seguridad y Privacidad de la Informacin

40%

60%

80%

100%

2019
Mantener
100%
Mantener
100%
Mantener
100%
Mantener
100%

Planificacin
Liderazgo
Contexto
Organizacional

Planificacin

40%

Soporte

Diagnostico

60%

100%
80%

Operacin

Mejora
Evaluacin de
desempeo

Ilustracin 7 Cumplimiento para Entidades del Orden Nacional

2020
Mantener
100%
Mantener
100%
Mantener
100%
Mantener
100%

Sujetos Obligados del Orden Territorial

A. Gobernaciones de categora Especial y Primera; alcaldas de categora Especial,
y dems sujetos obligados de la administracin publica en el mismo nivel.
B. Gobernaciones de categora segunda, tercera y cuarta; alcaldas de categora
primera, segunda y tercera y dems sujetos obligados de la Administracin
Pblica en el mismo nivel.
C. Alcaldas de categora cuarta, quinta y sexta y dems sujetos obligados de la
Administracin Pblica en el mismo nivel.
Para las entidades agrupadas en A, B y C los plazos sern los siguientes:

Entidades A (%)

2020

2017

2019

2016

2018

2015

Componente/Ao

TIC para ser servicios

70%

90%

100%

Mantener Mantener
100%
100%

Mantener
100%

TIC para Gobierno abierto

80%

95%

100%

Mantener Mantener
100%
100%

Mantener
100%

TIC para la Gestin

20%

45%

80%

100%

Mantener
100%

Mantener
100%

Seguridad y Privacidad de la Informacin

35%

50%

80%

100%

Mantener Mantener
100%
100%

Planificacin

Liderazgo
Contexto
Organizacional

Planificacin

35%

Diagnostico

Soporte

50%

100%
80%

Operacin

Mejora
Evaluacin de
desempeo

Evaluacin de
desempeo

Ilustracin 8 Cumplimiento para Entidades del Orden Territorial A

2020

2017

2019

2016

TIC para ser servicios

45%

70%

100%

TIC para Gobierno abierto

65%

80%

100%

TIC para la Gestin

10%

30%

Seguridad y Privacidad de la
Informacin

10%

30%

Componente/Ao

2018

2015

Entidades B (%)

50%

Mantener
100%
Mantener
100%
65%

Mantener
100%
Mantener
100%
80%

Mantener
100%
Mantener
100%
100%

50%

65%

80%

100%

2020

2017

2019

2016

TIC para ser servicios

45%

70%

100%

TIC para Gobierno abierto

65%

80%

100%

TIC para la Gestin

Seguridad y Privacidad de la
Informacin

10%

30%

10%

30%

Componente/Ao

2018

2015

Entidades C (%)

50%

Mantener
100%
Mantener
100%
65%

Mantener
100%
Mantener
100%
80%

Mantener
100%
Mantener
100%
100%

50%

65%

80%

100%

Planificacin

Liderazgo
Contexto
Organizacional

Planificacin

30%
Diagnostico

10%

50%

100%

65%
80%

Soporte

Operacin

Mejora
Evaluacin de
desempeo

Evaluacin de
desempeo

Ilustracin 7 Cumplimiento para Entidades del Orden Territorial A y B

Pargrafo. Las obligaciones a cargo de los sujetos obligados indicadas en la ley

1712 de 2014 que sean incorporadas en los componentes, contarn con los plazos
de cumplimiento sealados por la ley.

a. Evaluacin de Seguridad
La entidad debe verificar la eficacia, eficiencia y efectividad del modelo se seguridad
y privacidad de la informacin. Estableciendo las acciones pertinentes para la
mejora continua del sistema, mitigando los riesgos identificados y cumpliendo con
los objetivos del modelo.

Los siguientes documentos se diseados para un mejor entendimiento de las entidades en

la implementacin el Modelo de Seguridad y Privacidad de la Informacin.
Gua No. 1 - Encuesta y auto evaluacin de seguridad y privacidad de la informacin.
Este documento presenta un conjunto de preguntas que ayuda al levantamiento de la
informacin de la infraestructura fsica, lgica y metodolgica de seguridad de las entidades,
como parte del estudio de la situacin actual de cada una de ellas.
Gua No. 2 - Elaboracin e implementacin de polticas de seguridad y privacidad de
la informacin.
Este documento contiene una plantilla de poltica de seguridad de la informacin que las
entidades pueden adaptar segn sus objetivos estratgicos.
Gua No. 3 - Gestin del riesgo
Este documento presenta una metodologa para la gestin del riesgo al interior de las
entidades del Estado en el marco del Programa de Gobierno en lnea.
Gua No. 4 - Clasificacin de activos de informacin
Este documento presenta una metodologa de clasificacin de activos para las entidades
del Estado en el marco del Programa Gobierno en lnea.
Gua No. 5 - Controles de seguridad
Este documento presenta el conjunto de polticas que deben ser cumplidas por las
entidades y 113 controles recomendados para que la entidad genere el documento de
aplicabilidad de controles para el Sistema de Gestin de Seguridad de la Informacin.
Gua No. 6 - Indicadores de seguridad y privacidad de la informacin
Este documento presenta indicadores de seguridad y privacidad de la informacin, cuyo
propsito es evaluar el estado de las entidades gubernamentales en materia de seguridad
de la informacin, alineados con la Estrategia de Gobierno en lnea.
Gua No. 7 - Modelo de Operacin
Este documento presenta el modelo de operacin del Modelo de Seguridad y Privacidad de
la Informacin, contemplado su ciclo de cinco (5) fases, las cuales permiten que las
entidades puedan gestionar la seguridad y privacidad de la informacin, con el fin de

fortalecer la proteccin de los datos y dar cumplimiento a lo establecido en la Estrategia de

Gobierno en Lnea, cubriendo de una manera integral cada uno de sus componentes.
Gua No. 8 - Continuidad del negocio
En este documento encontrara los conceptos y principios para la preparacin tecnologa de
informacin y comunicaciones (TIC), para la continuidad del negocio, y provee un marco de
mtodos y procesos que le permita identificar y especificar todos los aspectos para mejorar
la preparacin de las Entidades, para garantizar la continuidad del negocio.
Gua No. 9 - Lineamientos: Terminales de reas financieras entidades pblicas
En este documento encontrar los lineamientos que las entidades deben implementar para
elevar el aseguramiento de los equipos o terminales mviles asignados por la entidad,
donde se realizan las transacciones a financieras como l os son: pago de nmina, pagos
de seguridad social, pagos de contratacin y transferencia as de fondos, entre otros.
Gua No. 10 - Aseguramiento del protocolo IPv6
Este documento presenta los lineamientos y consideraciones de seguridad que son
necesarios tener en cuenta al momento de aplicar el protocolo IPv6 en cada una de las
Entidades que entren a utilizar este nuevo protocolo.
Gua No. 11 - Transicin de IPV4 a IPv6 para Colombia
Este documento presenta la gua de acompaamiento para las entidades del Estado
Colombiano, orientado a diagnosticar, desarrollar y aplicar la tcnicas de transicin de IPv4
a IPv6, mostrando las directrices en materia de equipamiento de computacin y de
comunicaciones necesarias para adoptar el protocolo IPv6, teniendo en cuenta los
estndares que apoyan la transicin del nuevo protocolo sobre las infraestructuras
informticas de TI, de las Entidades del Estado.
Gua No. 12 - Gestin de incidentes
En este documento encontrara procesos de la gestin de incidentes, con el fin de mejorar
la gestin de incidentes al interior de la Entidad.