ÁREA DE INVESTIGACIÓN Y PLANEACIÓN República de Colombia - Derechos Reservados

Tamaño: px
Comenzar la demostración a partir de la página:

Download "ÁREA DE INVESTIGACIÓN Y PLANEACIÓN República de Colombia - Derechos Reservados"

Transcripción

1 ENTREGABLES 3, 4, 5 y 6: INFORME FINAL MODELO DE SEGURIDAD DE LA - ESTRATEGIA DE GOBIERNO EN LÍNEA ÁREA DE INVESTIGACIÓN Y PLANEACIÓN República de Colombia - Derechos Reservados Bogotá, D.C., Diciembre de 2008

2 FORMATO PRELIMINAR AL DOCUMENTO Título: Fecha elaboración aaaa-mm-dd: Sumario: Palabras Claves: INFORME FINAL MODELO DE SEGURIDAD DE LA INFORMACIÓN SISTEMA SANSI SGSI -MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA 26 Diciembre 2008 CORRESPONDE A LOS ENTREGABLES 3, 4, 5 y 6: SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - DISEÑO DEL ESTRATEGIA DE GOBIERNO EN LÍNEA Sistema Administrativo, Modelo de Seguridad, Arquitectura Institucional, Ciclo PHVA, C-SIRT, Gestión de Seguridad Informática, SGSI, mejores prácticas, ISO, CobIT, madurez Formato: Lenguaje: Castellano Dependencia: Investigación y Planeación Código: Versión: 3 Estado: Documento para revisión por parte del Supervisor del contrato Categoría: Autor (es): Revisó: Aprobó: Equipo consultoría Digiware Juan Carlos Alarcon Ing. Hugo Sin Triana Firmas: Información Adicional: Ubicación: Página 2 de 207

3 CONTROL DE CAMBIOS VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN 0 02/12/2008 Ing. Jairo Pantoja M. Sistema SANSI para el Modelo de Seguridad de la Información 1 04/12/2008 Equipo del proyecto Revisión interna conjunta equipo consultoría Digiware 2 17/12/2008 Ing. Jairo Pantoja M. Actualización según discusiones internas del equipo de trabajo en cuanto a las funciones de los entes participadores del SANSI 3 26/12/2008 Ing. Fabiola Parra Modelo SGSI para el Sistema SANSI Controles Página 3 de 207

4 TABLA DE CONTENIDO 1. AUDIENCIA INTRODUCCIÓN MARCO DE REFERENCIA -SISTEMA DE GESTIÓN EN SEGURIDAD DE LA INFORMACIÓN -SGSI SEGURIDAD DE LA INFORMACIÓN ISO (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION) ESTÁNDAR ICONTEC NORMA ISO SERIE ISO RELACIÓN DE LA NORMA ISO27001 CON OTROS ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN -SGSI BENEFICIOS DE LA IMPLANTACIÓN DE UN SGSI JUSTIFICACIÓN DE LA IMPLEMENTACIÓN DE UN SGSI COMPONENTES PRINCIPALES DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN SGSI ESTRUCTURA INSTITUCIONAL INTRODUCCIÓN SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIÓN -SANSI COMISIÓN NACIONAL DE SEGURIDAD DE LA INFORMACIÓN GRUPO TÉCNICO DE APOYO DIRECCIÓN NACIONAL DE SEGURIDAD DE LA INFORMACIÓN RELACIONES DE DESARROLLO EMPRESARIAL CON ENTIDADES PÚBLICAS Y PRIVADAS FUNCIONES DE LOS ACTORES DEL SANSI -ENFOQUE BASADO EN EL PROCESO PHVA MEJORA DEL SGSI SEGURIDAD APLICADA A LA COMUNIDAD HIGIENE EN SEGURIDAD MODELO DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SGSI ALCANCE Y LÍMITES DEL SISTEMA OBJETIVOS DEL SISTEMA POLÍTICA DEL SISTEMA DE GESTIÓN...53 Página 4 de 207

5 6.4. POLÍTICAS Y OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN PS1 POLÍTICA DE CONTROL DE ACCESO PS2 - POLÍTICA DE NO REPUDIACIÓN PS3 - POLÍTICA DE SERVICIOS CONFIABLES PS4 POLÍTICA DE PRIVACIDAD Y CONFIDENCIALIDAD PS5 - POLÍTICA DE INTEGRIDAD PS6 POLÍTICA DE DISPONIBILIDAD DEL SERVICIO PS7 POLÍTICA DE DISPONIBILIDAD DE LA INFORMACIÓN PS8 POLÍTICA DE PROTECCIÓN DEL SERVICIO PS9 - POLÍTICA DE REGISTRO Y AUDITORIA ALINEAMIENTO DE LAS POLÍTICAS DE SEGURIDAD CON NORMAS Y MEJORES PRÁCTICAS DE LA INDUSTRIA CLASIFICACIONES DE SEGURIDAD DEL MODELO SGSI CLASIFICACIÓN DE ENTIDADES POR GRUPO O NATURALEZA DEL SERVICIO NIVELES DE MADUREZ DE LOS CONTROLES DE SEGURIDAD RECOMENDADOS REGISTRO DE SEGURIDAD DE LA INFORMACIÓN RSI - GRADUACIÓN CONTROLES DE DE SEGURIDAD DE LA INFORMACIÓN RECOMENDADOS POR GRUPO METODOLOGÍA DE CLASIFICACIÓN Y CONTROL DE ACTIVOS ENFOQUE PARA LA GESTIÓN DEL RIESGO RECOMENDACIONES GENERALES PARA LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO DEFINICIÓN DEL SISTEMA DE GESTIÓN DOCUMENTAL RECOMENDACIONES PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN APOYO POR PARTE DE LA ALTA DIRECCIÓN COMPROMISO DE LA ALTA DIRECCIÓN FORMACIÓN Y SENSIBILIZACIÓN REVISIÓN (AUDITORIAS) DEL SGSI Página 5 de 207

6 LISTA DE FIGURAS ILUSTRACIÓN 1: RELACIÓN ENTRE AMENAZAS ACTIVOS RIESGOS CONTROLES...17 ILUSTRACIÓN 2: PUNTOS IMPORTANTES PARA LA DECLARACIÓN DE APLICABILIDAD -SOA. TOMADO DE ESTRATEGIAS CLAVE PARA LA IMPLANTACIÓN DE ISO 27001, POR KK MOOKHEY Y KHUSHBU JITHRA...19 ILUSTRACIÓN 3: PRINCIPALES COMPONENTES DE UN SGSI. DERECHOS RESERVADOS ANDRÉS VELÁSQUEZ. ILUSTRACIÓN 4: SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIÓN -SANSI...23 ILUSTRACIÓN 5: COMISIÓN NACIONAL DE SEGURIDAD DE LA INFORMACIÓN...24 ILUSTRACIÓN 6: ESTRUCTURA GRUPO TÉCNICO DE APOYO...31 ILUSTRACIÓN 7: CICLO DE VIDA PHVA PARA EL SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIÓN Y SUS ACTORES...36 ILUSTRACIÓN 8: CICLO P-H-V-A. IMPLANTACIÓN Y GESTIÓN DE UN SISTEMA SGSI. COPYRIGHT 2007 ISECT LTD. ILUSTRACIÓN 9: GESTIÓN DE RIESGOS...42 ILUSTRACIÓN 10: ESTRUCTURA DEL MODELO DE SEGURIDAD...44 ILUSTRACIÓN 11: CMM NIVELES DE MADUREZ. COBIT 4.0. IT GOVERNANCE INSTITUTE...70 Página 6 de 207

7 LISTA DE TABLAS TABLA 1: RELACIÓN DE LAS POLÍTICAS Y OBJETIVOS DE CONTROL DEL MODELO DE SEGURIDAD SGSI PARA LA CON LAS NORMAS Y MEJORES PRÁCTICAS DE LA INDUSTRIA...67 TABLA 2: CLASIFICACIÓN DE GRUPOS SEGÚN LA NATURALEZA DE LA ENTIDAD...68 TABLA 3: CLASIFICACIÓN DE CONTROLES SEGÚN EL GRUPO AL QUE PERTENEZCA LA ENTIDAD...68 TABLA 4: CONTROLES DE SEGURIDAD RECOMENDADOS PARA LAS ENTIDADES DEL GRUPO TABLA 5: CONTROLES DE SEGURIDAD RECOMENDADOS PARA EL GRUPO TABLA 6: CONTROLES DE SEGURIDAD RECOMENDADOS PARA LAS ENTIDADES DEL GRUPO Página 7 de 207

8 DERECHOS DE AUTOR Este documento pertenece a la Estrategia de Gobierno en Línea del Ministerio de Comunicaciones de Colombia, esta prohibida la reproducción total o parcial del contenido de este documento sin la autorización expresa de la Estrategia de Gobierno en Línea. Todas las referencias con derechos reservados. Página 8 de 207

9 CRÉDITOS Este documento fue generado a partir de los resultados de la consultoría llevada a cabo para el diseño del modelo de seguridad de la información para la Estrategia de Gobierno en Línea. El desarrollo del proyecto estuvo a cargo del grupo de consultores contratados por Gobierno en Línea y el aporte de los responsables de la supervisión del contrato y demás grupos asesores de la Estrategia de Gobierno en Línea. Página 9 de 207

10 1. AUDIENCIA La Dirección del Proyecto, entidades públicas de orden nacional y territorial y entidades privadas, proveedores de servicios de Gobierno en Línea y la comunidad académica en general, que contribuirán con sus comentarios, observaciones y retro-alimentación a este documento cuyo propósito es plantear las mejores prácticas y recomendaciones para la creación del Modelo de Seguridad de la Información acorde con los objetivos y lineamientos de la Estrategia de Gobierno en Línea. Página 10 de 207

11 2. INTRODUCCIÓN En esta versión final del documento, se plantea la estructura institucional recomendada que deberá tener el modelo de seguridad de la información para la estrategia de Gobierno en Línea respaldado por los instrumentos normativos que le permitan tener vida y ser aplicado por las diferentes entidades públicas y privadas, incluyendo los proveedores que pertenezcan a la cadena de prestación de servicios de Gobierno en Línea (ver documento Instrumentos normativos proyectados ). Como se verá en el capítulo 5, el modelo de seguridad se apoyará en un Sistema Administrativo Nacional de Seguridad de la Información SANSI, para que sus diferentes componentes, realicen tareas y actividades relacionadas con el ciclo de vida propuesto para el modelo, incentiven su implementación y mejora continua cuando sea adoptado por las entidades destinatarias. Parte fundamental de la arquitectura institucional planteada, es la creación de un CSIRT Colombiano, para el cual, en este proyecto, se tienen propuestos tres diferentes modelos según la naturaleza del CSIRT a implementar: a) público -dependiendo del Ministerio de Comunicaciones, b) como Asociación sin ánimo de lucro del sector público y c) como Asociación sin ánimo de lucro con participación Mixta (ver documento Diseño de un CSIRT Colombiano ). Finalmente, este documento detalla el Modelo de gestión de seguridad de la información SGSI propiamente dicho, que será parte de la estructura planteada y que se integrará al ciclo de vida PHVA para que, además de ser un mecanismo de cumplimiento del modelo, le permita a las diferentes entidades destinatarias ceñirse a sus políticas, objetivos de control y controles planteados, y de esta forma, mejorar su nivel de seguridad de la información, para que sean competitivas y al mismo tiempo, provean mayor confianza a los ciudadanos que hagan uso de sus productos y servicios. Página 11 de 207

12 3. Marco de Referencia -Sistema de Gestión en Seguridad de la Información -SGSI 3.1. Seguridad de la Información La seguridad de la información es la preservación de los principios básicos de la confidencialidad, integridad y disponibilidad de la misma y de los sistemas implicados en su tratamiento. Estos tres pilares se definen 1 como: Confidencialidad: Acceso a la información por parte únicamente de quienes estén autorizados. Integridad: Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. Disponibilidad: Acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. En la seguridad de la información, no solo intervienen los aspectos tecnológicos, sino también los procesos, los ambientes (centro de cómputo, ubicación de oficinas) y principalmente las personas ISO (International Organization for Standardization) La ISO es una federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de 157 países (uno por cada país). Es una organización no gubernamental (sus miembros no son delegados de gobiernos nacionales), puesto que el origen de los institutos de normalización nacionales es diferente en cada país (entidad pública, privada). 1 Tomado de Preguntas más Frecuentes, doc_faq_all.pdf pág. 9, Página 12 de 207

13 La ISO desarrolla estándares requeridos por el mercado que representan un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores) acerca de productos, tecnologías, sistemas y métodos de gestión, entre otros. Estos estándares, por naturaleza, son de aplicación voluntaria, ya que el carácter no gubernamental de ISO no le da autoridad legal para forzar su implantación. Sólo en aquellos casos en los que un país ha decidido adoptar un determinado estándar como parte de su legislación, puede convertirse en obligatorio. La ISO garantiza un marco de amplia aceptación mundial a través de sus grupos técnicos y más de expertos que colaboran en el desarrollo de estándares Estándar Publicación que recoge el trabajo en común de los comités de fabricantes, usuarios, organizaciones, departamentos de gobierno y consumidores, que contiene las especificaciones técnicas y mejores prácticas en la experiencia profesional con el objeto de ser utilizada como regulación, guía o definición para las necesidades demandadas por la sociedad y tecnología Icontec2 El Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC), es un organismo de carácter privado, sin ánimo de lucro, que trabaja para fomentar la normalización, la certificación, la metrología y la gestión de la calidad en Colombia. Está conformado por la vinculación voluntaria de representantes del Gobierno Nacional, de los sectores privados de la producción, distribución y consumo, el sector tecnológico en sus diferentes ramas y por todas aquellas personas jurídicas y naturales que tengan interés en pertenecer a él. En el campo de la normalización, la misión del Instituto es promover, desarrollar y guiar la aplicación de Normas Técnicas Colombianas (NTC) y otros documentos normativos, con el fin de alcanzar una economía óptima de conjunto, el mejoramiento de la calidad y también facilitar las relaciones cliente-proveedor, en el ámbito empresarial nacional o internacional. ICONTEC, como Organismo Nacional de Normalización (ONN) representa a Colombia ante organismos de normalización internacionales y regionales como la Organización Internacional de Normalización (ISO), la 2 Tomado de Quienes Somos. Página 13 de 207

14 Comisión Electrotécnica Internacional (IEC), y la Comisión Panamericana de Normas de la Cuenca del Pacífico (COPANT) Norma ISO27001 Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Se basa en el ciclo de vida PDCA (Planear-Hacer-Verificar-Actuar; o ciclo de Deming) de mejora continua, al igual que otras normas de sistemas de gestión (ISO 9001 para calidad, ISO para medio ambiente, etc.). Este estándar es certificable, es decir, cualquier organización que tenga implantado un SGSI según este modelo, puede solicitar una auditoria externa por parte de una entidad acreditada y, tras superar con éxito la misma, recibir la certificación en ISO El origen de la Norma ISO27001 está en el estándar británico BSI (British Standards Institution) BS7799- Parte 2, estándar que fue publicado en 1998 y era certificable desde entonces. Tras la adaptación pertinente, ISO fue publicada el 15 de Octubre de Puede consultar la historia de ISO27001 en el siguiente link: Serie ISO27000 ISO ha reservado la serie de numeración para las normas relacionadas con sistemas de gestión de seguridad de la información. En el 2005 incluyó en ella la primera de la serie (ISO 27001), las demás son: ISO27000 (términos y definiciones), ISO27002 (objetivos de control y controles), ISO27003 (guía de implantación de un SGSI), ISO27004 (métricas y técnicas de medida de la efectividad de un SGSI), ISO27005 (guía para la gestión del riesgo de seguridad de la información) y ISO27006 (proceso de acreditación de entidades de certificación y el registro de SGSI). Página 14 de 207

15 Relación de la Norma ISO27001 con otros estándares de seguridad de la Información Existen otros estándares internacionalmente aceptados relacionados con seguridad de la información (COBIT 3, NIST 4, AS/NZ4360 5, entre otros), que la enfocan desde diferentes puntos de vista como controles de seguridad, buen gobierno, gestión de riesgo etc. Para este particular, se ha realizado un informe de interrelación de estándares de seguridad recomendados y se incluye un mapa que detalla estas relaciones tomando como pivote la mencionada norma ISO Ver Anexo 1 -Mapa de Interrelación de Estándares de Seguridad de la Información Sistema de Gestión de la Seguridad de la Información -SGSI Un SGSI es un Sistema de Gestión de la Seguridad de la Información o ISMS por sus siglas en inglés (Information Security Management System). Este sistema consiste de una serie de actividades de gestión que deben realizarse mediante procesos sistemáticos, documentados y conocidos por una organización o entidad. 3 COBIT: Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT ) brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de COBIT representan el consenso de los expertos. Están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones facilitadas por la TI, asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien. El Instituto ITGI Governance Institute (www.itgi.org) diseñó y creó esta publicación titulada COBIT como un recurso educacional para los directores ejecutivos de información, para la dirección general, y para los profesionales de administración y control de TI. Más información en la página 4 NIST: National Institute of Standards and Technology, Elabora y promueve patrones de medición, estándares y tecnología con el fin de realzar la productividad, facilitar el comercio y mejorar la calidad de vida. Destinados principalmente para el Gobierno de EE.UU. las fuerzas militares y el sector comercial, pero pueden ser adaptados a cualquier contexto. Las publicaciones del NIST, son estándares concisos y claros, disponibles de forma gratuita. NIST tiene una división especial destinada para publicaciones relacionadas en seguridad de la información: Computer Security Division Resource Center 5 AS/NZ4360: Norma Australiana Neocelandesa que suministra orientaciones genéricas para la gestión de riesgos. Puede aplicarse a una gran variedad de actividades, decisiones u operaciones de cualquier entidad pública, privada o comunitaria, grupos o individuos. Se trata de una instrucción amplia pero que permite la definición de objetivos específicos de acuerdo con las necesidades de cada implementación. La aplicación de la norma AS/NZS 4360, le garantiza a la organización una base sólida para la aplicación de cualquier otra norma o metodología de gestión de riesgos específica para un determinado segmento. Ver más información en: Página 15 de 207

16 El propósito 6 de un sistema de gestión de la seguridad de la información no es garantizar la seguridad que nunca podrá ser absoluta- sino garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la organización, los riesgos, el entorno y las tecnologías. El SGSI protege los activos de información de una organización, independientemente del medio en que se encuentren; p. ej., correos electrónicos, informes, escritos relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información confidencial de trabajadores y colaboradores, entre otros Beneficios de la implantación de un SGSI Aplica una arquitectura de gestión de la seguridad que identifica y evalúa los riesgos que afectan al negocio, con el objetivo de implantar contramedidas, procesos y procedimientos para su apropiado control, tratamiento y mejora continua. Ayuda a las empresas a gestionar de una forma eficaz la seguridad de la información, evitando las inversiones innecesarias, ineficientes o mal dirigidas que se producen por contrarrestar amenazas sin una evaluación previa, por desestimar riesgos, por la falta de contramedidas, por implantar controles desproporcionados y de un costo más elevado del necesario, por el retraso en las medidas de seguridad en relación a la dinámica de cambio interno de la propia organización y del entorno, por la falta de claridad en la asignación de funciones y responsabilidades sobre los activos de información, por la ausencia de procedimientos que garanticen la respuesta puntual y adecuada ante incidencias o la propia continuidad del negocio, etc Justificación de la implementación de un SGSI La información, junto a los procesos, personas y sistemas que hacen uso de ella, son activos muy importantes dentro de una organización. La confidencialidad, integridad y disponibilidad de información sensitiva son elementos esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos. Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes inherentes a los activos, pueden someter a los mismos a diversas formas de fraude, espionaje, sabotaje o vandalismo, entre otros. Los virus informáticos, el hacking o los ataques de negación de servicio son algunos ejemplos comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y fallas técnicos. 6 Tomado de Preguntas más Frecuentes, doc_faq_all pág. 8, Página 16 de 207

17 El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones variables del entorno, la protección adecuada de los objetivos de negocio para asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales en los que el SGSI es una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones. El nivel de seguridad alcanzado por medios y controles técnicos es limitado e insuficiente. En la gestión efectiva de la seguridad, debe tomar parte activa toda la organización apoyada por la Alta Dirección, tomando en consideración también a clientes y proveedores de bienes y servicios. El modelo de gestión de la seguridad debe contemplar políticas y procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos. Ilustración 1: Relación entre amenazas activos riesgos controles El Modelo de gestión de seguridad de la información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un sistema SGSI, la organización conoce los riesgos a los que está sometida su información y activos y los asume, minimiza, transfiere o controla mediante una metodología definida, documentada y conocida por todos, que se revisa y mejora constantemente. Página 17 de 207

18 4. Componentes Principales de un Sistema de Gestión de la Seguridad de la Información SGSI De manera específica, ISO indica que un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio): Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una identificación clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de influencia del SGSI considere un subconjunto de la organización como delegaciones, divisiones, áreas, procesos, sistemas o tareas concretas). Política y objetivos de seguridad: documento de contenido genérico que establece el compromiso de la Alta Dirección y el enfoque de la organización en la gestión de la seguridad de la información. Estándares, Procedimientos, y Guías que soportan el SGSI: aquellos documentos y mecanismos que regulan el propio funcionamiento del SGSI. Documentación necesaria para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados -Métricas. Metodología de Evaluación de riesgos: descripción de la metodología a emplear (cómo se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de información contenidos dentro del alcance seleccionado), tratamiento y desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables. Informe de evaluación de riesgos Risk Assessment: estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos de información de la organización. Plan de tratamiento de riesgos: documento que identifica las acciones de la Alta Dirección, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la información, en función de las conclusiones obtenidas de la evaluación de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc. Página 18 de 207

19 Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI. Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas en inglés); documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones. Ilustración 2: Puntos importantes para la Declaración de Aplicabilidad -SOA. Tomado de Estrategias clave para la implantación de ISO 27001, por Kk Mookhey y Khushbu Jithra. Control de la documentación: Para los documentos generados y que hacen parte del sistema SGSI se debe establecer, documentar, implantar y mantener un procedimiento que defina las acciones de gestión necesarias para: La Alta Dirección debe aprobar documentos antes de su publicación. Revisar y actualizar documentos cuando sea necesario y renovar su validez. Garantizar que los cambios y el estado actual de revisión de los documentos están identificados. Garantizar que las versiones relevantes de documentos vigentes están disponibles en los lugares de empleo. Garantizar que los documentos se mantienen legibles y fácilmente identificables. Página 19 de 207

20 Garantizar que los documentos permanecen disponibles para aquellas personas que los necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con los procedimientos aplicables según su clasificación. Garantizar que los documentos procedentes del exterior están identificados. Garantizar que la distribución de documentos está controlada. Prevenir la utilización de documentos obsoletos. Aplicar la identificación apropiada a documentos que son retenidos con algún propósito. Ilustración 3: Principales componentes de un SGSI. Derechos reservados Andrés Velásquez. Página 20 de 207

21 5. ESTRUCTURA INSTITUCIONAL 5.1. Introducción Gobierno en Línea es una estrategia del Ministerio de Comunicaciones de Colombia 7 establecido como una política de estado, dirigida a contribuir con un sector productivo más competitivo, un estado moderno y una comunidad con mayores oportunidades para el desarrollo, al aprovechar las ventajas que las nuevas tecnologías ofrecen. La estrategia de Gobierno en Línea contribuye mediante el aprovechamiento de las Tecnologías de la Información y las Comunicaciones -TIC, a la construcción de un Estado más eficiente, más transparente, más participativo y en el que se presten mejores servicios a los ciudadanos y a las empresas. En este sentido, la Estrategia Gobierno en Línea persigue tres objetivos estratégicos: Mejorar la provisión de servicios a los ciudadanos y a las empresas Fortalecer la transparencia del Estado y la participación ciudadana Mejorar la eficiencia del Estado Para dar cumplimiento a sus objetivos estratégicos, la Estrategia de Gobierno en Línea está organizado por los procesos necesarios para promover en la administración pública el aprovechamiento de las TIC, a fin de desarrollar conjuntamente con las instituciones, y de manera gradual, servicios electrónicos dirigidos a la ciudadanía, las empresas y el Estado. 7 Tomado de: Fecha de acceso: 2008/10/10. Publicado por el Ministerio de Comunicaciones. Autor: No determinado. Página 21 de 207

22 Estos tres últimos aspectos se definen de la siguiente manera 8 ; Comunidad: Fomentar el uso de las Tecnologías de la Información para mejorar la calidad de vida de la comunidad, ofreciendo un acceso equitativo a las oportunidades de educación, trabajo, justicia, cultura, recreación, entre otros. Sector Productivo: Fomentar el uso de las tecnologías de la información y las comunicaciones como soporte al crecimiento y aumento de la competitividad, el acceso a mercados para el sector productivo, y como refuerzo a la política de generación de empleo. Estado: Proveer al Estado la conectividad que facilite la gestión de los organismos gubernamentales y apoye la función de servicio al ciudadano. A través de este programa, el Gobierno Nacional brindará en primera instancia, la información necesaria para difundir el conocimiento e incentivar la apropiación de las tecnologías de la información hacia las comunidades, de tal forma que estas, al ser quienes mejor conocen sus necesidades, intereses y perspectivas, participen activamente en el proceso mediante la formulación de requerimientos puntuales aplicables para su propio progreso Sistema Administrativo Nacional de Seguridad de la Información -SANSI El Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, se apoya en la creación del Sistema Administrativo Nacional de Seguridad de la Información SANSI, institución que le da la facultad al Presidente de la República de conformar la Comisión Nacional de Seguridad de la Información para tomar acciones estratégicas y definir los lineamientos que permitan la implementación, seguimiento y mantenimiento de las políticas y controles del Modelo de Seguridad 9 en cada una de las entidades públicas de orden nacional y territorial y en las entidades privadas que pertenezcan a la cadena de prestación de 8 Tomado de: Agenda de Conectividad, CONPES Modelo de Seguridad: Cabe aclarar que existen dos connotaciones para el término dentro de este documento. En los capítulos 1, 2 y 3, se hace referencia al modelo en cuanto a que el objetivo de la consultoría es definir un modelo de seguridad como un todo para la estrategia de gobierno en línea. A partir del numeral 3.2; se hace referencia al modelo de seguridad como un producto del sistema SANSI, entendiendo el modelo en su definición técnica como el conjunto de políticas estratégicas que soportan los objetivos de Gobierno en Línea; estas políticas a su vez, son soportadas por controles. Este conjunto de políticas y controles que conforman el modelo de seguridad, deberá ser implementado por cada una de las entidades objetivo, convirtiendo a este modelo en un sistema de gestión SGSI. Para mayor información del modelo de seguridad técnico, remitirse al capítulo número 6. Modelo SGSI. Página 22 de 207

23 servicios de Gobierno en Línea y en las entidades privadas que provean acceso a Internet a los ciudadanos que ingresen a los servicios de Gobierno en Línea. Gracias a mecanismos normativos que se están planteando en el marco de esta consultoría, se podrán sentar las herramientas para la creación del Sistema Administrativo Nacional de Seguridad de la Información, lo cual constituye un paso muy importante para el cumplimiento de los principios definidos en la Estrategia de Gobierno en Línea que corresponden a la "Protección de la información del individuo" y la "Credibilidad y confianza en el Gobierno en Línea". En particular, para lograr el cumplimiento de estos principios, se requiere que tanto los Servicios de Gobierno en Línea como la Intranet Gubernamental y las entidades que participen en la cadena de prestación de los servicios de Gobierno en Línea cumplan con los tres elementos fundamentales de la Seguridad de la Información a saber: disponibilidad de la información y los servicios; integridad de la información y los datos; y, confidencialidad de la información. Para la correcta administración de la Seguridad de la Información, se deben establecer y mantener programas y mecanismos que busquen cumplir con los tres requerimientos mencionados. Es así, como producto de esta consultoría, se propone la creación del Sistema Administrativo Nacional de Seguridad de la Información (SANSI), cuyo eje central es la Comisión Nacional de seguridad de la Información (CNSI) (ver Ilustración 4). El SANSI surge, entonces, como un sistema institucional que reúne a todos los actores públicos, privados, la academia y la sociedad civil involucrados en la seguridad nacional de la información. Así mismo, incorpora el conjunto de reglas y normas que rigen las interacciones entre estos actores. En este sentido, el SANSI coordinará las actividades relacionadas con la formulación, ejecución, seguimiento y mantenimiento de las políticas y lineamientos necesarios para fortalecer la adecuada gestión de la seguridad de la información nacional: Ilustración 4: Sistema Administrativo Nacional de Seguridad de la Información -SANSI Página 23 de 207

24 Finalmente, el Sistema Administrativo Nacional de Seguridad de la Información -SANSI, es el conjunto sistematizado de Lineamientos, Políticas, Normas, Procesos e Instituciones que proveen y promueven la puesta en marcha, supervisión y control del modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea. A continuación, se detallan cada una de las características de cada uno de los actores que componen el sistema SANSI: 5.3. Comisión Nacional de Seguridad de la Información La Comisión Nacional de Seguridad de la Información (CNSI) es el órgano asesor del Gobierno Nacional y de concertación entre éste, las entidades destinatarias y la sociedad civil en temas relacionados con la seguridad de la información del país y de sus territorios, con el fin de generar credibilidad y confianza en Gobierno en Línea protegiendo la información de las entidades y de los ciudadanos. La Comisión apoyará al Presidente de la República en la dirección del SANSI. Como se puede observar en la ilustración 5, el componente principal del sistema SANSI es la Comisión Nacional de Seguridad de la Información, la cual, provee un espacio de encuentro de todos los actores involucrados en temas de Seguridad Nacional para aprobar las políticas en materia de seguridad de información nacional, definir el curso de acciones a seguir y hacer seguimiento para asegurar su cumplimiento y su mantenimiento: Ilustración 5: Comisión Nacional de Seguridad de la Información Página 24 de 207

25 El modelo de seguridad de la información planteado obedece las directrices establecidas por la Comisión Nacional de Seguridad de la Información, compuesta por representantes de los diferentes sectores responsables e interesados en la seguridad nacional y cuya función es asesorar al Presidente de la República y al Gobierno Nacional en la formulación y adopción de los lineamientos del Modelo de Seguridad de la Información, en concordancia con los planes y programas de la Estrategia de Gobierno en Línea. La Comisión Nacional de Seguridad de la Información, está compuesta por los siguientes miembros que tendrán voz y voto 10 : o El Presidente de la República, quien la presidirá. Justificación: Es el jefe de Estado, jefe del gobierno y suprema autoridad administrativa, tiene las competencias para tomar decisiones estratégicas relacionadas con la seguridad de la información nacional. Aprueba leyes, decretos y actos jurídicos para dar soporte y cumplimiento al sistema SANSI. o El Ministro de Comunicaciones, quien ejercerá la coordinación general. Justificación: Dado que el sistema SANSI y sus diferentes componentes son adscritos al Ministerio de Comunicaciones, este último coordinará las actividades al interior de la Comisión. Junto con el Director Nacional de Seguridad de la Información, presentará los informes, las políticas, los controles y resultados del modelo de seguridad, y sus ajustes propuestos, para que sean estudiados y sometidos a aprobación por parte de la Comisión. Los ajustes del modelo de seguridad aprobados por la Comisión, serán incluidos en la nueva versión del modelo a ser implementado en el siguiente ciclo de vida del sistema SANSI. o El Ministro del Interior y de Justicia, como representante del gobierno. Justificación: Jefe superior de las entidades del gobierno y legales adscritas al ministerio. Actúa en representación del Presidente de la República en las funciones que el le delegue o la ley le confiera. Participa en la orientación, coordinación y control de las entidades adscritas y vinculadas pertenecientes al Sector Administrativo del Interior y de Justicia. Formula las políticas sectoriales, planes generales, programas y proyectos del Sector Administrativo del Interior y de Justicia, bajo la dirección del Presidente de la República. Representa, en los asuntos de su competencia, al Gobierno Nacional en la ejecución de tratados y convenios 10 Para la justificación de cada miembro de la Comisión, se tomaron algunas funciones que aparecen publicadas en las páginas Internet oficiales de cada entidad. Página 25 de 207

26 internacionales, de acuerdo con las normas legales sobre la materia. Coordina la actividad del Ministerio, en lo relacionado con su misión y objetivos, con las Entidades Públicas del orden nacional y descentralizado territorialmente y por servicios, el Congreso de la República, la Rama Judicial, la Registraduría Nacional del Estado Civil y los organismos de control. Imparte instrucciones a la Policía Nacional para la conservación y el restablecimiento del orden público interno en aquellos asuntos cuya dirección no corresponda al Ministro de Defensa Nacional. Planea, coordina, formula políticas y traza directrices que orienten los rumbos del sistema jurídico del país y del sistema de justicia. Prepara e impulsa proyectos de ley y actos legislativos ante el Congreso de la República. Promueve dentro de las instancias respectivas y con la colaboración de las entidades estatales competentes, la cooperación internacional en los asuntos de su competencia. o El Ministro de Defensa Nacional, como responsable de la Seguridad Nacional. Justificación: Participa en la definición, desarrollo y ejecución de las políticas de defensa y seguridad nacionales, para garantizar la soberanía nacional, la independencia, la integridad territorial y el orden constitucional, el mantenimiento de las condiciones necesarias para el ejercicio y el derecho de libertades públicas, y para asegurar que los habitantes de Colombia convivan en paz. Contribuye con los demás organismos del Estado para alcanzar las condiciones necesarias para el ejercicio de los derechos, obligaciones y libertades públicas. Coadyuva al mantenimiento de la paz y la tranquilidad de los colombianos en procura de la seguridad que facilite el desarrollo económico, la protección y conservación de los recursos naturales y la promoción y protección de los Derechos Humanos. Orienta, coordina y controla, en la forma contemplada por las respectivas leyes y estructuras orgánicas, las superintendencias, las entidades descentralizadas y las sociedades de economía mixta que a cada uno de ellos estén adscritas o vinculadas. o El Ministro de Comercio, Industria y Turismo, rector del desarrollo empresarial y normalización del país, además lidera el tema de competitividad. Justificación: Participa en la formulación de la política, los planes y programas de desarrollo económico y social. Formula la política en materia de desarrollo económico y social del país relacionada con la competitividad, integración y desarrollo de los sectores productivos de bienes y servicios de tecnología para la micro, pequeña y mediana empresa, el comercio interno y el comercio exterior. Formula las políticas para la regulación del mercado, la normalización, evaluación de la conformidad, calidad, promoción de la competencia, protección del consumidor y propiedad industrial. Desarrolla la estrategia de desarrollo empresarial, de productividad y competitividad, de Mipymes y regulación, de conformidad con los lineamientos señalados por los Consejos Superiores de Micro y de Pequeña y Mediana Empresa y el Ministro. Establece mecanismos permanentes y eficaces que garanticen la coordinación y la mayor participación del sector privado. Formula y adopta la política, los planes, programas y reglamentos de normalización. Ejerce la coordinación necesaria para mejorar el clima para la inversión tanto nacional como extranjera en el país y para incrementar la competitividad de los bienes y servicios colombianos. Formula dentro del marco de su competencia las políticas relacionadas Página 26 de 207

27 con los instrumentos que promuevan la productividad, la competitividad y el comercio exterior. o El Ministro de Relaciones Exteriores, para garantizar el cumplimiento de acuerdos internacionales. Justificación: Dirige y coordina la estrategia de comunicación que promueva la generación de una cultura corporativa en pro del desarrollo de la misión institucional y que brinde apoyo y asistencia técnica en materia de comunicaciones a todas las dependencias del Ministerio que lo requieran. o El Departamento Nacional de Planeación, encargado de la implantación de las políticas, ente rector de la planeación del país. Justificación: Coordina a todas las entidades y organismos públicos para garantizar el debido cumplimiento y ejecución de las políticas, los programas y los proyectos contenidos en el Plan Nacional de Desarrollo. Promueve, elabora y coordina estudios e investigaciones atinentes a la modernización y tecnificación de la macro-estructura del Estado. Participa en el diseño de la política para la prestación de servicios públicos domiciliarios, a través de las Comisiones de Regulación, y promueve su adopción por parte de las empresas de servicios públicos. Traza las políticas generales y desarrolla la planeación de las estrategias de control y vigilancia, para la adecuada y eficiente prestación de los servicios públicos domiciliarios. Participa en el diseño, seguimiento y evaluación de la política para el desarrollo de la ciencia, la tecnología y la innovación. o El Departamento Administrativo de Seguridad DAS, Seguridad Nacional. Justificación: Produce la inteligencia de Estado que requiere el Gobierno Nacional y formula políticas del sector administrativo en materia de inteligencia para garantizar la seguridad nacional interna y externa del Estado colombiano. Participa en el desarrollo de las políticas diseñadas por el Gobierno Nacional en materia de seguridad. Obtiene y procesa información en los ámbitos nacional e internacional, sobre asuntos relacionados con la seguridad nacional, con el fin de producir inteligencia de Estado, para apoyar al Presidente de la República en la formulación de políticas y la toma de decisiones. Coordina el intercambio de información y cooperación con otros organismos nacionales e internacionales que cumplan funciones afines. o La Superintendencia Financiera, por la Ley de Habeas Data y la inspección y control del sector financiero. Justificación: Propone las políticas y mecanismos que propendan por el desarrollo y el fortalecimiento del mercado de activos financieros y la protección al consumidor financiero. Instruye a las instituciones vigiladas y controladas sobre la manera como deben cumplirse las disposiciones que regulan su actividad, fija los criterios técnicos Página 27 de 207

28 y jurídicos que faciliten el cumplimiento de tales normas y señala los procedimientos para su cabal aplicación, así como instruye a las instituciones vigiladas sobre la manera como deben administrar los riesgos implícitos en sus actividades. o La Superintendencia de Industria y Comercio, Salvaguarda la Ley de Habeas Data. Justificación: Vela por la observancia de las disposiciones sobre protección al consumidor. Impone, previas explicaciones, de acuerdo con el procedimiento aplicable, las sanciones que sean pertinentes por violación de las normas sobre protección al consumidor, así como por la inobservancia de las instrucciones impartidas por la Superintendencia. Fija el término de la garantía mínima presunta para bienes o servicios. Fija requisitos mínimos de calidad e idoneidad para determinados bienes y servicios. Asesora al Gobierno Nacional y participa en la formulación de las políticas en todas aquellas materias que tengan que ver con la protección al consumidor, la promoción de la competencia y la propiedad industrial y en las demás áreas propias de sus funciones. Realiza las actividades de verificación de cumplimiento de las normas técnicas obligatorias o reglamentos técnicos sometidos a su control. Salvaguarda la ley de Habeas Data: Ley 1266 del 31 de diciembre de o Comisión de Regulación de las Telecomunicaciones CRT, como ente regulador del sector. Justificación: Promueve la competencia en el sector de las telecomunicaciones. Define los criterios de eficiencia y desarrolla los indicadores y modelos para evaluar la gestión financiera, técnica y administrativa de las empresas de telecomunicaciones. Prepara proyectos de ley para presentar ante el Congreso Nacional relacionados con la prestación del servicio de telecomunicaciones. Fija las normas de calidad que deben cumplir las empresas que prestan el servicio. Adicionalmente, la Comisión Nacional de Seguridad de la Información podrá convocar a los siguientes organismos para participar en las sesiones de la Comisión, cuando su presencia sea requerida en función de los temas a tratar, los cuales tendrán voz pero no voto: o Fiscalía General de la Nación, como representante de la Rama Judicial y unidad especializada en delitos de telecomunicaciones y la administración pública. Posee la Dirección Nacional del Cuerpo Técnico de Investigación CTI. Justificación: Investiga los delitos, califica los procesos y acusa ante los jueces y tribunales competentes, a los presuntos infractores de la ley penal, ya sea de oficio o por denuncia. Posee la Dirección Nacional del Cuerpo Técnico de Investigación CTI, que asesora al Fiscal General en la definición de políticas y estrategias asociadas con las funciones de Policía Judicial, en los temas de investigación criminal, servicios forenses, de genética y en la administración de la información técnica y judicial que sea útil para la investigación penal. Además, planea, organiza, dirige, controla y ejecuta las funciones de Policía Judicial de la Fiscalía, organiza y controla el cumplimiento de las políticas y estrategias de investigación, servicios Página 28 de 207

29 forenses, de genética y de administración de la información útil para la investigación penal en el CTI. Asesora al Fiscal General en el diseño y planeación de estrategias y procedimientos en materia de seguridad y de comunicaciones requeridos en los distintos niveles territoriales de la Entidad, así como también promover el intercambio de información entre los distintos organismos de seguridad del Estado, para la programación y el desarrollo de operaciones contra la delincuencia. o Procuraduría General de la Nación, como entidad de vigilancia, control y protección de los derechos de los ciudadanos. Justificación: La función preventiva, empeñada en prevenir antes que sancionar, vigila el actuar de los servidores públicos y advierte cualquier hecho que pueda ser violatorio de las normas vigentes, sin que ello implique coadministración o intromisión en la gestión de las entidades estatales. La función de intervención, en la que interviene ante las jurisdicciones Contencioso Administrativa, Constitucional y ante las diferentes instancias de las jurisdicciones penal, penal militar, civil, ambiental y agraria, de familia, laboral, ante el Consejo Superior de la Judicatura y las autoridades administrativas y de policía. La intervención es imperativa y se desarrolla de forma selectiva cuando el Procurador General de la Nación lo considere necesario y cobra trascendencia siempre que se desarrolle en defensa de los derechos y las garantías fundamentales de los ciudadanos. La función disciplinaria, inicia, adelanta y falla las investigaciones que por faltas disciplinarias se adelanten contra los servidores públicos y contra los particulares que ejercen funciones públicas o manejan dineros del estado. o Superintendencia de Servicios Públicos Domiciliarios, que vela por la adecuada prestación de los servicios a los ciudadanos. Justificación: Vigila y controla el cumplimiento de las leyes y actos administrativos a los que estén sujetos quienes presten servicios públicos, en cuanto el cumplimiento afecte en forma directa e inmediata a usuarios determinados y sancionar sus violaciones. Adelanta las investigaciones cuando las Comisiones de Regulación se lo soliciten. Señala, de conformidad con la Constitución y la ley, los requisitos y condiciones para que los usuarios puedan solicitar y obtener información completa, precisa y oportuna, sobre todas las actividades y operaciones directas o indirectas que se realicen para la prestación de los servicios públicos. Da concepto a las Comisiones de Regulación y a los Ministerios sobre las medidas que se estudien en relación con los servicios públicos. Efectúa recomendaciones a las Comisiones de Regulación en cuanto a la regulación y promoción del balance de los mecanismos de control y en cuanto a las bases para efectuar la evaluación de la gestión y resultados de las personas prestadoras de los servicios públicos sujetos a su control, inspección y vigilancia. Proporciona a las autoridades territoriales el apoyo técnico necesario, la tecnología, la capacitación, la orientación y los elementos de difusión necesarios para la promoción de la participación de la comunidad en las tareas de vigilancia. Página 29 de 207

30 o Registraduría Nacional del Estado Civil, Entidad encargada de la identificación de las personas. Justificación: Atiende el manejo, clasificación, archivo y recuperación de la información relacionada con el registro civil. Responde a las solicitudes de personas naturales o jurídicas y organismos de seguridad del Estado o de la rama judicial en cuanto a identificación, identificación de necrodactilias y demás requerimientos. Atiende todo lo relativo al manejo de la información, las bases de datos, el Archivo Nacional de Identificación y los documentos necesarios par el proceso técnico de la identificación de los ciudadanos. Adopta las políticas y procedimientos para el manejo del Registro del Estado Civil en Colombia, asegurando la inscripción confiable y efectiva de los hechos, actos y providencias sujetos a registro. Las funciones de la Comisión Nacional de Seguridad de la información están orientadas hacia una metodología basada en el proceso Planear Hacer Verificar Actuar de un sistema de gestión. Para ver la información sobre las funciones de esta Comisión, remitirse al numeral Grupo Técnico de Apoyo La Comisión Nacional de Seguridad de la información, es asesorada por el Grupo Técnico de Apoyo, (ilustración 8), cuya función principal es definir y mantener el Modelo de Seguridad de la información a nivel táctico y técnico especificando las políticas, objetivos de control y controles propuestos para que sean implementados por cada una de las entidades destinatarias. El Grupo Técnico de Apoyo, somete a consideración de la Comisión, la aprobación del Modelo de Seguridad de la Información y sus ajustes posteriores. De esta forma, el Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, servirá a las entidades que no han implementado aún un Sistema de Gestión en Seguridad de la información SGSI basado en las mejores prácticas y estándares internacionales; y como referente para aquellas entidades que ya cuentan con un SGSI implementado y que necesitará ser ajustado para apoyar los servicios de la Estrategia de Gobierno en Línea. Es el Grupo encargado de la preparación de los documentos, políticas, lineamientos y controles recomendados que son avalados por la Comisión. Asesora a las Entidades en su implementación y proporciona apoyo técnico y jurídico para la operatividad del modelo. Además, coordina las actividades del portafolio de servicios en seguridad de la información (soporte especializado, capacitación, concienciación) realizadas por el grupo CSIRT (ver documento Diseño de un CSIRT Colombiano ). Página 30 de 207

31 Ilustración 6: Estructura Grupo Técnico de Apoyo Las funciones del Grupo Técnico de Apoyo están orientadas hacia una metodología basada en el proceso Planear Hacer Verificar Actuar de un sistema de gestión. Para ver la información sobre las funciones de este Grupo, remitirse a los numerales (Funciones Planear) y (Funciones Actuar) del presente documento Dirección Nacional de Seguridad de la Información Encabeza el Grupo Técnico de Apoyo y depende del Ministerio de Comunicaciones. Articula la Comisión Nacional de Seguridad de la Información con el Grupo Técnico de Apoyo. Coordina las acciones tanto a nivel técnico como jurídico, los entes policivos y lo concerniente al grupo CSIRT (ver documento Diseño de un CSIRT Colombiano ) Funciones de la Dirección Nacional de Seguridad de la Información Aprobar y publicar el reporte anual de seguridad de la información en Colombia (estadísticas, métricas, indicadores, etc.). Página 31 de 207

32 Convocar expertos técnicos en seguridad de la información pertenecientes a la academia y al sector privado, con el objeto de plantear mejoras para el modelo de seguridad de la información (MSI). Coordinar acuerdos de cooperación con los entes policivos competentes para la provisión de servicios de asistencia ante incidentes de Seguridad de la Información en las entidades. Las siguientes son las entidades policivas contempladas: La Policía Nacional, como parte integrante de las autoridades de la República. Recomienda las políticas del estado en materia de seguridad de la comunidad, estableciendo planes y responsabilidades entre las diferentes entidades comprometidas. DAS (ver numeral 5.3. de este documento). La Fiscalía General de la Nación CTI (ver numeral 5.3. de este documento). DIJIN -Dirección de Investigación Criminal, contribuye a la seguridad y convivencia ciudadana, mediante el desarrollo efectivo de la investigación criminal judicial, criminalística, criminológica y el manejo de la información delincuencial orientada a brindar el apoyo oportuno a la administración de justicia. DIPOL Dirección de Inteligencia Policial, unidad especializada que tiene la misión de recolectar información y producir inteligencia en relación con los actores y factores de perturbación del orden público, la defensa y la seguridad nacional. Proponer ante la Comisión, los cambios y mejoras al modelo de seguridad de la información. Realizar la presentación ejecutiva anual ante la Comisión Nacional de Seguridad, con los resultados y la evolución del modelo de seguridad en las Entidades. Coordinar esfuerzos y acuerdos de cooperación con otros grupos CSIRT tanto públicos como privados. Coordinar esfuerzos y acuerdos de cooperación con las entidades de Vigilancia y Control para realización de verificaciones y auditorias en las entidades que deban cumplir con el Modelo de Seguridad de la Información. Coordinar esfuerzos y acuerdos de cooperación con entes de certificación que verifiquen el cumplimiento adecuado del Modelo de Seguridad de la Información en las entidades Grupo de Estudios Técnicos Define los lineamientos y la política de seguridad, prepara estudios técnicos, realiza presentaciones ejecutivas ante la Comisión, prepara el documento del Modelo de Seguridad, recibe información a nivel de seguridad proveniente del Grupo CSIRT entre otras funciones se encuentran: Página 32 de 207

33 Definir lineamientos, políticas y controles que forman parte del modelo de seguridad de la información, los cuales deberán ser cumplidos por las Entidades (Nivel Estratégico). Elaborar y publicar estudios e informes propios en materia de seguridad de la Información en Colombia (principales amenazas, probabilidades e impactos), basados en estadísticas, métricas, indicadores, provistos por el Grupo CSIRT y otras fuentes. Analizar los reportes estregados por el Grupo CSIRT, para determinar nuevas acciones a proponer a la Comisión Nacional de Seguridad Grupo Técnico - Jurídico Define los lineamientos normativos requeridos para la gestión de la política de seguridad de la información. Apoyo experto en respuesta a incidentes, delito informático y ciencias forenses. Otras Funciones: Asesorar a la Dirección Nacional de Seguridad de la Información, en temas legales y técnico jurídicos relacionados con seguridad de la información. Gestionar y aplicar el conocimiento legal en materia de Seguridad de la Información, derecho informático, Habeas Data y ciencias forenses. Proveer soporte técnico - jurídico en temas relacionados con la recopilación de pruebas forenses, primer respondiente, capacitación y entrenamiento. Diseñar el catálogo de términos de seguridad de la información, guías legales y modelos contractuales en materia de derecho informático CSIRT El grupo CSIRT es un pilar decisivo dentro del Sistema Administrativo de Seguridad de la Información - SANSI, ya que es el ente que permite dar operatividad al Modelo de Seguridad, proporcionando un completo portafolio de servicios especializados en seguridad de la información centrado en el soporte y la asistencia a las entidades tanto públicas como privadas, así como también, recopilando estadísticas, indicadores y métricas en seguridad de la información para su posterior análisis y toma de decisiones por parte de la Dirección Nacional de Seguridad de la Información. Para mayor información concerniente al CSIRT, ver documento Diseño de un CSIRT Colombiano Relación con otros Órganos Técnicos Autoridades de Vigilancia y Control Tanto para el sector público como para el sector privado, la Contraloría, las Superintendencias, la Fiscalía, la Procuraduría y los entes policivos, ejercerán Página 33 de 207

34 las labores de vigilancia (auditoria) y validación de la implantación de las disposiciones, lineamientos, políticas y controles relacionados con seguridad de la información plasmada en el Modelo. Estas autoridades forman parte de la fase VERIFICAR del ciclo PHVA del Sistema. Más información en el numeral 5.3. de este documento Organismos de Certificación Los organismos de certificación, son personas jurídicas (o morales) que tienen por objeto realizar tareas de certificación: evaluar que un producto, proceso, sistema, servicio, establecimiento o persona se ajusta a las normas, lineamientos o reconocimientos de organismos dedicados a la normalización nacionales o internacionales. En este caso, los organizamos verificarán que las entidades cumplan con el Modelo de seguridad de la Información. Estos organismos, formarán parte de la fase VERIFICAR del ciclo PHVA del Sistema. Más información en el numeral 5.3. de este documento. Estas Autoridades, adicionalmente, tendrán las siguientes funciones: o Establecer acuerdos de cooperación con el SANSI a través del Grupo Técnico de Apoyo. o Realizar auditorias de cumplimiento del Modelo de Seguridad en las entidades que lo soliciten. o Informar a la Dirección Nacional de Seguridad de la Información sobre las no conformidades y observaciones relacionadas con el cumplimiento del Modelo de Seguridad de la Información en las entidades auditadas Proveedores de Servicios Relacionados con la Seguridad de la Información El CSIRT como órgano coordinador de los procesos de incidentes relacionados con la seguridad de la información, demanda la permanente relación con los proveedores tanto nacionales como internacionales de los servicios relacionados con la seguridad de la información, manteniendo una base de datos actualizada y un estrecho relacionamiento para garantizar la oportuna actuación y prevención en incidentes relacionados con la seguridad de la información en las entidades La Academia Definitivamente la academia deberá estar incluida no solo en los procesos de diseño e implementación del CSIRT, sino que debe ser tenida en cuenta para asesorar al Grupo Técnico de Apoyo y en general al Sistema SANSI ya que son entes que poseen un amplio conocimiento y disponibilidad de Página 34 de 207

35 información, lo cual puede permitir tener oportunidades de mejora del sistema, sus políticas, lineamientos y controles Relaciones de Desarrollo Empresarial con Entidades Públicas y Privadas Las relaciones con la industria deberán partir de una sola filosofía, promover su desarrollo, dando visibilidad a la industria de seguridad de la información mediante un espacio (medios técnicos y humanos altamente especializados) en el que puedan ponerse en contacto la oferta y la demanda y en el que se colabora a impulsar la innovación del sector privado en seguridad de la información. Se da visibilidad tanto nacional como internacional a la industria de seguridad de la información en Colombia, se analiza la demanda y la oferta de productos/servicios de seguridad disponibles y se sensibiliza por ejemplo a la PYME en el uso de esos servicios y productos, dinamizando de este modo la demanda Funciones de los actores del SANSI -Enfoque basado en el proceso PHVA El Sistema Administrativo Nacional de Seguridad de la Información -SANSI, adopta un enfoque basado en procesos, para establecer, implementar, operar, hacer seguimiento, mantener y mejorar el Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, pero esta vez no orientado hacia una organización en particular sino a todos los actores y entidades involucradas: Página 35 de 207

36 Ilustración 7: Ciclo de Vida PHVA para el Sistema Administrativo Nacional de Seguridad de la Información y sus Actores Como se puede observar en la ilustración 7, se propone enfocar el Sistema Administrativo Nacional de Seguridad de la Información SANSI hacia un sistema de Gestión auto-sostenible, que funcione eficazmente y que tome como entradas al sistema: Los instrumentos normativos para apoyar la implementación del Modelo de Seguridad, Los lineamientos, requerimientos y la política del modelo de seguridad de la información para la estrategia de Gobierno en Línea que plasmen las expectativas de seguridad de la información. Como todo Sistema de Gestión, se recomienda que el SGSI a ser diseñado e implementado por cada una de las entidades participantes en la cadena de prestación de servicios de Gobierno en Línea se fundamente con base en la ISO 27001, por medio del uso del ciclo continuo PHVA (Planear Hacer Verificar Actuar): Página 36 de 207

37 Ilustración 8: Ciclo P-H-V-A. Implantación y Gestión de un sistema SGSI. Copyright 2007 IsecT Ltd. Planear: establecer el SGSI. Hacer: implementar y utilizar el SGSI. Verificar: monitorear y revisar el SGSI. Actuar: mantener y mejorar el SGSI. A continuación, se detallan las funciones a realizar para cada uno de los actores del sistema SANSI, tanto a alto nivel (Comisión y Grupo Técnico de Apoyo), como para las entidades destinatarias al implementar el modelo SGSI: Página 37 de 207

38 FASE PLANEAR CICLO PHVA - COMISIÓN NACIONAL DE SEGURIDAD DE LA INFORMACIÓN Y GRUPO TÉCNICO DE APOYO A ALTO NIVEL SANSI: Funciones de la Comisión Nacional de Seguridad de la Información: La Comisión es la máxima autoridad Nacional de Seguridad de la Información y se convierte en el escenario ideal para que los responsables por la Seguridad Nacional discutan y articulen los planes y estrategias de acción para garantizar adecuadamente la seguridad de la información nacional a través del Modelo de Seguridad para la Estrategia de Gobierno en Línea. Así mismo, permitirá la aprobación de políticas, acciones y controles a ser implementados por las entidades destinatarias para fortalecer su postura en seguridad de la información, permitiendo de esta forma, generar confianza y proteger adecuadamente la información de los ciudadanos. Reuniones: Por convocatoria del Ministro de Comunicaciones que actuará como Coordinador General, la Comisión, sesionará de manera ordinaria una (1) vez al año, y de manera extraordinaria con la frecuencia necesaria para el cabal cumplimiento de su agenda de trabajo. Funciones Fase Planear Ciclo PHVA: Apoyar y divulgar a alto nivel la seguridad de la información nacional, el modelo de seguridad, sus políticas y controles Aprobar y generar los instrumentos normativos pertinentes para viabilizar la implementación del modelo de seguridad en las entidades destinatarias Tomar decisiones estratégicas para el SANSI y el modelo de seguridad Impulsar, mantener y mejorar el SANSI y el modelo de seguridad Estudiar los cambios y ajustes propuestos para el modelo de seguridad Presentar propuestas al Gobierno Nacional para la adopción de medidas relacionadas con el mejoramiento de la seguridad de la información Asesorarse de grupos técnicos de apoyo para tener una adecuada coherencia a nivel técnico de los temas de seguridad de la información y en consecuencia, mejorar el desempeño de sus responsabilidades. La Comisión Nacional de Seguridad de la Información ejercerá adicionalmente las siguientes funciones: Página 38 de 207

39 Establecer los lineamientos del Sistema Administrativo Nacional de Seguridad de la Información y aprobar el Modelo de Seguridad de la Información en concordancia con los planes y programas de desarrollo tecnológico del país y de la Estrategia de Gobierno en Línea. Apoyar la articulación de las iniciativas y acciones que se adelanten en las diferentes entidades públicas y privadas relacionadas con Seguridad de la Información. Aprobar el Modelo de Seguridad de la Información (MSI) que incluya las políticas, objetivos y controles; la metodología de medición y seguimiento de Indicadores de seguridad; la revisión periódica del estado de cumplimiento del Modelo. Aprobar los mecanismos normativos recomendados por el Grupo Técnico de Apoyo a través del Grupo Técnico - Jurídico, los cuales permitan el cumplimiento e implementación del modelo por parte de la Entidades. Aprobar las nuevas versiones del modelo de seguridad de la información (MSI) para la Estrategia de Gobierno en Línea, a ser cumplido por parte de las Entidades destinatarias. Presentar propuestas al Gobierno Nacional para la adopción de medidas tendientes a lograr el mejoramiento de la seguridad de la información a nivel nacional en el sector público y privado. Estudiar los temas que propongan sus miembros en relación con los objetivos de la Comisión. Crear los comités técnicos de apoyo que considere necesarios para el mejor desempeño de sus responsabilidades. Disponer la formación de comités consultivos o técnicos, integrados por el número de miembros que determine, para que asesoren técnicamente a la Comisión Nacional de Seguridad de la Información en determinados asuntos. Presentar propuestas al Gobierno Nacional para la adopción de medidas tendientes a lograr el mejoramiento de la seguridad de la información del país, de las entidades y de los ciudadanos. Proponer acciones para la modernización de las entidades destinatarias y generar normas que mejoren el estado actual de la seguridad de la información. Propender por el desarrollo de una cultura e higiene de seguridad de la información como factor determinante para mejorar el estado actual de la seguridad de la información de las entidades y de los ciudadanos. Las demás inherentes al cumplimiento de los objetivos del Sistema Administrativo Nacional de Seguridad de la Información. Página 39 de 207

40 Funciones del Grupo Técnico de Apoyo Fase Planear Ciclo PHVA: Plantear las políticas y controles que componen el Modelo de Seguridad de la información Coordinar tareas al interior del grupo relacionadas con acuerdos de cooperación con diferentes entidades. Proveer el soporte técnico para asesorar adecuadamente a la Comisión. A NIVEL DE LAS ENTIDADES DESTINATARIAS SGSI (ver ilustración 8): Funciones Fase Planear Ciclo PHVA: 1. Obtener Soporte de la Alta Dirección: El apoyo de la Alta Dirección Gerencia de la entidad es vital para el éxito de la implementación del sistema SGSI. 2. Establecimiento del SGSI: La alta dirección debe definir el alcance y límites del SGSI en términos de la estrategia de Gobierno en Línea: procesos de negocio, áreas, servicios. No es necesario que el SGSI abarque toda la organización, puede empezar por un proceso o área y avanzar paulatinamente cubriendo mas procesos o áreas. 3. Realizar un inventario de activos: La organización debe realizar un levantamiento de información orientado a los activos que soportan los procesos de negocio que componen el alcance del SGSI, es decir, que activos soportan los sistemas de información y aplicaciones, que a su vez, soportan los procesos de negocio de la entidad. La herramienta de Autoevaluación 11, presenta un formulario de ingreso de información para que el responsable por parte de la entidad, identifique los activos que están dentro del alcance del SGSI y a sus responsables directos, denominados propietarios. Adicionalmente, calificará el grado de criticidad o importancia de cada activo en relación con el apoyo al modelo de seguridad de la información para la Estrategia de Gobierno en Línea. Esta calificación la 11 Ver mayor información de la herramienta de auto-evaluación en el documento: Entregable 7 Sistema Autoevaluación. Página 40 de 207

41 realizará la entidad en la herramienta seleccionando en un rango de 1 a 5 donde 1 es una criticidad muy baja, 2 criticidad baja, 3 criticidad media, 4 criticidad alta y 5 criticidad muy alta. 4. Realizar la evaluación del riesgo en seguridad: Una vez el levantamiento de información de los activos parte del alcance del SGSI está realizado, se debe hacer la evaluación del riesgo asociado a dichos activos, especificando las áreas de preocupación, amenazas, vulnerabilidades, escenarios de riesgo, probabilidad de ocurrencia de la amenaza e impacto si llega a materializarse la amenaza a los activos que soportan los sistemas de información, aplicaciones y en consecuencia, los procesos de negocio o áreas parte del alcance. La entidad puede hacer uso de cualquier metodología de gestión, evaluación y análisis del riesgo que considere conveniente, no hay necesidad de usar una específica, lo importante es que tenga los elementos recomendados en la norma ISO Como parte de la presente consultoría, se entrega un documento con la metodología de evaluación del riesgo propuesta. Ver documento Entregable 4 - Anexo 2: Metodología de gestión del riesgo. De igual forma, existen metodologías de gestión del riesgo recomendadas como la AS/NZ4360, la ISO27005:2008 y la SP (del instituto NIST 5.a. Preparar y elaborar la Declaración de Aplicabilidad (o en sus términos en inglés: Statement of Agreement SOA): Cada entidad, según su naturaleza, y objetivos de negocio, seleccionará cuales de los dominios y objetivos de control de las normas ISO27001/27002 aplican y no aplican para su entidad. Para los seleccionados como No Aplica, la entidad deberá justificar detalladamente la exclusión; además, deberá tener en cuenta: Los objetivos de control y controles seleccionados y los motivos para su elección; Los objetivos de control y controles que actualmente ya están implantados; La exclusión de cualquier objetivo de control y controles deberán estar justificados apropiadamente. El modelo de Seguridad para la Estrategia de Gobierno en Línea, propone un listado de políticas, objetivos de control y controles, producto de un análisis detallado de las normas internacionales recomendadas como la (ISO27001/27002, CobIT, NIST, AS/NZ4360) 12 y que en un mayor grado, apoyan los objetivos de la Estrategia de Gobierno en Línea. Ver numeral 6.5. de este documento para mayor información. Por medio de la Herramienta de Auto-evaluación, el usuario designado por cada entidad revisará los dominios y objetivos de control propuestos en la interfaz de la herramienta para que luego de un análisis interno con la Alta Dirección de su Entidad, seleccione cuales aplica y cuáles no. Para los que excluya, deberá digitar y adjuntar (la herramienta podrá permitir ingresar anexos) toda la 12 Para mayor información ver numeral de este documento. Página 41 de 207

42 información relevante y detallada justificando el por qué de esta decisión. Al finalizar, deberá aceptar que la aplicación envíe el informe de Declaración de Aplicabilidad a Gobierno en Línea. Con esta información, Gobierno en Línea o quién esta delegue, analizará la información, verificará si las justificaciones cumplen y para cualquier inquietud, se comunicará con el encargado de cada entidad para obtener aclaraciones con respecto a la Declaración de Aplicabilidad de la entidad. Una vez este proceso se haya cumplido, Gobierno en Línea activará la aplicación para que el encargado diligencie la información relacionada con los controles. El proceso de validación del SOA por parte de Gobierno en Línea es un mecanismo que permitirá detectar posibles omisiones involuntarias/no justificadas con suficiencia. Ver mayor información de la herramienta de auto-evaluación en el documento: Entregable 7 Sistema Autoevaluación. 5.b. Preparar y realizar el Plan de Tratamiento del Riesgo: Una vez la entidad ha definido el alcance del SGSI, y la Declaración de Aplicabilidad (SOA); a través de la herramienta de autoevaluación, deberá revisar los controles propuestos y responder si los tiene implementados y en que grado de madurez. Si no los tiene implementados, a través de la herramienta, la entidad especificará las acciones, prioridades, recursos, responsables y fecha de compromiso para la implementación de los controles, lo que consistirá en el Plan de Tratamiento del Riesgo, ya que la entidad se compromete a mitigar los riesgos en seguridad de la información implementando dichos controles recomendados. La entidad también podrá elegir si trasfiere el riesgo a terceros (p. ej., compañías aseguradoras o proveedores de outsourcing) o lo asume, en cuyo caso, deberá dejar constancia de la alta dirección justificando esta decisión, lo cual deberá también estar detallado en la herramienta para que Gobierno en Línea sea notificado de esta decisión. Ilustración 9: Gestión de Riesgos Página 42 de 207

43 FASE HACER CICLO PHVA ENTIDADES DESTINATARIAS Las Entidades públicas y privadas, y las Organizaciones que hagan parte de la cadena de prestación de servicios en Línea, deberán implementar y operar (fase HACER del ciclo PHVA) la política, las recomendaciones y los controles definidos en el modelo para dar cumplimiento a la normatividad, a los requerimientos y expectativas definidos, elementos que a su vez, les permitirán ser más competitivos y ofrecer mejores y más seguros servicios para proveer mayor confianza a los ciudadanos que hagan uso de sus servicios y productos. Deberán tener las siguientes funciones: Tomar el Modelo de Seguridad de la Información como Referente. Establecer comunicación con el CSIRT y los entes policivos para efectos de obtener soporte en el manejo de incidentes de seguridad de la información. Acorde con la naturaleza de los servicios provistos por la entidad, clasificarse en uno de los grupos de entidades destinatarias en los que se divide el Modelo SGSI para la estrategia de Gobierno en Línea. Ver numeral 6.5. de este documento para mayor información. Implementar y operar la política, los objetivos de control y los controles recomendados de acuerdo con grupo en el que se encuentre la entidad para dar cumplimiento al Modelo SGSI, ver mayor información en el numeral 6.5 del presente documento. Alimentar, actualizar y usar las recomendaciones e indicadores generados por la herramienta de auto-evaluación 13 para mejorar su nivel de cumplimiento con el Modelo y por ende, su postura en seguridad de la información. Funciones Fase HACER Entidades destinatarias Modelo SGSI (ver ilustración 8): Con relación a las actividades puntuales de implementación del Modelo SGSI, las entidades destinatarias deberán: 13 La herramienta de auto-evaluación, se provee como un sub-producto de la presente consultoría. El objetivo de esta herramienta, es ayudar a las entidades a implementar el Modelo de Seguridad, presentándoles, según el grupo en el que la entidad de clasifique, las políticas y controles recomendados para que sean implementados en caso que no existan. Al final, la herramienta realizará cálculos de indicadores de seguridad basándose en los controles alimentados por la entidad, permitiéndole a esta última, conocer el estado actual de cumplimiento del modelo y comparar su estado con el de otras entidades del mismo grupo. Para mayor información sobre la herramienta de auto-evaluación, favor remitirse a documento Entregable 7 Sistema de Auto-evaluación. Página 43 de 207

44 6 y 7. Implementar el Modelo SGSI: Las entidades deberán implementar las políticas, objetivos de control y controles relacionados en el Plan de Tratamiento del riesgo aprobado por parte de la alta dirección de cada entidad según las fechas estipuladas en el plan. Cualquier cambio o modificación al plan, deberá ser notificado a Gobierno en Línea a través de la herramienta de autoevaluación. 8 y 9. Definir una política de seguridad que apoye los objetivos estratégicos de Gobierno en Línea, ver numeral 6.3. Política del Sistema de Gestión. A su vez, esta política deberá ser apoyada por: Políticas y Objetivos de Seguridad de la Información, ver numeral 6.4. de este documento. Esté aprobada por la alta dirección. La política de seguridad tendrá la siguiente estructura básica: Políticas Objetivos de Control Controles Justificación Ilustración 10: Estructura del Modelo de Seguridad Es decir, la política de seguridad que apoya la Estrategia de Gobierno en Línea, es respaldada por objetivos de control, que son las áreas de cumplimiento a las que las entidades destinatarias deben ceñirse. Para materializar este cumplimiento al interior de cada entidad, se han definido una serie de controles asociados a cada objetivo de control para que las entidades los verifiquen e implementen si no lo han hecho. En caso que la entidad decida no implementarlo (por que no es su naturaleza, por presupuesto, etc.), deberá justificar detalladamente la excepción. Ver mayor información en el numeral 6.4. de este documento. La Estrategia de Gobierno en Línea apoyará simultáneamente a las entidades en cuanto a: Implementar programas de formación y sensibilización en relación a la seguridad de la información para las entidades destinatarias y para la comunidad en general. A través del Grupo Técnico de Apoyo, Gobierno en Línea gestionará las operaciones del Modelo de Seguridad SGSI a través de la interfaz de la herramienta de auto evaluación (en modo de administración). Este administrador, apoyará a las entidades y aclarará sus dudas con respecto al modelo y su implementación, entre otras funciones. Gobierno en Línea implantará procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad en las entidades a través del portafolio de servicios del CSIRT y su modelo de negocios (ver documento Diseño de un CSIRT Colombiano ). Página 44 de 207

45 FASE VERIFICAR Entidades destinatarias, Organismos de certificación y autoridades de vigilancia y control En la fase VERIFICAR del ciclo PHVA, en el que se realizará la revisión y seguimiento de la implementación y cumplimiento del Modelo de Seguridad tomarán parte: A ALTO NIVEL SANSI: Los Organismos de certificación que promoverán el cumplimiento del modelo de seguridad otorgando certificaciones para incentivar a las entidades que evidencien una gestión efectiva del mismo, realizando los correctivos y mejoras propuestos por el sistema y la revisión del mismo. Estos Organismos, podrán ser llamados por las entidades para que realicen dichas auditorias. Los organismos de certificación tendrán que ser proveedores autorizados por el SANSI para prestar servicios de auditoria y certificación del modelo de seguridad. Las autoridades de vigilancia y control como la Contraloría, así como también las Superintendencias y comisiones auditarán y revisarán el cumplimiento del modelo de seguridad SGSI por parte de las entidades. Estas autoridades: o Determinarán si las acciones realizadas para resolver las brechas de seguridad de la información encintradas fueron efectivas. o Revisar regularmente la efectividad del Modelo SGSI, atendiendo al cumplimiento de la política, objetivos y revisión de los controles de seguridad, los resultados de auditorias de seguridad herramientas de vulnerabilidad automatizadas, incidentes, resultados de los indicadores, sugerencias y observaciones de todas las partes implicadas. o Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad, para esto se tendrá una visión orientada a niveles de madurez. o Revisar regularmente en intervalos/periodos planificados, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en las entidades, la tecnología, los objetivos y procesos misionales, las amenazas identificadas, la efectividad de los controles implementados y el ambiente -requerimientos legales y obligaciones contractuales, entre otros. o Realizar periódicamente auditorias del Modelo SGSI en intervalos planificados. Las siguientes son entidades con competencias para realizar las revisiones: Contraloría General de la República, máximo órgano de control fiscal del Estado. Como tal, tiene la misión de procurar el buen uso de los recursos y bienes públicos y contribuir a la Página 45 de 207

46 modernización del Estado, mediante acciones de mejoramiento continuo en las distintas entidades públicas. Superintendencia financiera (ver numeral 5.3. de este documento). Superintendencia de industria y comercio (ver numeral 5.3. de este documento). Superintendencia de servicios públicos domiciliarios (ver numeral 5.3. de este documento). Comisión de Regulación de Telecomunicaciones (ver numeral 5.3. de este documento). A NIVEL DE LAS ENTIDADES DESTINATARIAS Modelo SGSI (ver ilustración 8): 10. Las entidades Públicas y Privadas realizarán su auto-evaluación del nivel de cumplimiento del modelo a través de la herramienta de Autoevaluación: Realizar periódicamente auditorias y verificaciones internas de cumplimiento del Modelo de Seguridad. Apoyarse en organismos de certificación que acrediten el cumplimiento del Modelo de Seguridad (opcional). Someterse a la auditoria a realizar por parte de las autoridades de vigilancia y control. Cada entidad deberá revisar periódicamente el Modelo SGSI implementado para garantizar que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes. Cada entidad deberá actualizar sus planes de seguridad en función de las conclusiones y nuevos hallazgos encontrados durante las actividades de seguimiento y revisión. Con relación a la herramienta de autoevaluación: La herramienta de autoevaluación, mostrará el porcentaje de cumplimiento a partir de los controles implementados, los porcentajes de riesgo a partir de los controles no implementados, el porcentaje de aceptación del riesgo a partir de los controles no tratados, fecha de implementación periodo y responsable de implementación. Cada control podrá ser calificado de la siguiente forma: o Existe -> Nivel de madurez del control (calificación 1-5) Página 46 de 207

47 o No existe -> Fecha de implementación y responsable (calificación = 0) Los porcentajes serán calculados usando métodos cuantitativos para generar el nivel de cumplimiento o % riesgo de la Entidad a partir de los controles implementados y no implementados de la siguiente forma: o Porcentaje de cumplimiento = [(Sumatoria niveles de madurez de los Controles implementados) / (sumatoria total de Controles aplicables en nivel 5 de madurez)] x 100% o Porcentaje de riesgo = [(# Controles no implementados) / (# Total Controles aplicables)] x 100% La herramienta puede de igual forma, mostrar el nivel de cumplimiento y el nivel de riesgo de forma cualitativa por medio de una tabla de equivalencia que clasificará a la entidad en los siguientes niveles: o Porcentaje alto de cumplimiento -> nivel bajo de riesgo o Porcentaje medio de cumplimiento -> nivel medio de riesgo o Porcentaje bajo de cumplimiento -> nivel alto de riesgo La herramienta utilizará colores para una fácil identificación y comparación de entidades dependiendo de la calificación a nivel cualitativo con respecto al cumplimiento del modelo y con respecto a las demás entidades. Adicionalmente, la herramienta proporcionará gráficos generados de forma automática que medirán la evolución o involución del modelo de seguridad de una entidad de acuerdo con las calificaciones del periodo inmediatamente anterior, las entidades podrán ver estas gráficas, compararse con el modelo y compararse entre ellas mismas FUNCIONES FASE ACTUAR CICLO PHVA - GRUPO TÉCNICO DE APOYO ENTIDADES DESTINATARIAS Finalmente, en la fase ACTUAR del ciclo PHVA, en el que se realizarán mejoras al modelo, tomarán parte no solo las entidades destinatarias que deberán ejecutar acciones de mejora ante la autoevaluación realizada y/o las auditorias externas e internas para implementar controles de seguridad que permitan mejorar su nivel de cumplimiento del modelo de seguridad y por ende, su postura en seguridad de la información, sino también, tomará parte el Grupo Técnico de Apoyo para evidenciar ajustes, nuevos controles, procesos, lineamientos y políticas que serán puestos a consideración y aprobación por parte de la Comisión Nacional de Seguridad de la Información para que sean parte de la nueva versión del Modelo a ser implementado en el siguiente ciclo de vida del sistema: A ALTO NIVEL SANSI: Página 47 de 207

48 Analizar, consolidar y publicar los indicadores, métricas y estadísticas del Sistema y del Modelo de Seguridad implementado en las entidades. Proponer ante la Comisión los ajustes al Modelo de Seguridad acorde con su evolución e implementación en las entidades destinatarias. Coordinar las actividades del portafolio de servicios en seguridad de la información (soporte especializado, capacitación, sensibilización) realizadas por el grupo CSIRT (ver documento Diseño de un CSIRT Colombiano ). A NIVEL DE LAS ENTIDADES DESTINATARIAS Modelo SGSI (ver Ilustración 8): 11. Acciones Correctivas: Mantener y mejorar el SGSI: Las entidades destinatarias deberán regularmente: Actualizar los planes de seguridad en función de las conclusiones y nuevos hallazgos encontrados durante las actividades de seguimiento y revisión. Verificar que el modelo SGSI se implanta con las mejoras identificadas. Emprender acciones preventivas y correctivas adecuadas según los resultados de las auditorias, los resultados de la revisión por la dirección y de las lecciones aprendidas de experiencias propias y de otras entidades para lograr la mejora continúa del SGSI. Asegurarse que las mejoras introducidas alcanzan los objetivos previstos. Comunicar las acciones y mejoras a las partes interesadas Resolver los hallazgos encontrados tanto en las auditorias internas como en las externas. Mejorar los indicadores y métricas del Modelo de Seguridad de la Información, apoyándose en la herramienta de auto-evaluación (ver documento Entregable 7 Sistema Autoevaluación, aumentando la madurez de los controles recomendadas por el Modelo de seguridad, que son mostrados por la herramienta de auto-evaluación (ver numeral 6.5. de este documento). Lo anterior, permitirá que las entidades evolucionen y maduren el Modelo de Seguridad de la información, mejorando su nivel de seguridad de la información permitiéndoles tener ventajas competitivas, entre otros beneficios. El ciclo PHVA es un ciclo de vida continuo, lo cual quiere decir que la fase de Actuar lleva de nuevo a la fase de Planear para iniciar un nuevo ciclo de cuatro fases. Téngase en cuenta que no es necesario llevar una secuencia estricta de las fases, sino que, pueden haber actividades de implantación que ya se lleven a cabo cuando otras de planificación aún no han finalizado; o que se monitoreen controles que aún no están implantados en su totalidad. Página 48 de 207

49 Mejora del SGSI: El sistema SANSI y sus diferentes actores, deben mejorar continuamente la eficacia del modelo SGSI mediante el uso de una política de seguridad de la información estratégica y orientada a los servicios de Gobierno en Línea, los objetivos, los resultados de los análisis y resultados obtenidos por medio de la herramienta de auto valoración, el análisis de los eventos e incidentes a los que les ha hecho seguimiento, las acciones correctivas y preventivas y las revisiones por la Alta Dirección. Ejecutar acciones correctivas para eliminar la causa de las no conformidades asociadas con los requisitos del modelo SGSI en las entidades, con el fin de prevenir que ocurran nuevamente. Ejecutar acciones preventivas para eliminar la causa de no conformidades potenciales con los requisitos del modelo SGSI y evitar que ocurran. Las acciones preventivas tomadas deben estar acorde con el impacto de los problemas potenciales Seguridad aplicada a la Comunidad Higiene en Seguridad El Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea apoyado a alto nivel por el Sistema Nacional de Seguridad SANSI, servirá como referente a las entidades destinatarias (tanto públicas como privadas) para mejorar la seguridad de sus servicios y en consecuencia, lograr que el ciudadano y la comunidad tengan mayor confianza al momento de realizar trámites y usar los servicios y sistemas de las entidades del Estado y de Gobierno en Línea. El Modelo de Seguridad contribuirá asimismo a mejorar la cultura en seguridad de la información de los ciudadanos impulsando por medio de campañas y planes de capacitación y sensibilización, el uso correcto de herramientas como Internet, los dispositivos y medios de almacenamiento, los computadores, entre otros, y formulando recomendaciones, precauciones y buenos hábitos (higiene) que deben tener al hacer uso de los mismos, dependiendo del entorno en el que se encuentren: hogar, oficina, cafés Internet, etc. El plan de capacitación y sensibilización realizado como parte de esta consultoría (ver documento Capacitación y sensibilización Modelo de Seguridad), refuerza los conceptos importantes a tener en cuenta en una adecuada higiene en seguridad de la información centrándose en la comunidad y los ciudadanos: Sensibilizar sobre los peligros y riesgos al hacer uso de Internet Instalar software de fuentes no confiables que introduzcan vulnerabilidades a los computadores y a los sistemas de información Peligros ocasionados con el uso de sistemas operativos, navegadores de Internet y aplicaciones de oficina desactualizados Página 49 de 207

50 Carencia de controles de seguridad en los computadores que expongan al usuario a contenido inapropiado como pornografía, racismo, etc. Uso del computador de la casa para realizar asuntos laborales, lo que expone la información de las organizaciones a nuevos riesgos Exposición a robo de información personal o de trabajo a través de virus, spyware, spam, phising y otros ataques. Página 50 de 207

51 6. MODELO DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SGSI 6.1. Alcance y límites del Sistema. El Modelo de gestión de seguridad de la información para la estrategia de Gobierno en Línea se aplica a los siguientes servicios y productos: Servicios de Gobierno en Línea o Información y servicios o Portales de acceso o Trámites en línea o Sistemas sectoriales o Compras públicas o Sistemas transversales Intranet Gubernamental o Plataforma de inter-operabilidad (estándares y políticas, núcleo transaccional) o Infraestructura tecnológica de comunicaciones (RAVEC) o Infraestructura tecnológica de computación (Centro de Datos) o Infraestructura tecnológica de contacto(centro Interacción Multimedia) Los participantes en la cadena de prestación de servicios de Gobierno en Línea los conforman: o Comité Nacional de Seguridad de la Información o Equipo Técnico de Apoyo o CSIRT o Proveedores de servicios de Gobierno en Línea(entidades públicas del orden nacional y territorial) o Proveedores de servicios de Internet (ISP) o Proveedores de servicios de acceso a Internet (Café internet, telecentros) o Proveedores de Servicios de la intranet gubernamental o Proveedores de servicios de seguridad o Clientes: Ciudadanos, funcionarios públicos, empresas Página 51 de 207

52 El Modelo de gestión de seguridad de la información propuesto es lo suficientemente estratégico para contemplar las diferentes fases de implementación de la Estrategia de Gobierno en Línea 14 : o Fase de Información en línea: Proveer información en línea con esquemas de búsqueda básica (Entidades del orden nacional, EON: junio 2008, Entidades del orden territorial, EOT: noviembre 2008). o Fase de Interacción en línea: Habilitar comunicación entre ciudadanos, empresas y servidores públicos (EON: diciembre 2008, EOT: diciembre 2009). o Fase de transacción en línea: Proveer transacciones electrónicas para la obtención de productos y servicios (EON: diciembre 2009, EOT: diciembre 2010). o Fase de transformación en línea: Organizar servicios alrededor de necesidades de ciudadanos y empresas a través de ventanillas únicas virtuales utilizando la intranet gubernamental (EON: junio 2010, EOT: diciembre 2011) o Fase de democracia en línea: Incentivar a la ciudadanía a participar de manera activa en la toma de decisiones del Estado y la construcción de políticas públicas aprovechando las TIC s (EON: diciembre 2010, EOT: diciembre 2012). 14 Tomado de artículos 5 y 8 del decreto 1151 de Página 52 de 207

53 6.2. Objetivos del Sistema El objetivo principal del Modelo de gestión de seguridad de la información es mantener un ambiente razonablemente seguro que permita proteger los activos de información que componen la estrategia de Gobierno en Línea para asegurar credibilidad y confianza en los ciudadanos, en los funcionarios públicos, terceras partes y en general, todos los que participan en la cadena de prestación de servicios de Gobierno en Línea. Como objetivos estratégicos del Modelo SGSI se plantean los siguientes: Establecer una guía para manejar todos los aspectos de seguridad que afecten la estrategia de Gobierno en Línea, su estructura de operación y gestión y todos los servicios que se derivan de la estrategia. Definir guías y lineamientos para asegurar que toda la información sensitiva que se pueda manejar como parte de los servicios de Gobierno en Línea esté protegida contra el riesgo de divulgación accidental o intencional, fraude, modificación, apropiación indebida, uso indebido, sabotaje o espionaje. Proteger al personal de exposiciones innecesarias en relación con el uso indebido de los recursos de Gobierno en Línea durante el desempeño de sus funciones. Proteger las operaciones de procesamiento de información de incidentes de hardware, software o fallas de red como resultado de errores humanos por descuido o uso indebido accidental por falta de entrenamiento y capacitación o uso indebido intencional de los sistemas y aspectos tecnológicos que componen la infraestructura de servicios de Gobierno en Línea. Asegurar la continuidad de los servicios de Gobierno en Línea mediante el establecimiento de buenas prácticas de continuidad de negocio (ver documento Entregable 4 - Anexo 3: Recomendaciones generales de continuidad negocio ). Proteger a las entidades del Estado que ofrecen sus servicios de Gobierno en Línea de posibles demandas o sanciones ante un evento que comprometa la seguridad de los activos de información o ante un desastre Política del Sistema de Gestión. La Estrategia de Gobierno en Línea requiere que la información que se gestiona a través de los servicios y trámites disponibles para los ciudadanos, funcionarios públicos y entidades públicas y privadas esté adecuadamente asegurada con el fin de proteger los intereses públicos y nacionales, y preservar la Página 53 de 207

54 privacidad personal (Ley 1266 de Habeas data). Esta política, se enfoca a la protección de la confidencialidad, integridad, disponibilidad y no repudiación de la información y servicios electrónicos que ofrecen las entidades públicas del orden nacional y territorial en cumplimiento del decreto 1151 de El representante legal de las entidades públicas y privadas que participan en la cadena de prestación de servicios para la Estrategia de Gobierno en Línea, es responsable por implementar los requerimientos de seguridad que se plantean en la política con el fin proteger la información y los activos que la procesan. El nivel de seguridad que cada entidad debe implementar para proteger la información y los servicios de la Estrategia de Gobierno en Línea, debe corresponder a un proceso de análisis y evaluación de riesgos. La gestión del riesgo es un requerimiento del Modelo SGSI. Este proceso se ha fortalecido en las entidades públicas como resultado de la implantación del sistema integrado de gestión y control MECI y del sistema de gestión de la calidad NTC GP 1000:2004 para las entidades públicas. El Modelo de gestión de seguridad de la información para la estrategia de Gobierno en Línea es complementario con los sistemas de calidad, control interno y desarrollo administrativo. Es posible, para una entidad, adaptar su(s) sistema(s) de gestión y control existente(s) para que cumplan con los requisitos de este modelo. En la implementación del modelo de seguridad, se debe tener especial cuidado en la identificación de los elementos comunes, para evitar que se dupliquen esfuerzos Políticas y Objetivos de Seguridad de la Información Las políticas de seguridad que se plantean en este documento, se basan en un análisis estratégico acorde con cada una de las fases de la Estrategia de Gobierno en Línea. Estas políticas representan directrices generales de alto nivel que deben ser adoptadas por todos los participantes en la cadena de prestación de servicios durante las fases de la evolución de la Estrategia de Gobierno en Línea. Para asegurar el cumplimiento de las políticas de seguridad para Gobierno en Línea, se establecieron objetivos de control asociados a cada política: PS1 Política de Control de Acceso Las entidades que provean servicios de Gobierno en Línea que requieran mayor nivel de seguridad como resultado de un análisis y evaluación del riesgo, deben implementar mecanismos y controles que aseguren un efectivo registro, identificación y autenticación de los clientes y usuarios de dichos servicios. Así mismo, deben implementar mecanismos y controles que aseguren el acceso bajo el principio del menor privilegio, necesario para realizar únicamente las labores que a cada cliente o usuario de dichos servicios corresponden. Igualmente, se deben implementar controles para realizar una efectiva administración de usuarios y derechos de acceso. Objetivos de Control: Página 54 de 207

55 PS1.1 Otorgar acceso a servicios que requieren mayor nivel de seguridad o que involucran medios de pago sólo para usuarios autorizados. Se requiere limitar el acceso solo para usuarios identificados y autenticados apropiadamente. PS1.2 Otorgar los mínimos privilegios de acceso a servicios que requieren mayor nivel de seguridad. Se requiere minimizar el daño potencial causado por usuarios autorizados lo cual implica establecer segregación de funciones para separar usuarios de los servicios y usuarios con roles administrativos. PS1.3 Otorgar acceso a servicios que requieren mayor nivel de seguridad condicionado a la presentación de un token de acceso 15 expedido por un tercero en representación de la entidad de gobierno proveedora del servicio. Se debe fortalecer el control de acceso para las transacciones que requieran mayor nivel de seguridad. PS1.4 Otorgar acceso a servicios que requieren mayor nivel de seguridad condicionado a la presentación de información que soporte la identidad del individuo que requiere el acceso y sus credenciales de autenticación. Se debe implementar la autenticación personal más allá de la posesión del token. PS1.5 Otorgar privilegios de acceso a servicios de Gobierno en Línea sólo cuando se satisfaga la verdadera identidad del usuario, es decir que el usuario sea quien realmente dice que es y no esté registrado bajo otra identidad con un acceso legítimo. Se debe prevenir la creación de múltiples identidades. Un usuario puede tener múltiples roles con respecto a los servicios de Gobierno en Línea pero solo puede poseer una única identidad. PS1.6 Otorgar acceso a los usuarios sobre los servicios y o activos necesarios para soportar el servicio específico requerido. Se deben fortalecer los controles de acceso a nivel de objeto o aplicación, de manera que un usuario legítimo, una vez otorgado el acceso, no pueda alterar datos no requeridos por el servicio solicitado. PS1.7 Implementar una administración efectiva de los derechos de acceso de usuarios y asignar dicha responsabilidad al personal apropiado (administradores de accesos). PS1.8 Implementar la vigencia de los derechos de acceso y su revocación, una vez finalice el período asignado, o haya pérdida de las credenciales, o se detecte uso indebido de los recursos por parte de los usuarios. Las credenciales de acceso y los tokens deben quedar inválidos ante eventos de revocación. 15 Token de acceso: es un medio físico que un usuario posee y/o controla y lo utiliza para autenticar su identidad. Página 55 de 207

56 PS2 - Política de no repudiación Las entidades que provean servicios de transacciones electrónicas, que requieran mayor nivel de seguridad, deben garantizar la no repudiación de las transacciones implementando mecanismos de seguridad que permitan crear un ambiente de confianza entre los clientes (ciudadanos, funcionarios públicos, empresas), los proveedores de servicios, los organismos de certificación y la entidad estatal, con relación a la autenticidad, trazabilidad y no repudiación de las transacciones electrónicas. Objetivos de Control: PS2.1 Proveer evidencia del origen y la integridad del mensaje, es decir, se deben implementar mecanismos en el servicio para crear una prueba de origen de manera que se pueda evitar que una de las partes (usuario o servicio de gobierno electrónico) niegue su responsabilidad en el envío del mensaje. Así mismo, se deben implementar mecanismos para probar si el mensaje ha sido alterado. PS2.2 Proveer evidencia del acuse del mensaje, es decir, se deben implementar mecanismos en el servicio para crear una prueba de recibo y almacenarla para su recuperación posterior en caso de una disputa entre las partes (usuario y servicio de gobierno electrónico). PS2.3 Proveer evidencia que el servicio es proporcionado realmente por una entidad pública. Se deben implementar credenciales del servicio y ser presentadas al cliente para la autenticación del sistema de acceso al cliente. PS2.4 Proveer evidencia de la fecha y hora de la transacción electrónica efectuada a través del servicio PS3 - Política de servicios confiables Las entidades que provean servicios de transacciones electrónicas que requieran mayor nivel de seguridad, deben implementar mecanismos que aseguren a sus clientes que los compromisos realizados no son vulnerables a robo o fraude. Además, se deben establecer acuerdos con los clientes para que manejen con seguridad las credenciales 16 y otra información personal relevante para el servicio. 16 Credencial: conjunto de información utilizada por un usuario para establecer una identidad electrónica como parte del proceso de autenticación. Página 56 de 207

57 Objetivos de Control: PS3.1 Asegurar que las tarjetas débito, crédito u otros instrumentos de compromiso de los clientes serán protegidos por el servicio contra robo o fraude. Se deben implementar las tecnologías de seguridad más apropiadas en el servicio según el nivel de seguridad requerido para conducir transacciones electrónicas seguras. PS3.2 Proveer evidencia de los compromisos ejecutados a través del servicio, de manera que en el evento de una disputa, sea posible demostrar la historia de las transacciones a un auditor externo PS4 Política de Privacidad y Confidencialidad Los datos personales de los clientes, ciudadanos y demás información enviada a través de los servicios de Gobierno en Línea, deben ser protegidos y manejados de manera responsable y segura. Objetivos de Control: PS4.1 Proveer protección adecuada de la información personal y privada contra divulgación no autorizada cuando se transmite a través de redes vulnerables. PS4.2 Proteger la información personal y privada de uso indebido y divulgación no autorizada cuando se procesa y almacena dentro del dominio de implementación de los servicios de Gobierno en Línea PS5 - Política de Integridad La información que se recibe o se envía a través de los servicios de Gobierno en Línea, debe conservar los atributos de correcta y completa durante la transmisión, el procesamiento y el almacenamiento. Se debe garantizar la integridad de la información. Objetivos de Control: PS5.1 Proteger la información que se transmite a través de redes públicas contra modificación, borrado o repetición accidental o intencional. Se debe asegurar la fuerte integridad de las comunicaciones para prevenir contra manipulación de datos en transito o contra pérdida y corrupción causada por fallas de equipos y comunicaciones. PS5.2 Proteger la información que se almacena en el dominio del cliente contra modificación accidental o intencional. Se deben implementar mecanismos para prevenir que usuarios y atacantes manipulen Página 57 de 207

58 la información del servicio almacenada en su estación de trabajo con el fin de obtener algún beneficio. PS5.3 Proteger la información almacenada dentro de los servicios de Gobierno en Línea contra modificación o destrucción intencional por parte de atacantes externos. Se deben implementar fuertes medidas para frustrar la alteración mal intencionada de los datos de usuarios o de información de dominio público que puedan disminuir la confianza de los servicios. Los proveedores de servicios tienen la obligación del debido cuidado (due care) para asegurar que la información proporcionada a los clientes sea veraz. PS5.4 Proteger la información trasmitida o almacenada dentro del servicio de Gobierno en Línea contra pérdida o corrupción accidental. Se deben implementar procedimientos probados de respaldo y recuperación de datos y asegurar que se mantienen las listas de usuarios y clientes autorizados PS6 Política de Disponibilidad del Servicio Las entidades que provean servicios de Gobierno en Línea deben asegurar la disponibilidad continua de los servicios bajo su control. Objetivos de Control: PS6.1 Proteger los servicios de Gobierno en Línea contra daños o negación del servicio (DoS Denial of service) por parte de atacantes externos. PS6.2 Proteger los servicios de Gobierno en Línea contra daños o provisión intermitente del servicio por fallas internas de los equipos y/o redes. Se deben implementar mecanismos de redundancia y alta disponibilidad acordes con la criticidad de la provisión continua del servicio y la capacidad para realizar reparaciones rápidas. PS6.3 Proteger los servicios de Gobierno en Línea contra pérdida de datos, pérdida de equipos y otros eventos adversos. Se debe implementar un plan de continuidad del negocio (BCP Business Continuity Plan), para asegurar que se toman las medidas necesarias y evitar en lo posible, la pérdida de información por ocurrencia de incidentes PS7 Política de Disponibilidad de la Información Las entidades que provean servicios de Gobierno en Línea, deben asegurar que los datos de los usuarios y clientes se mantienen protegidos contra pérdida, alteración o divulgación por actos accidentales o malintencionados, o por fallas de los equipos y/o redes. Página 58 de 207

59 Objetivos de Control: PS7.1 Recuperar los datos personales o críticos que han sido dañados, destruidos, alterados o modificados por acciones malintencionadas o accidentales. Se deben implementar procedimientos de copias de respaldo y recuperación, para asegurar que exista recuperación de los datos sensitivos y que puedan ser restaurados en el evento de una falla. También se deben implementar mecanismos para que los datos personales no sean divulgados sin autorización expresa del dueño de la información. PS7.2 Recuperar la información protegida en el evento que un cliente u otro usuario no puedan suministrar las credenciales de acceso necesarias. Se deben implementar procedimientos para recuperar datos de usuario en el evento que un token de acceso o la contraseña se pierdan. Esto permite soportar investigaciones de posible uso indebido del sistema PS8 Política de Protección del Servicio Las entidades que provean servicios de Gobierno en Línea, deben asegurar que los servicios y sus activos de información relacionados, estén adecuadamente protegidos contra ataques externos o internos. Objetivo de Control: PS8.1 Proteger los sistemas de información, equipos y redes que soportan los servicios de Gobierno en Línea contra ataques a la provisión continua y segura del servicio. Se deben asegurar los equipos y las redes implementando medidas tales como aseguramiento de servidores, implementación de topologías seguras de red y escaneo de vulnerabilidades. Los sistemas de información y las aplicaciones, deben ser diseñados e implementados de manera que se minimicen las vulnerabilidades y los ataques externos e internos se reduzcan a un nivel aceptable PS9 - Política de Registro y Auditoria Las entidades que provean servicios de Gobierno en Línea, deben mantener y proteger los registros de las transacciones electrónicas como evidencia para los requerimientos de las auditorias (internas o externas) y como mecanismo para establecer responsabilidades de los clientes y usuarios. Objetivo de Control: PS9.1 Mantener un registro de transacciones que pueda ser requerido después del análisis de eventos y/o incidentes. Se deben mantener registros y pistas de auditoria con el fin de establecer responsabilidad por las transacciones, reconstruir transacciones fallidas y suministrar registros Página 59 de 207

60 apropiados en caso de conflictos o disputas por el servicio. Debe existir trazabilidad de los registros de transacciones según sea apropiado Alineamiento de las políticas de seguridad con normas y mejores prácticas de la industria Considerando que las entidades del estado como parte del proceso de modernización de la gestión pública se encuentran implementado el sistema de gestión integrado de control interno MECI y el sistema de gestión de calidad NTC GP 1000:2004, se hace necesario identificar donde sea aplicable, elementos de dichos sistemas de gestión, que permitan o faciliten la implementación de los requerimientos de seguridad de la información del Modelo de Seguridad SGSI propuesto por esta consultoría con el fin de evitar duplicación de esfuerzos. Igualmente, es necesario tener presente las iniciativas de las entidades públicas y privadas encaminadas a implementar estándares y mejores prácticas tales como: Sistema de Gestión de Seguridad de la Información SGSI (ISO27001), Gobierno de tecnología de la información (COBIT), Prestación de Servicios de TI (ITIL) entre otros. En ese sentido, a continuación se identifica la alineación y armonización de los requerimientos de seguridad del presente Modelo SANSI-SGSI con dichas mejores prácticas: Política SANSI-SGSI MECI NTC - GP 1000 ISO27001 COBIT ITIL PS1 - Política de Control de Acceso 1.1 Ambiente de control 1.3 Administración del riesgo 2.1 Actividades de Control sistemas de Información 5 Roles y responsabilidades 4.1 g) Identificar y diseñar puntos de control sobre los riesgos h) Riesgos actualizados e identificados para la entidad Establecimiento del SGSI literales c) al h) A11.1 Requisito del negocio para el control de acceso A.11.2 Gestión del acceso de usuarios A.11.3 Responsabilidades de los usuarios A.11.4 Control de AI1.2 Reporte de análisis de riesgos DS5.2 Plan de seguridad de TI DS5.3 Administración de identidad DS5.4 Administración de cuentas del usuario DS5.7 Protección de la tecnología SO 4.5 Administración del acceso SO 5.3 Administración de mainframe SO 5.4 Administración y soporte de servidores SO 5.5 Administración de la red SO 5.7 Administración de Página 60 de 207

61 acceso a las redes de seguridad bases de datos A.11.5 Control de acceso al sistema operativo DS5.8 Administración de llaves criptográficas SO 5.8 Administración de servicios de directorio A.11.6 Control de acceso a las aplicaciones y a la información. DS5.10 Seguridad de la red SO 5.10 Administración del middleware A.11.7 Computación móvil y trabajo remoto DS5.11 Intercambio de datos sensitivos SO 5.11 Administración de Internet y servicios web A.12.1 Requisitos de seguridad de los sistemas de información A.12.3 Controles criptográficos PS2 - Política de no repudiación 1.3 Administración del riesgo sistemas de Información 4.1 g) Identificar y diseñar puntos de control sobre los riesgos h) Riesgos actualizados e identificados para la entidad Establecimiento del SGSI, literales c)al h) A 10.9 Servicios de comercio electrónico A12.1 Requisitos de seguridad de los sistemas de información A.12.3 Controles criptográficos AC6 Autenticidad e integridad de las transacciones AI2.4 Seguridad y disponibilidad de las aplicaciones. DS5.7 Protección de tecnologías de seguridad DS5.8 Administración de llaves criptográficas SO 5.10 Administración del middleware SD Diseño de las soluciones del servicio SD 5.2 Administración de información y datos DS5.11 Intercambio de datos sensitivos DS11.6 Requerimientos de seguridad para administración de datos Página 61 de 207

62 PS3 - Política de servicios confiables 1.3 Administración del riesgo sistemas de Información 4.1 literal g) Identificar y diseñar puntos de control sobre los riesgos h) Riesgos actualizados e identificados para la entidad Establecimiento del SGSI, literales c)al h) A 10.9 Servicios de comercio electrónico A12.1 Requisitos de seguridad de los sistemas de información A.12.3 Controles criptográficos AC6 Autenticidad e integridad de las transacciones AI2.4 Seguridad y disponibilidad de las aplicaciones. DS5.7 Protección de tecnologías de seguridad DS5.8 Administración de llaves criptográficas SO 5.10 Administración del middleware SD Diseño de las soluciones del servicio SD 5.2 Administración de información y datos DS5.11 Intercambio de datos sensitivos DS11.6 Requerimientos de seguridad para administración de datos PS4 - Política de privacidad y confidencialidad 1.1 Ambiente de control 1.3 Administración del riesgo 2.1 Actividades de Control sistemas de Información 5 Roles y responsabilidades 4.1 subnumeral g) Identificar y diseñar puntos de control sobre los riesgos h) Riesgos actualizados e identificados para la entidad A.10.2 Gestión de la prestación del servicio por terceras partes A.10.6 Gestión de la seguridad de las redes A.10.8 Intercambio de la información A10.9 Servicios de Comercio Electrónico A.11.1 Requisito del negocio para el control de acceso AC6 Autenticidad e integridad de las transacciones PO2.3 Esquema de clasificación de datos PO3.4 Estándares tecnológicos PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI AI1.2 Reporte de análisis de riesgos SO 4.5 Administración del acceso SO 5.3 Administración de mainframe SO 5.4 Administración y soporte de servidores SO 5.5 Administración de la red SO 5.6 Almacenamiento y archivo A.11.2 Gestión del Página 62 de 207

63 acceso de usuarios A.11.3 Responsabilidades de los usuarios A.11.4 Control de acceso a las redes A.11.5 Control de acceso al sistema operativo A.11.6 Control de acceso a las aplicaciones y a la información. A.11.7 Computación móvil y trabajo remoto A.12.1 Requisitos de seguridad de los sistemas de información A.12.3 Controles criptográficos AI2.3 Control y auditabilidad de las aplicaciones AI2.4 Seguridad y disponibilidad de las aplicaciones. DS11.1 Requerimientos del negocio para administración de datos DS5.2 Plan de seguridad de TI DS5.3 Administración de identidad DS5.4 Administración de cuentas del usuario DS5.7 Protección de la tecnología de seguridad DS5.8 Administración de llaves criptográficas SO 5.7 Administración de bases de datos SO 5.8 Administración de servicios de directorio SO 5.10 Administración del middleware SO 5.11 Administración de Internet y servicios web SD Diseño de las soluciones del servicio SD 5.2 Administración de información y datos DS5.10 Seguridad de la red DS5.11 Intercambio de datos sensitivos DS11.1 Requerimientos del negocio para administración de datos DS11.2 Acuerdos de almacenamiento y conservación DS11.3 Sistema Página 63 de 207

64 de administración de librerías de medios DS11.4 Eliminación DS11.5 Backup y restauración DS11.6 Requerimientos de seguridad para administración de datos PS5 - Política de integridad 1.3 Administración del riesgo sistemas de Información 4.1 literal g) Identificar y diseñar puntos de control sobre los riesgos h) Riesgos actualizados e identificados para la entidad Establecimiento del SGSI, literales c)al h) A 10.9 Servicios de comercio electrónico A12.1 Requisitos de seguridad de los sistemas de información A.12.3 Controles criptográficos AC4 Integridad y validez del procesamiento de datos AC6 Autenticidad e integridad de las transacciones PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI AI1.2 Reporte de análisis de riesgos SD Diseño de las soluciones del servicio SD 5.2 Administración de información y datos AI2.3 Control y auditabilidad de las aplicaciones AI2.4 Seguridad y disponibilidad de las aplicaciones. DS11.1 Requerimientos del negocio para administración de datos DS5.2 Plan de seguridad de TI Página 64 de 207

65 DS5.8 Administración de llaves criptográficas DS11.1 Requerimientos del negocio para administración de datos DS11.6 Requerimientos de seguridad para administración de datos PS6 - Política de disponibilidad del servicio 1.3 Administración del riesgo sistemas de Información 4.1 literal g) Identificar y diseñar puntos de control sobre los riesgos h) Riesgos actualizados e identificados para la entidad Establecimiento del SGSI, literales c)al h) A.10.3 Planificación y aceptación del sistema A12.1 Requisitos de seguridad de los sistemas de información A.14.1 Aspectos de seguridad de la información, de la gestión de la continuidad del negocio. DS3 Administrar el desempeño y la capacidad DS4 Garantizar la continuidad del servicio SO 4.1 Administración de eventos SD 4.3 Administración de la capacidad SD 4.4 Administración de la disponibilidad SD Actividades de administración de la disponibilidad SD 4.5 Administración de la continuidad del servicio SO Copia de respaldo y restauración SD Apéndice K Contenido de un plan de recuperación de desastres PS7 - Política de disponibilidad 1.3 Administración 4.1 literal g) Identificar y diseñar puntos Establecimiento del SGSI, literales c)al DS4.9 Almacenamiento de respaldos fuera SO Copia de respaldo y Página 65 de 207

66 de la información del riesgo sistemas de Información de control sobre los riesgos h) Riesgos actualizados e identificados para la entidad h) A.10.5 Respaldo de las instalaciones DS11.2 Acuerdos de almacenamiento y conservación DS11.5 Respaldo y restauración restauración SD 5.2 Administración de información y datos DS11.6 Requerimientos de seguridad para la administración de datos PS8 - Política de protección del servicio 1.3 Administración del riesgo sistemas de Información 4.1 literal g) Identificar y diseñar puntos de control sobre los riesgos h) Riesgos actualizados e identificados para la entidad 7.1 Planificación de la realización del producto o prestación del servicio 7.2 Procesos relacionados con el cliente 7.3 Diseño y desarrollo 7.5 Producción y prestación del servicio literal g) Los riesgos de mayor probabilidad A.10.6 Gestión de la seguridad de las redes A Monitoreo A.12.1 Requisitos de seguridad de los sistemas de información A.12.5 Seguridad en los procesos de desarrollo y soporte A.12.6 Gestión de la vulnerabilidad técnica A.13.2 Gestión de los incidentes y las mejoras en la seguridad de la información PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI PO8.3 Estándares de desarrollo y de adquisición AI1.2 Reporte de análisis de riesgos AI2 Adquirir y mantener software aplicativo AI6 Administrar cambios DS2 Administrar los servicios de terceros DS 5 Garantizar la seguridad de los sistemas DS8 Administrar la mesa de servicio y los incidentes SD Diseñando soluciones y servicios SO 4.1 Administración de eventos SO 4.2 Administración de incidentes SO 4.5 Administración del acceso SD 4.6 Administración de la seguridad de la información SO5.13 Administración de la seguridad de la información y de la operación de los servicios SO 5.5 Administración de la red Página 66 de 207

67 PS8 - Política de registro y auditoria 3.1 Autoevaluación 3.2 Evaluación independiente 3.3 Planes de mejoramiento Validación de los procesos de producción y de la prestación del servicio 8 Medición, análisis y mejora A Registro de auditorias A Registros del administrador y del operador A Registro de fallas A Sincronización de relojes AI2.3 Control y auditabilidad de las aplicaciones DS5.5 Pruebas, vigilancia y monitoreo de la seguridad ME1.2 Definición y recolección de datos de monitoreo SO 5.1 Monitoreo y control CSI 4.1 Los siete pasos del proceso de mejoramiento del servicio CSI 8 Implementar mejoramiento continuo del servicio ME2.2 Revisiones de Auditoria ME2.5 Aseguramiento del control interno ME4.7 Aseguramiento independiente. Tabla 11: Relación de las políticas y objetivos de control del Modelo de seguridad SGSI para la Estrategia de Gobierno en Línea con las normas y mejores prácticas de la industria Clasificaciones de seguridad del Modelo SGSI Clasificación de entidades por grupo o naturaleza del servicio El Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, realmente consiste en tres versiones del mismo, ya que las entidades no son similares en sus recursos, criticidad de su información y los procesos de negocio, por lo que deben clasificarse en uno de los siguientes grupos que están categorizados por la naturaleza del servicio que prestan. El Modelo de Seguridad, aplicará una versión distinta en cuanto a los controles recomendados dependiendo del grupo al que pertenezca la entidad. Los siguientes son los grupos en los que se dividen las entidades destinatarias según su naturaleza del servicio: Página 67 de 207

68 GRUPO 1 Cafés Internet, Telecentros y Compartel GRUPO 2 Entidades públicas de orden nacional y territorial GRUPO 3 Entidades privadas que pertenezcan a la cadena de prestación de servicios de Gobierno en Línea (como los ISP). Tabla 12: Clasificación de grupos según la naturaleza de la entidad. El Modelo de seguridad SGSI propuesto para la Estrategia de Gobierno en Línea, se presenta a las entidades destinatarias en forma de políticas, objetivos de control y controles recomendados para su implementación y mejoramiento. Las Políticas y objetivos de control, dado que son estratégicos y de alto nivel, serán los mismos para todo el universo de entidades independiente del grupo al que pertenezcan; los controles recomendados, si dependerán de la clasificación del grupo, es decir, las entidades del grupo 1 tendrán que cumplir ciertos controles básicos, las del grupo 2 controles básicos mas controles adicionales, y las del grupo 3, controles avanzados, asi: GRUPO 1 Cafés Internet, Telecentros y Compartel Controles básicos GRUPO 2 Entidades públicas de orden nacional y territorial Controles medios GRUPO 3 Entidades privadas que pertenezcan a la cadena de prestación de servicios de Gobierno en Línea (como los ISP). Controles avanzados Tabla 13: Clasificación de controles según el grupo al que pertenezca la entidad. Página 68 de 207

69 Niveles de madurez de los controles de seguridad recomendados Independiente del grupo y de los controles que las entidades deban aplicar, cada control tiene un nivel de madurez en seguridad de la información categorizado de 0 a 5, que la entidad deberá implementar para evidenciar la mejora contínua del Modelo de seguridad SGSI para la Estrategia de Gobierno en Línea. El Modelo fija niveles mínimos y óptimos de madurez para obtener los registros de seguridad de la información RSI que serán otorgados a las entidades que cumplan con estos niveles requeridos. Ver mayor información relacionada con los registros RSI en el numeral del presente documento. Los niveles de madurez de la seguridad de la información de los controles recomendados por el Modelo SGSI, son adaptados del Modelo CMM de CobIT versión , que los clasifican en los siguientes niveles: Nivel 0 No Existente: No hay políticas, procesos, procedimientos, o controles en seguridad de la información. La entidad no reconoce los riesgos en seguridad de la información y por ende la necesidad de su tratamiento. Nivel 1 Inicial: La entidad reconoce que los riesgos en seguridad de la información deben ser tratados/mitigados. No existen políticas ni procesos estandarizados sino procedimientos o controles particulares aplicados a casos individuales. Nivel 2 Repetible: Se desarrollan procesos y procedimientos en seguridad de la información de forma intuitiva. No hay una comunicación ni entrenamiento formal y la responsabilidad de la seguridad de la información recae en el sentido común de los empleados. Hay una excesiva confianza en el conocimiento de los empleados, por tanto, los errores en seguridad de la información son comunes. Nivel 3 Definido: Los procesos y las políticas se definen, documentan y se comunican a través de un entrenamiento formal. Es obligatorio el cumplimiento de los procesos y las políticas y por tanto, la posibilidad de detectar desviaciones es alta. Los procedimientos por si mismos no son sofisticados pero se formalizan las prácticas existentes. Nivel 4 Administrado: Existen mediciones y monitoreo sobre el cumplimiento de los procedimientos en seguridad de la información. Los procedimientos están bajo constante 17 Ver mayor información en s_cmm_for_software_with_cobit_4_0.htm Página 69 de 207

70 mejoramiento y proveen buenas practicas. Normalmente requiere de herramientas automatizadas para la medición. Nivel 5 Optimizado: Los procesos, políticas y controles en seguridad de la información se refinan a nivel de buenas prácticas con base en los resultados del mejoramiento continuo y los modelos de madurez de otras empresas. Normalmente se cuenta con herramientas automatizadas que apoyan a la gestión de la seguridad de la información. La siguiente ilustración, muestra la representación gráfica de los modelos de madurez planteados para el Modelo de Seguridad: Ilustración 14: CMM Niveles de madurez. CobIT 4.0. IT Governance Institute Registro de Seguridad de la Información RSI - Graduación El Modelo de Seguridad SGSI determina, de igual forma, la graduación de las entidades destinatarias según el cumplimiento de los controles recomendados en los niveles de madurez requeridos, es decir, independiente del grupo al que pertenezcan las entidades, podrán ser graduadas 18 con registros de 18 Esta graduación la otorga el CSIRT como una de sus funciones. Para mayor información, ver el documento Diseño de un CSIRT Colombiano, numeral 4.3. Graduación. Página 70 de 207

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

DECRETO 2145 DE NOVIEMBRE DE 1999

DECRETO 2145 DE NOVIEMBRE DE 1999 DECRETO 2145 DE NOVIEMBRE DE 1999 Por el cual se dictan normas sobre el Sistema Nacional de Control Interno de las Entidades y Organismos de la Administración Pública del Orden Nacional y Territorial y

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

MANUAL DEL SISTEMA INTEGRADO DE GESTIÓN DE LA SECRETARÍA DISTRITAL DE SALUD

MANUAL DEL SISTEMA INTEGRADO DE GESTIÓN DE LA SECRETARÍA DISTRITAL DE SALUD MANUAL DEL SISTEMA INTEGRADO DE DE LA SECRETARÍA DISTRITAL DE SALUD 2015 SISTEMA INTEGRADO DE MANUAL DEL SISTEMA INTEGRADO DE DE LA SECRETARÍA DISTRITAL DE SALUD 1 SISTEMA INTEGRADO DE CONTENIDO 1. INTRODUCCIÓN...

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE AUDITORÍA INTERNA Versión 05 Diciembre 2008 INDICE Introducción...

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE EVALUACIÓN DE DESEMPEÑO Versión 05 Diciembre 2008 INDICE 1 Definición

Más detalles

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A: norma española UNE-ISO/IEC 27001 Noviembre 2007 TÍTULO Tecnología de la información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información (SGSI) Requisitos (ISO/IEC 27001:2005) Information

Más detalles

DECRETO No. 09 05 21 02 21 de Mayo de 2009

DECRETO No. 09 05 21 02 21 de Mayo de 2009 DECRETO No. 09 05 21 02 21 de Mayo de 2009 Por el cual se adopta el Modelo Estándar de Control Interno (MECI 1000:2005) en la Alcaldía Municipal de Guamal El Alcalde Municipal de Guamal en uso de sus atribuciones

Más detalles

DECRETO No. ( ) Por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005 en el Municipio de Matanza

DECRETO No. ( ) Por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005 en el Municipio de Matanza DECRETO No. ( ) Por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005 en el Municipio de Matanza El Alcalde del municipio de Matanza, en uso de sus atribuciones Constitucionales y

Más detalles

ÍNDICE CÓDIGO: MAN-01 ALCALDIA DE MONTERIA SECRETARIA DE EDUCACION VERSIÓN: 1 MANUAL DE CALIDAD. Página 1/15. Elaborado por

ÍNDICE CÓDIGO: MAN-01 ALCALDIA DE MONTERIA SECRETARIA DE EDUCACION VERSIÓN: 1 MANUAL DE CALIDAD. Página 1/15. Elaborado por ALCALDIA DE MONTERIA SECRETARIA DE EDUCACION MANUAL DE CALIDAD CÓDIGO: MAN-01 VERSIÓN: 1 Página 1/15 ÍNDICE 1. OBJETIVO 2. ALCANCE 3. RESPONSABILIDAD 4. REFERENCIAS NORMATIVAS 5. DEFINICIONES 6. PLANEACIÓN

Más detalles

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES,

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, RESOLUCIÓN Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, En uso de sus atribuciones legales, reglamentarias, y en especial las conferidas por el

Más detalles

MINISTERIO DE JUSTICIA Y DEL DERECHO

MINISTERIO DE JUSTICIA Y DEL DERECHO , REPÚBLICA DE COLOMBIA MINISTERIO DE JUSTICIA Y DEL DERECHO Por el cual se reglamenta el Consejo Superior de Política Criminal, su funcionamiento y todos los asuntos relacionados con las demás instancias

Más detalles

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE FONDO DE TECNOLOGIAS DE LA INFORMACIÓN Y LAS COMUNICACIONES: PROGRAMA AGENDA DE CONECTIVIDAD ESTRATEGIA DE GOBIERNO EN LÍNEA CONVENIO

Más detalles

POLÍTICA PÚBLICA DISTRITAL DE ARCHIVOS Y GESTIÓN DOCUMENTAL. Decreto

POLÍTICA PÚBLICA DISTRITAL DE ARCHIVOS Y GESTIÓN DOCUMENTAL. Decreto POLÍTICA PÚBLICA DISTRITAL DE ARCHIVOS Y GESTIÓN DOCUMENTAL Decreto Por el cual se adopta la Política Pública Distrital de Archivos y Gestión Documental EL ALCALDE MAYOR DE BOGOTÁ, D. C., En ejercicio

Más detalles

Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados

Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados Bogotá, D.C., Diciembre de 2010 FORMATO PRELIMINAR AL

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

Unidad 4 Sistema Integrado de Gestión

Unidad 4 Sistema Integrado de Gestión Unidad 4 Sistema Integrado de Gestión 4.1 Componentes del Sistema Integrado de Gestión Un sistema integrado de gestión es aquel que reúne un conjunto de actividades relacionadas entre sí que tiene por

Más detalles

Encuestas para la autoevaluación del Sistema de Control Interno Institucional

Encuestas para la autoevaluación del Sistema de Control Interno Institucional Encuestas para la autoevaluación del Sistema de Control Interno Institucional 2014 Tabla de contenido Metodología para la Autoevaluación del Sistema de Control Interno Institucional 2 Encuesta para la

Más detalles

OFICINA ASESORA DE PLANEACIÓN, Junio 2013. Elaborado por : Carlos Fernando Campos Sosa CONTENIDO

OFICINA ASESORA DE PLANEACIÓN, Junio 2013. Elaborado por : Carlos Fernando Campos Sosa CONTENIDO OFICINA ASESORA DE PLANEACIÓN, Junio 2013 Elaborado por : Carlos Fernando Campos Sosa CONTENIDO QUÉ ES EL SISTEMA INTEGRADO DE GESTIÓN?... 1 POR QUÉ ES ÚTIL EL SIG?... 3 CÓMO CONTRIBUIMOS A IMPLEMENTAR

Más detalles

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes Ana Andrés Luis Gómez Título: Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en

Más detalles

PROCEDIMIENTO DE AUDITORIA INTERNA

PROCEDIMIENTO DE AUDITORIA INTERNA VERSIÓN: 2.0 Página 1 de 17 INDICE Página INDICE...1 1. OBJETIVO DEL PROCEDIMIENTO...3 2. DESARROLLO DE LA AUDITORÍA INTERNA...3 2.1 OBJETIVO GENERAL...3 2.2 OBJETIVOS ESPECÍFICOS...3 2.3 FASES...4 2.

Más detalles

COLOMBIA. Principales Indicadores de Insumo en Ciencia, Tecnología e Innovación

COLOMBIA. Principales Indicadores de Insumo en Ciencia, Tecnología e Innovación COLOMBIA Superficie Total (km 2 ) 1.138.910 Composición Sectorial del PBI (2010*) Crecimiento Industrial (2010*) 5,5% Agricultura 9,30% Población en millones (Julio 2008) 44,2 Industria 38,00% Alfabetismo

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE CAPACITACIÓN Versión 05 Diciembre 2008 INDICE Introducción... 3

Más detalles

SECRETARÍA DE SEGURIDAD PÚBLICA Y TRANSITO MUNICIPAL UBICACIÓN EN EL ORGANIGRAMA

SECRETARÍA DE SEGURIDAD PÚBLICA Y TRANSITO MUNICIPAL UBICACIÓN EN EL ORGANIGRAMA SECRETARÍA DE SEGURIDAD PÚBLICA Y TRANSITO MUNICIPAL UBICACIÓN EN EL ORGANIGRAMA Nombre del Puesto: Secretario de Seguridad Pública y Transito Municipal. Mando Inmediato Superior: Presidente Municipal.

Más detalles

PRINCIPIO DE PLANEACIÓN MARÍA LORENA CUÉLLAR CÓMO ACTÚA EN MATERIA PREVENTIVA LA PGN FRENTE A LA GESTIÓN DEL ESTADO?

PRINCIPIO DE PLANEACIÓN MARÍA LORENA CUÉLLAR CÓMO ACTÚA EN MATERIA PREVENTIVA LA PGN FRENTE A LA GESTIÓN DEL ESTADO? CÓMO ACTÚA EN MATERIA PREVENTIVA LA PGN FRENTE A LA PRINCIPIO DE PLANEACIÓN GESTIÓN DEL ESTADO? MARÍA LORENA CUÉLLAR Procuraduría Delegada para la Vigilancia Preventiva de la Función Pública MISION DE

Más detalles

SISTEMA DE GESTIÓN DE CALIDAD. Oficina Asesora de Planeación

SISTEMA DE GESTIÓN DE CALIDAD. Oficina Asesora de Planeación SISTEMA DE GESTIÓN DE CALIDAD Oficina Asesora de Planeación OBJETIVOS Generar en los participantes inquietudes sobre los beneficios y bondades de los sistemas de gestión de calidad Realizar un esbozo de

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

PROGRAMA MARCO PMG 2011 Objetivos de Gestión por Sistemas

PROGRAMA MARCO PMG 2011 Objetivos de Gestión por Sistemas Marco : Marco Básico Area : Recursos Humanos Sistema : Capacitación Objetivo : Desarrollar el ciclo de gestión de la capacitación, en el marco de la gestión de Recursos Humanos, con énfasis en la detección

Más detalles

ACUERDO NÚMERO 0001 DE 2006 (Agosto 23) POR EL CUAL SE ADOPTA EL REGLAMENTO OPERATIVO DE LA COMISIÓN DE CALIDAD DE LA FORMACIÓN PARA EL TRABAJO- CCAFT

ACUERDO NÚMERO 0001 DE 2006 (Agosto 23) POR EL CUAL SE ADOPTA EL REGLAMENTO OPERATIVO DE LA COMISIÓN DE CALIDAD DE LA FORMACIÓN PARA EL TRABAJO- CCAFT ACUERDO NÚMERO 0001 DE 2006 (Agosto 23) POR EL CUAL SE ADOPTA EL REGLAMENTO OPERATIVO DE LA COMISIÓN DE CALIDAD DE LA FORMACIÓN PARA EL TRABAJO- CCAFT LA COMISIÓN DE CALIDAD DE LA FORMACIÓN PARA EL TRABAJO-

Más detalles

SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993

SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1 SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1. INTRODUCCIÓN 1.1 GENERALIDADES Al Presidente de la República, con sujeción a lo dispuesto en las Leyes 87 de 1993 y 489

Más detalles

Organización Internacional de Estandarización

Organización Internacional de Estandarización NORMAS ISO Y SU COBERTURA Introducción Boletín #1 Organización Internacional de Estandarización La Organización Internacional de Estandarización, ISO, es una organización sin ánimo de lucro de carácter

Más detalles

Aplicación de la norma ISO 9001 para la mejora de la gestión: el caso de la. Dirección del Sistema Nacional de Capacitación del Instituto Nacional de

Aplicación de la norma ISO 9001 para la mejora de la gestión: el caso de la. Dirección del Sistema Nacional de Capacitación del Instituto Nacional de Aplicación de la norma ISO 9001 para la mejora de la gestión: el caso de la Dirección del Sistema Nacional de Capacitación del Instituto Nacional de Administración Pública Mg. Marcelo Calavia Introducción

Más detalles

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Lic. Javier F. Diaz [jdiaz@info.unlp.edu.ar] CC. Viviana Harari [vharari@info.unlp.edu.ar] Lic. Paula Venosa [pvenosa@info.unlp.edu.ar]

Más detalles

CAPITULO PLANIFICACION INSTITUCIONAL DE LA AUDITORIA

CAPITULO PLANIFICACION INSTITUCIONAL DE LA AUDITORIA CAPITULO II PLANIFICACION INSTITUCIONAL DE LA AUDITORIA 1. Generalidades La Contraloría General del Estado inmersa en el proceso estratégico de cambio que tiende a mejorar los servicios de auditoría que

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005

MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005 MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005 SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1. INTRODUCCIÓN 1.1 GENERALIDADES Al Presidente de

Más detalles

DOCUMENTO DE REFERENCIA MECI SISTEMA INTEGRADO DE GESTIÓN. Contenido DOCUMENTO MECI - CALIDAD... 3 1. ARMONIZACIÓN CONCEPTUAL... 3

DOCUMENTO DE REFERENCIA MECI SISTEMA INTEGRADO DE GESTIÓN. Contenido DOCUMENTO MECI - CALIDAD... 3 1. ARMONIZACIÓN CONCEPTUAL... 3 Contenido DOCUMENTO MECI - CALIDAD... 3 1. ARMONIZACIÓN CONCEPTUAL... 3 1.1 SISTEMA DE GESTIÓN... 3 1.2 SISTEMA DE GESTIÓN EN EL ESTADO COLOMBIANO... 4 2. : MODELO ESTANDAR DE CONTROL INTERNO MECI Y SISTEMA

Más detalles

REPUBLICA DE COLOMBIA DEPARTAME TO DEL PUTUMAYO MU ICIPIO DE SA FRA CISCO ALCALDÍA IT. 800102903-6

REPUBLICA DE COLOMBIA DEPARTAME TO DEL PUTUMAYO MU ICIPIO DE SA FRA CISCO ALCALDÍA IT. 800102903-6 REPUBLICA DE COLOMBIA DEPARTAMENTO DEL PUTUMAYO MUNICIPIO DE SAN FRANCISCO DESPACHO DECRETO 48 (Septiembre 09 de 2009) Por medio de la cual se adopta el Plan de Acción GEL en el orden territorial, para

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

47598 (20/01/19) DECRETO NÚMERO 091 DE

47598 (20/01/19) DECRETO NÚMERO 091 DE 47598 (20/01/19) DECRETO NÚMERO 091 DE 2010 (Enero 19) Por el cual se modifica la estructura del Ministerio de Tecnologías de la Información y las Comunicaciones y se dictan otras disposiciones. El Presidente

Más detalles

DECRETO 2323 DE 2006 (julio12)

DECRETO 2323 DE 2006 (julio12) DECRETO 2323 DE 2006 (julio12) por el cual se reglamenta parcialmente la Ley 9ª de 1979 en relación con la Red Nacional de Laboratorios y se dictan otras disposiciones. El Presidente de la República de

Más detalles

CAPÍTULO I. Sistema Unificado de Inversión Pública

CAPÍTULO I. Sistema Unificado de Inversión Pública DECRETO NUMERO 2844 DE 2010 (agosto 5) por el cual se reglamentan normas orgánicas de Presupuesto y del Plan Nacional de Desarrollo. Resumen de notas de Vigencia [Mostrar] El Presidente de la República

Más detalles

PLAN ANTICORRUPCIÓN Y DE ATENCIÓN AL CIUDADANO

PLAN ANTICORRUPCIÓN Y DE ATENCIÓN AL CIUDADANO Las estrategias implementadas son de obligatorio cumplimiento por parte de los servidores públicos del Instituto Nacional de Formación Técnica Profesional Humberto Velásquez García -Ciénaga, permitiendo

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA INTEGRAL DE ATENCIÓN A CLIENTE(A)S, USUARIO(A)S Y BENEFICIARIO(A)S

Más detalles

SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL

SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL VII JORNADAS RIOPLATENSES DE AUDITORIA INTERNA 2011 MONTEVIDEO - URUGUAY SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL Ricardo Correa F. - CIA, CGAP, CCSA, MCAG

Más detalles

Estándares y Normas de Seguridad

Estándares y Normas de Seguridad Estándares y Normas de Seguridad Por qué normas/estándares de seguridad? Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los

Más detalles

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes 2.ª edición Luis Gómez Fernández Ana Andrés Álvarez Título: Guía de aplicación de la Norma UNE-ISO/IEC

Más detalles

MANUAL DE ADMINISTRACIÓN

MANUAL DE ADMINISTRACIÓN SISTEMA DE CONTROL INTERNO MECI 1000:2009 Nit: 891,800,475-0 MANUAL DE ADMINISTRACIÓN MARTHA ISABEL LÓPEZ LUGO Personera Municipal CHIQUINQUIRÁ FEBRERO DE 2014 Nit: 891,800,475-0 República de Colombia

Más detalles

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. CAPITULO I: TEMA 1.1. Título del Tema Sistema para Análisis y Gestión de Riesgos 1.2. Planteamiento del Problema 1.2.1. Antecedentes Desde 1901, y como primera entidad de normalización a nivel mundial,

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC

Más detalles

MANUAL DEL SISTEMA INTEGRADO DE GESTION INSTITUCIONAL-SIGI MEJORA, INNOVACION Y APRENDIZAJE ES NUESTRO COMPROMISO

MANUAL DEL SISTEMA INTEGRADO DE GESTION INSTITUCIONAL-SIGI MEJORA, INNOVACION Y APRENDIZAJE ES NUESTRO COMPROMISO MANUAL DEL SISTEMA INTEGRADO DE GESTION INSTITUCIONAL-SIGI BOGOTA D.C. 2014 CONTENIDO 1. INTRODUCCIÓN... 4 2. PILARES FUNDAMENTALES DEL SIGI... 6 2.1. GESTIÓN DE LAS PERSONAS... 6 2.2 APRENDIZAJE Y GESTIÓN

Más detalles

Subdirección de Proyección Institucional PORTAFOLIO DEPARTAMENTO DE ASESORÍA Y CONSULTORÍAS ESAP

Subdirección de Proyección Institucional PORTAFOLIO DEPARTAMENTO DE ASESORÍA Y CONSULTORÍAS ESAP Subdirección de Proyección Institucional PORTAFOLIO DEPARTAMENTO DE ASESORÍA Y CONSULTORÍAS ESAP Subdirección de Proyección Institucional Subdirección de Proyección Institucional Portafolio Departamento

Más detalles

ESTATUTO POR PROCESOS MINISTERIO COORDINADOR SECTORES ESTRATEGICOS

ESTATUTO POR PROCESOS MINISTERIO COORDINADOR SECTORES ESTRATEGICOS ESTATUTO POR PROCESOS MINISTERIO COORDINADOR SECTORES ESTRATEGICOS Acuerdo Ministerial 46 Registro Oficial Suplemento 193 de 22-oct.-2014 Estado: Vigente No. 46-2014 Rafael Poveda Bonilla MINISTRO DE COORDINACION

Más detalles

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5

Más detalles

MANUAL ESPECÍFICO DE FUNCIONES PARA LOS EMPLEOS PÚBLICOS DE LA PLANTA DE PERSONAL DEL FONDO FINANCIERO DE PROYECTOS DE DESARROLLO INDICE

MANUAL ESPECÍFICO DE FUNCIONES PARA LOS EMPLEOS PÚBLICOS DE LA PLANTA DE PERSONAL DEL FONDO FINANCIERO DE PROYECTOS DE DESARROLLO INDICE 29-06-2010 03 MDI004 1 DE 7 INDICE 1. OBJETO 2 2. ALCANCE 2 3. CONDICIONES GENERALES 2 4. TERMINOLOGÍA 2 5. REFERENCIAS 2 6. FUNCIONES EMPLEADOS PÚBLICOS 3 6.1. FUNCIONES NIVEL DIRECTIVO 3 6.1.1. GERENTE

Más detalles

Estándares para la seguridad de la información.

Estándares para la seguridad de la información. Estándares para la seguridad de la información. Estructura de contenidos Mapa Conceptual Introducción 1. Marco Teórico 1.1 Historia 1.2 Línea de tiempo 2. Dominios de control de las Normas 2.1 Políticas

Más detalles

LEY 938 DE 2004 (diciembre 30) Diario Oficial 45.778. por la cual se expide el Estatuto Orgánico de la Fiscalía General de la Nación.

LEY 938 DE 2004 (diciembre 30) Diario Oficial 45.778. por la cual se expide el Estatuto Orgánico de la Fiscalía General de la Nación. LEY 938 DE 2004 (diciembre 30) Diario Oficial 45.778 por la cual se expide el Estatuto Orgánico de la Fiscalía General de la Nación. El Congreso de Colombia DECRETA: TITULO I DE LA ESTRUCTURA ORGANICA,

Más detalles

Programa de Formación de Auditores

Programa de Formación de Auditores Programa de Formación de Auditores Sistemas de Gestión de la Calidad Módulo 2 Sistema de Gestión de la Calidad Requisitos Objetivo del módulo Comprender: Los requisitos de la norma ISO 9001:2008 para el

Más detalles

DECRETO 2539 DE 2000 (diciembre 4) Por el cual se modifica parcialmente el Decreto 2145 de noviembre 4 de 1999.

DECRETO 2539 DE 2000 (diciembre 4) Por el cual se modifica parcialmente el Decreto 2145 de noviembre 4 de 1999. DECRETO 2539 DE 2000 (diciembre 4) Por el cual se modifica parcialmente el Decreto 2145 de noviembre 4 de 1999. El Presidente de la República, en ejercicio de las facultades que le confiere el artículo

Más detalles

Cuadernillo Orientador frente a la actualización de la NTCGP a su versión 2009 Noviembre de 2010

Cuadernillo Orientador frente a la actualización de la NTCGP a su versión 2009 Noviembre de 2010 Departamento Administrativo de la Función Pública Cuadernillo Orientador frente a la actualización de la Norma Técnica de Calidad para la Gestión Pública a su versión 2009 Elaborado por: Dirección de Control

Más detalles

Comité de Tecnología de Información y Comunicaciones

Comité de Tecnología de Información y Comunicaciones DIRECCIÓN DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIONES. Comité de Tecnología de Información y Comunicaciones ReglamentoInterno Octubre/2012 DEPARTAMENTO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIONES CONTENIDO

Más detalles

Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster

Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster Elaboración de un plan de implementación de la Norma ISO/IEC 27001:2013 en una empresa prestadora de servicios de acueducto

Más detalles

Portafolio. de Servicios. Eficiencia para la Gobernabilidad

Portafolio. de Servicios. Eficiencia para la Gobernabilidad Portafolio de Servicios Eficiencia para la Gobernabilidad DIRECCIÓN SUBDIRECCIÓN DIRECCIÓN DE POLÍTICAS DE ADMINISTRACIÓN PÚBLICA DIRECCIÓN DE POLÍTICAS DE DESARROLLO ADMINISTRATIVO DIRECCIÓN DE DESARROLLO

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

EL PRESUPUESTO PARTICIPATIVO

EL PRESUPUESTO PARTICIPATIVO EL PRESUPUESTO PARTICIPATIVO Ing. José Velásquez Peláez EL PRESUPUESTO DEL SECTOR PÚBLICO El Presupuesto constituye el instrumento de gestión del Estado que permite a las entidades lograr sus objetivos

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Normas de Auditoría de Tecnologías de la Información y la Comunicación

Normas de Auditoría de Tecnologías de la Información y la Comunicación Normas de Auditoría de Tecnologías de la Información y la Comunicación Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-017 N O R M A D E C O N T R O L E X T E R N O NORMAS DE AUDITORÍA DE TECNOLOGÍAS

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Sistema de Gestión Global en la Empresa Primera parte:

Sistema de Gestión Global en la Empresa Primera parte: Sistema de Gestión Global en la Empresa Primera parte: El siguiente documento es el primero de una serie de tres que tiene por objetivo mostrar como la implementación de un Sistema de Gestión Global dentro

Más detalles

Avenida Carrera 30 No. 25-90. Torre A Pisos 11 y 12 Torre B. Piso 2. Conmutador 2347600 www.catastrobogota.gov.co Información: Línea 195 09-091-FR-28

Avenida Carrera 30 No. 25-90. Torre A Pisos 11 y 12 Torre B. Piso 2. Conmutador 2347600 www.catastrobogota.gov.co Información: Línea 195 09-091-FR-28 SUMARIO I. RESOLUCIÓN Nº 0560-22 MAYO 2012... 14 DIRECTOR GENERAL ENTIDAD DESCENTRALIZADA CODIGO 050 GRADO 05... 15 GERENCIA DE INFRAESTRUCTURA DE DATOS ESPECIALES - IDECA... 17 GERENCIA DE INFORMACIÓN

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

NORMA ARGENTINA IRAM-ISO 9001* Sistemas de gestión de la calidad. Requisitos. Primera edición 2001-05-30. Quality management systems Requirements

NORMA ARGENTINA IRAM-ISO 9001* Sistemas de gestión de la calidad. Requisitos. Primera edición 2001-05-30. Quality management systems Requirements NORMA ARGENTINA IRAM-ISO 9001* 9001 2000 Primera edición 2001-05-30 Sistemas de gestión de la calidad Requisitos Quality management systems Requirements * Esta norma anula y reemplaza a las normas IRAM-IACC-ISO

Más detalles

CONTRALORÍA GENERAL DE CUENTAS SISTEMA DE AUDITORÍA GUBERNAMENTAL PROYECTO SIAF-SAG. NORMAS DE AUDITORÍA GUBERNAMENTAL (Externa e Interna)

CONTRALORÍA GENERAL DE CUENTAS SISTEMA DE AUDITORÍA GUBERNAMENTAL PROYECTO SIAF-SAG. NORMAS DE AUDITORÍA GUBERNAMENTAL (Externa e Interna) CONTRALORÍA GENERAL DE CUENTAS SISTEMA DE AUDITORÍA GUBERNAMENTAL PROYECTO SIAF-SAG NORMAS DE AUDITORÍA GUBERNAMENTAL (Externa e Interna) Guatemala, Junio de 2006 1 PRESENTACIÓN Según el artículo 232 de

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

RESUELVE: Dictar el siguiente: REGLAMENTO INTERNO DEL MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTES. TITULO I Disposiciones Generales

RESUELVE: Dictar el siguiente: REGLAMENTO INTERNO DEL MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTES. TITULO I Disposiciones Generales REPUBLICA DE VENEZUELA MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTES DESPACHO DEL MINISTRO CARACAS, DE DEL 2000. AÑOS 189º y 140º De conformidad con lo dispuesto en los artículos del Reglamento Orgánico

Más detalles

Política de Seguridad de la Información

Política de Seguridad de la Información Política de Seguridad de la Información Índice 1 APROBACIÓN Y ENTRADA EN VIGOR... 3 2 OBJETIVOS Y MISIÓN DEL AYUNTAMIENTO... 3 3 OBJETIVOS Y MISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 3 4 ALCANCE...

Más detalles

LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS ELECTRÓNICOS

LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS ELECTRÓNICOS LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS Ministerio de Tecnologías de la Información y las Comunicaciones Programa de Gobierno

Más detalles

EQUIPO CONSULTOR Y EQUIPO DE MEJORA CONTINUA PREPARADO POR: REVISADO POR: APROBADO POR: VERSIÓN Nº: FECHA DE EMISIÓN: 15/09/07

EQUIPO CONSULTOR Y EQUIPO DE MEJORA CONTINUA PREPARADO POR: REVISADO POR: APROBADO POR: VERSIÓN Nº: FECHA DE EMISIÓN: 15/09/07 SERVICIOS DE AUDITORÍA MINISTERIO DE SALUD DE COSTA RICA - NIVEL INTRAINSTITUCIONAL ÁREA DE GESTIÓN: SOPORTE LOGÍSTICO Y ADMINISTRATIVO PREPARADO POR: VALIDADO POR : EQUIPO CONSULTOR Y EQUIPO DE MEJORA

Más detalles

Por el cual se define el Sistema Obligatorio de Garantía de Calidad de la Atención de Salud del Sistema General de Seguridad Social en Salud

Por el cual se define el Sistema Obligatorio de Garantía de Calidad de la Atención de Salud del Sistema General de Seguridad Social en Salud REPUBLICA DE COLOMBIA MINISTERIO DE SALUD DECRETO NUMERO 2309 DE 2002 ( 15 OCT. 2002 ) Por el cual se define el Sistema Obligatorio de Garantía de Calidad de la Atención de Salud del Sistema General de

Más detalles

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...

Más detalles

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 2008-11-14 SISTEMA DE GESTIÓN DE LA CALIDAD. REQUISITOS E: QUALITY MANAGEMENT SYSTEMS. REQUIREMENTS CORRESPONDENCIA: esta norma es idéntica (IDT) a la norma ISO 9001:2008

Más detalles

Universidad Pedagógica y Tecnológica de Colombia. Certificación del Sistema Integrado de Gestión (SIG) de la UPTC

Universidad Pedagógica y Tecnológica de Colombia. Certificación del Sistema Integrado de Gestión (SIG) de la UPTC Universidad Pedagógica y Tecnológica de Colombia Certificación del Sistema Integrado de Gestión (SIG) de la UPTC Tercera Convocatoria de Buenas Prácticas 2015 Certificación del Sistema Integrado de Gestión

Más detalles

Protección de Datos Personales y. Seguridad de la Información. Certificado ISO 27001. Seguridad de la Información

Protección de Datos Personales y. Seguridad de la Información. Certificado ISO 27001. Seguridad de la Información Certificado ISO 27001 Seguridad de la Información Protección de Datos Personales y Seguridad de la Información 1 sumario 1. ALARO AVANT 1.1. Estructura 1.2. Servicios 1.3. Equipo 1.4. Credenciales 1.5.

Más detalles

1 NIVEL DIRECTIVO 1.1 SUPERINTENDENTE 0030 IDENTIFICACIÓN

1 NIVEL DIRECTIVO 1.1 SUPERINTENDENTE 0030 IDENTIFICACIÓN Número de Página 5 II. FUNCIONES, Y REQUISITOS 1 NIVEL DIRECTIVO 1.1 SUPERINTENDENTE 0030 IDENTIFICACIÓN Nivel: Directivo Denominación del Empleo: Superintendente Código: 0030 Grado: Sin No. de cargos:

Más detalles

III REUNIÓN CONVENCIÓN DE LAS NACIONES UNIDAS CONTRA LA CORRUPCIÓN

III REUNIÓN CONVENCIÓN DE LAS NACIONES UNIDAS CONTRA LA CORRUPCIÓN III REUNIÓN CONVENCIÓN DE LAS NACIONES UNIDAS CONTRA LA CORRUPCIÓN El Estado de Guatemala, como parte de su política Gubernamental cuenta con una estructura legislativa que le permite normar, controlar,

Más detalles

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu. ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.co Por qué es Importante?? La Gestión de Servicios de Tecnología

Más detalles

Calidad. Calidad en procesos y productos

Calidad. Calidad en procesos y productos Calidad Calidad en procesos y productos La calidad es el conjunto de características de un elemento, producto o servicio, que le confieren la aptitud de satisfacer una necesidad implícita y explícita.

Más detalles

Seguridad de Información en el área de Acreditación, Seguridad y Beneficios Jorge Molero

Seguridad de Información en el área de Acreditación, Seguridad y Beneficios Jorge Molero Seguridad de Información en el área de Acreditación, Seguridad y Beneficios Jorge Molero Superintendencia de Servicios de Certificación Electrónica SUSCERTE En materia de Seguridad, Estamos evolucionando

Más detalles

SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA CAB-IS-SS 10402:2006

SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA CAB-IS-SS 10402:2006 INTERNATIONAL STANDARD SAFETY AND SECURITY CAB Spanish Version SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA NO COPYING WITHOUT PERMISSION OF AMERICAN CERTIFICATION

Más detalles

ARMONIZACIÓN MECI-CALIDAD

ARMONIZACIÓN MECI-CALIDAD ANTES DE INICIAR ARMONIZACIÓN MECI-CALIDAD CONTENIDO 1. Objetivos de la Sesión 2. Marco Legal para ambos sistemas 3. Generalidades 4. Conceptualización sobre la armonización 5. Elementos de articulación

Más detalles

Política de Seguridad de la Información Página 1 de 20

Política de Seguridad de la Información Página 1 de 20 Política de Seguridad de la Información Página 1 de 20 TERMINOS Y CONDICIONES DE USO Versión actual del documento: 0.0.0.11 El contenido de este texto es PRIVADO y la presente versión se considera un documento

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

PRINCIPIOS Y POLÍTICAS GENERALES DE TECNOLOGIAS DE INFORMACIÓN PARA EL DPS Y EL SECTOR

PRINCIPIOS Y POLÍTICAS GENERALES DE TECNOLOGIAS DE INFORMACIÓN PARA EL DPS Y EL SECTOR PRINCIPIO No. 1 Nombre: Declaración: EL DATO ES UN ACTIVO Y SE GOBIERNA Los datos de la Entidad son activos intangibles de muy alto valor y como tal se les provee el tratamiento correspondiente a la recolección,

Más detalles