MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 2.0

Transcripción

1 ESTRATEGIA DE GOBIERNO EN LÍNEA 2.0 Crdinación de Investigación, Plíticas y Evaluación Prgrama Agenda de Cnectividad Estrategia de Gbiern en línea República de Clmbia - Derechs Reservads Bgtá, D.C., Diciembre de 2011

2 FORMATO PRELIMINAR AL DOCUMENTO Títul: Fecha elabración aaaa-mm-dd: Sumari: Palabras Claves: Mdel de Seguridad de la Infrmación para la Estrategia de Gbiern en línea El dcument presenta una estrategia de preparación pr parte del Gbiern para sprtar al Sistema de Administración de Seguridad de la Infrmación de Gbiern en Línea (SASIGEL) cm mdel sstenible, y cubre desde la preparación de la entidad para cmenzar la implementación del Mdel, la definición de las brechas, la alineación y la implementación del SGSI cm mdel sstenible. Mdel Seguridad PHVA SASIGEL SGSI (Sistema de Gestión de la Seguridad de la Infrmación) Frmat: DOC Lenguaje: Españl Dependencia: Ministeri de Tecnlgías de la infrmación y las Cmunicacines: Prgrama Agenda de Cnectividad Estrategia Gbiern en línea Crdinación de Investigación, Plíticas y Evaluación. Códig: N/A Versión: Estad: Aprbad Categría: Autr (es): Revisó: Aprbó: Infrmación Adicinal: Dcument técnic Centr de Investigación de Telecmunicacines - CINTEL Juli César Mancipe Caiced Líder de seguridad Estrategia de Gbiern en línea Ana Carlina Rdríguez River Crdinadra Crdinación de Investigación, Plíticas y Evaluación Estrategia de Gbiern en línea Firmas: Ubicación: Página 2 de 49

3 CONTROL DE CAMBIOS VERSIÓN FECHA N. SOLICITUD RESPONSABLE DESCRIPCIÓN /08/2010 Equip del pryect Versión inicial del dcument /09/2011 Equip del pryect Restructuración del mdel /11/2011 Equip del pryect Restructuración del mdel /12/2011 Equip del pryect Versión aprbada Página 3 de 49

4 TABLA DE CONTENIDO DERECHOS DE AUTOR AUDIENCIA INTRODUCCIÓN VISIÓN ESTRATEGICA RELACIÓN MODELO DE SEGURIDAD SISTEMA DE ADMINISTRACIÓN DE SEGURIDAD DE LA INFORMACIÓN DE GOBIERNO EN LÍNEA - SASIGEL SISTEMA ADMINISTRATIVO DE SEGURIDAD DE LA INFORMACIÓN PARA GOBIERNO EN LÍNEA ESTRUCTURA INSTITUCIONAL APROXIMACIÓN POR PROCESOS PARA SASIGEL FASE PLANEAR DE SASIGEL FASE HACER DE SASIGEL AMBIENTACIÓN A ENTIDADES PLAN DE SENSIBILIZACIÓN FORMACIÓN DE CAPACITADORES IMPLEMENTACIÓN DEL MODELO A TRAVÉS DEL SGSI EN ENTIDADES FASE VERIFICAR DE SASIGEL SEGUIMIENTO Y CONTROL DE ENTIDADES Y MODELO AUDITORÍA A LAS ENTIDADES FASE ACTUAR DE SASIGEL MANTENIMIENTO Y SOSTENIBILIDAD DEL MODELO SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LAS ENTIDADES INTRODUCCIÓN ETAPAS DE IMPLEMENTACIÓN PREPARACIÓN ANÁLISIS DE LA SITUACIÓN ACTUAL Y DEFINICIÓN DE BRECHAS ALINEACIÓN CON EL SGSI CICLO PHVA PARA EL SISTEMA DE LA SEGURIDAD DE LA INFORMACIÓN PLANEAR (NIVEL INICIAL DE MADUREZ) HACER (NIVEL BÁSICO DE MADUREZ) VERIFICAR (NIVEL AVANZADO DE MADUREZ) ACTUAR (NIVEL DE MADUREZ DE MEJORA CONTINUA) ANEXOS...47 Página 4 de 49

5 TABLA DE ANEXOS ANEXO NO. 1 - ORGANIGRAMA MODELO Y SASIGEL ANEXO NO. 2 - ENCUESTA DE SEGURIDAD ANEXO NO. 3 - ESTRATIFICACIÓN DE ENTIDADES ANEXO NO. 4 - AUTOEVALUACIÓN DEFINICIÓN DE BRECHA ANEXO NO. 5 PLANTILLA DE POLÍTICA DE SEGURIDAD PARA LAS ENTIDADES ANEXO NO. 6 METODOLOGÍA DE GESTIÓN DEL RIESGO ANEXO NO. 7 METODOLOGÍA DE CLASIFICACIÓN DE ACTIVOS ANEXO NO. 8 CONTROLES Y LINEAMIENTOS DE SEGURIDAD ANEXO NO. 9 INDICADORES DE SEGURIDAD ANEXO NO. 10 GUÍA DE IMPLEMENTACIÓN DE POLÍTICAS ANEXO NO. 11 EJEMPLO DE PROCEDIMIENTOS Y ESTÁNDARES MÁS USADOS ANEXO NO. 12 CORRESPONDENCIA DE ESTÁNDARES ANEXO NO. 13 TABLA DE CONTENIDO FASE PLAN ANEXO NO. 14 TABLA DE CONTENIDO FASE HACER ANEXO NO. 15 TABLA DE CONTENIDO FASE VERIFICAR ANEXO NO. 16 TABLA DE CONTENIDO FASE ACTUAR Página 5 de 49

6 DERECHOS DE AUTOR Tdas las referencias a ls dcuments del Mdel de Seguridad de la Infrmación cn derechs reservads pr parte del Ministeri de Tecnlgías de la Infrmación y las Cmunicacines, pr medi del Prgrama Gbiern en línea. Tdas las referencias a las plíticas, definicines cntenid relacinad, publicadas en la nrma técnica clmbiana NTC:ISO/IEC 27001:2005, así cm a ls anexs cn derechs reservads pr parte de ISO e ICONTEC. Página 6 de 49

7 1. AUDIENCIA Entidades públicas del rden nacinal y entidades públicas del rden territrial, así cm prveedres de servicis de Gbiern en línea y tercers que deseen adptar el Mdel de Seguridad de la Infrmación en el marc de la Estrategia Gbiern en línea. Página 7 de 49

8 2. INTRODUCCIÓN Teniend en cuenta l establecid en el Plan Vive Digital, liderad pr el Ministeri de las Tecnlgías de la Infrmación y las Cmunicacines, en cuant a la infraestructura, ls servicis, las aplicacines y ls usuaris en el marc de un ecsistema digital; las recmendacines brindadas en el Plan Nacinal de Desarrll en cuant a la necesidad de recncer la seguridad infrmática cm un factr primrdial para la aprpiación de las TIC; la cnstante evlución de ls mercads; y la dinámica de las entidades, se plantea un marc de seguridad de la infrmación para la prestación de servicis a ls ciudadans a través de las tecnlgías de la infrmación, el cual deberá ser respaldad pr una gestión, unas plíticas y uns prcedimients adecuads, que resalten el papel de las persnas cm el primer eslabón de una cmpleja cadena de respnsabilidades y que esté rientad a preservar ls pilares fundamentales de la seguridad de la infrmación: CONFIDENCIALIDAD: la infrmación debe ser accesible sól a aquellas persnas autrizadas. INTEGRIDAD: la infrmación y sus métds de prcesamient deben ser cmplets y exacts. DISPONIBILIDAD: la infrmación y ls servicis debe estar dispnible cuand se le requiera. Para lgrar ests bjetivs, es fundamental cntar cn el acuerd y cmprmis de tds ls invlucrads, un respald de ls niveles directivs dentr de la entidad y ser cnscientes de ls beneficis que se pueden btener cn una cultura enfcada a la seguridad, per también del impact que se puede afrntar pr la materialización de riesgs que n se cntrlan y que se ascian al tema de seguridad de la infrmación. El Mdel de Seguridad de la Infrmación reúne el cnjunt de Lineamients, Plíticas, Nrmas, Prcess e Institucines que prveen y prmueven la puesta en marcha, supervisión, mejra y cntrl de la implementación de la Estrategia de Gbiern en Línea definida en manual GEL 3.0. El mdel está gestinad pr el Sistema de Administración de Seguridad de la Infrmación de Gbiern en línea (SASIGEL), y el mdel es implementad en un sistema de gestión de seguridad de la infrmación en cada entidad. El presente dcument y mdel se estructura de la siguiente manera: En el capítul tres (3), se presenta la alineación del Mdel de seguridad de la Infrmación cn la arquitectura empresarial de la Estrategia de Gbiern en línea. En el capítul cuatr (4), se presenta una estrategia de preparación pr parte del gbiern central para sprtar al Sistema de Administración de Seguridad de la Infrmación de Gbiern en línea (SASIGEL) cm mdel sstenible. Psterirmente, en el capítul cinc (5), se cubre la preparación de la entidad para cmenzar la implementación del Mdel, la definición de las brechas, la alineación y la implementación del Sistema de Gestión de la Seguridad de la Infrmación (SGSI) cm mdel sstenible. Página 8 de 49

9 3. VISIÓN ESTRATÉGICA La estrategia de Gbiern en línea cntribuye cn la cnstrucción de un Estad más eficiente, más transparente y participativ y que presta mejres servicis cn la clabración de tda la sciedad, mediante el aprvechamient de las TIC. L anterir, cn el fin de impulsar la cmpetitividad y el mejramient de la calidad de vida para la prsperidad de tds ls clmbians. Para lgrar esta visión, se han adptad ls siguientes bjetivs: Facilitar la eficiencia y clabración en y entre las entidades del Estad, así cm cn la sciedad en su cnjunt Frtalecer las cndicines para el increment de la cmpetitividad y el mejramient de la calidad de vida Cntribuir al increment de la transparencia en la gestión pública Prmver la participación ciudadana haciend us de ls medis electrónics En el marc de las investigacines que adelanta CINTEL, y cn el fin de satisfacer ls bjetivs planteads pr la Estrategia de Gbiern en línea, se han establecid ls siguientes elements estratégics, que se han rganizad desde las dimensines Cliente, Financiera, Prcess y de Aprendizaje y Desarrll: Figura 1 - Mapa estratégic para las investigacines de Gbiern en línea Página 9 de 49

10 1. En la perspectiva Cliente, para satisfacer las necesidades de ls clientes del Gbiern en línea es necesari cnsiderar elements cm: a. Escuchar a ls clientes a través de mecanisms de cmunicación bidireccinal, es decir entre las entidades y ls clientes (crwdsurcing). b. Empderar a ls clientes en la tma de decisines. c. Permitir la cnstrucción clectiva del Estad, en cnjunt cn ls clientes. d. Prveer servicis fáciles, rápids, accesibles, cnfiables, interperables y que anticipen el cmprtamient de ls clientes. 2. En la perspectiva Financiera, cn el fin de invlucrar a tda la sciedad en el desarrll de la Estrategia de Gbiern en línea, se debe: a. Prpiciar la inversión racinal y sstenible en la mdernización de ls prcess interns y de prestación de servicis pr parte de las Entidades a través de las TIC. b. Incentivar la creación de mdels de negci a partir de la prestación de servicis pr parte de tercers. c. Prpiciar que el cst del acces a ls servicis pr parte de ls clientes sea equilibrad y cmpetitiv. d. Generar incentivs para impulsar el desarrll de servicis, tant pr las entidades cm pr tercers. 3. En la perspectiva de Prcess, es necesari rientar ls prcess a: a. Prestar servicis sin barreras de acces, rientads a satisfacer necesidades de ls usuaris. b. Crear, distribuir y manipular infrmación electrónica masiva, prtegiend la infrmación del individu. c. Cncer a ls clientes; sus gusts, necesidades y su cmprtamient. d. Prmver y divulgar ls servicis de Gbiern. 4. Finalmente, en la perspectiva de Aprendizaje y desarrll, se deben cntemplar ls siguientes aspects estratégics: a. Generar capacidad de clabración entre ls funcinaris de las diferentes Entidades. b. Crear una cultura digital que aprveche las TIC para crear valr a ls clientes. c. Habilitar canales de frmación para la sciedad para la aprpiación de las TIC y la participación y clabración. d. Generar capacidades de innvación permanente en las Entidades del Estad. Psterirmente, y cn el fin de rganizar tds ls mdels en una arquitectura de referencia, se ha venid cnstruyend la siguiente visión de arquitectura de Gbiern en línea, la cual es una definición cnceptual del mdel a desarrllar pr la Estrategia de Gbiern en línea: Página 10 de 49

11 Figura 2 - Arquitectura de Gbiern en línea La arquitectura está cmpuesta de tres cmpnentes: Una red de servicis, un entrn de clabración y un cmpnente de Gbernabilidad. 1. La red de servicis, cntiene una serie de servicis interrelacinads de infrmación, transacción y participación; ls cuales sn accedids a través de diferentes Canales de Acces. Entre ls canales de acces que se puede encntrar están la Televisión, el Internet, el Celular, ls Canales Presenciales, entre trs. Ls servicis de infrmación crrespnden a aquells servicis que se generan exclusivamente para publicar infrmación. Entre ls servicis de infrmación encntrams el Prtal Únic de Cntratación, ls Prtales Territriales, ls Prtales de las Entidades, entre trs. Ls servicis de transacción crrespnden a aquells servicis sbre ls cuales ls clientes pueden realizar peracines cn el Estad. Entre ests servicis encntrams la Ventanilla Única de Registr de Prpiedad del Inmueble, el Certificad de Antecedentes Fiscales, la Slicitud de cnstancia juramentada pr perdida, extravió de dcuments elements, entre trs. Página 11 de 49

12 Ls servicis de Participación crrespnden a aquells que dispne el Gbiern para prmver la participación ciudadana en la tma de decisines. Entre ests servicis se encuentra la Urna de Cristal, el Micrsiti de Vive Gbiern en línea, entre trs. 2. El entrn de clabración es el lugar dnde interactúan tds ls actres de la sciedad en la cnstrucción de ls servicis que serán prestads en la Red de Servicis. En este entrn se pueden identificar Ciudadans, Empresas del Sectr Prductiv, Entidades del Estad y la Academia. Este entrn de clabración da rigen a un prces cntinu de Publicación de dats, publicads pr las Entidades; generación de prcess de negci que hacen us de ests dats, pr parte de tds ls actres; esquemas de c-creación, que permiten la interacción de múltiples actres de la sciedad para la prestación de ls servicis, y finalmente estrategias de prestación de servici, en dnde cada actr define cóm prestar el servici que va a clcar en la red de servicis. Adicinalmente, este prces se retralimenta a partir de la participación de ls usuaris, desde la mejra a la calidad de ls dats, hasta la estrategia de prestación de servici. L que da rigen a un prces permanente que prmueve la publicación de más dats, que a su vez cnllevan a la prestación de más servicis. En el Entn de Clabración ls diferentes actres interactúan de la siguiente manera: Entidades: Requieren transfrmarse para pder integrar a ls diferentes actres de la sciedad en la prestación de servicis. Sectr Prductiv: Genera nuevs mdels de negci, para facilitar la prestación y prvisión de servicis a ls ciudadans. Academia: Participa entregand cncimient a partir de sus investigacines sbre ls actres de la sciedad. Ciudadan: Participa a través de la creación de cmunidades para la participación y cnstrucción clectiva. Este entrn de clabración se sprta en uns cmpnente de apy, que invlucran tant Slucines de sprte cm de Infraestructura Tecnlógica. Las Slucines de sprte crrespnden a aquellas slucines que se requieren pr un varis servicis, y que facilitan la dinámica del entrn de clabración al facilitar la cncentración de esfuerzs en la cnstrucción de funcines de valr para ls clientes. Entre las slucines de sprte encntrams la slución de Autenticación en línea, Ntificación en línea, Btón de pag, Tramitadr en línea. Estas slucines pueden ser prvistas tant pr las entidades del Estad, cm pr tercers, y dependerá de su us estratégic quien las desarrlle. La Infraestructura Tecnlógica crrespnde a la base tecnlógica sbre la cual perarán ls servicis de la Red de Servicis. Entre ls cmpnentes de la Infraestructura Tecnlógica encntrams Centrs de Dats, Redes de Cmunicación, Centrs de Cntact. Cada un de ests cmpnentes puede ser prestad pr varias Entidades Empresas, y debe cumplir cn un cnjunt de estándares de calidad, prestación de servici y seguridad, que hacen parte de la Gbernabilidad. Página 12 de 49

13 Finalmente, se encuentran en este cmpnente de apy, ls esquemas de incentivs, acmpañamient y medición, ls cuales facilitan la masificación de la Estrategia y la cnstrucción del Entrn de Clabración. 3. El cmpnente de Gbernabilidad facilita que la cnstrucción de la arquitectura se pueda realizar pr parte de tds ls actres de la sciedad, a partir de uns principis, lineamients, metdlgías, guías y estándares, así cm cn la administración de la base de cncimient y la revisión permanente del Marc legal y regulatri Relación Mdel de Seguridad. Desde el punt de vista de seguridad, el mdel que se plantea en este dcument busca ayudar a las entidades en la prvisión de servicis cnfiables a ls clientes, a partir de uns prcess cn ls que se pueda crear, distribuir y manipular infrmación electrónica masiva, prtegiend la infrmación del individu. Para est, se ha cntemplad también que se desarrllen entre tras, cmpetencias relacinadas cn seguridad en la creación de una cultura digital que aprveche las TIC para crear valr a ls clientes y se generen capacidades de clabración entre ls funcinaris de las diferentes Entidades, para pder implementar de manera más eficiente el mdel. Pr l tant, el mdel de seguridad se invlucra dentr de la arquitectura cm un principi, que debe regir td l que se cnstruya, y a partir de allí se entregan una serie de lineamients, metdlgías, guías y estándares, que están al servici de las entidades para la implementación de la Estrategia, e incluyen: Lineamients: Organigrama del mdel y Sistema de Atención de Seguridad de Infrmación de Gbiern en línea Estratificación de Entidades Cntrl de seguridad Indicadres de seguridad. Lineamients para la implementación del mdel de seguridad de la infrmación. Metdlgías: Metdlgía para gestión de riesgs Metdlgía de clasificación de activs Guías: Encuesta de seguridad Autevaluación de entidades, para el análisis de brecha Plantilla de plítica de seguridad del Sistema de Gestión de Seguridad de la Infrmación SGSI para las entidades Ejempls de prcedimients estándares usads Guías de implementación de plítica Finalmente, se incluyen una serie de recmendacines en cada un de ls cmpnentes de la arquitectura, relacinads en la Red de servicis y el Entrn de clabración. Página 13 de 49

14 4. SISTEMA DE ADMINISTRACIÓN DE SEGURIDAD DE LA INFORMACIÓN DE GOBIERNO EN LÍNEA - SASIGEL 4.1. Sistema Administrativ de Seguridad de la Infrmación para Gbiern en línea 1 El Mdel de Seguridad de la Infrmación para las entidades del Estad, se apya en la creación del Sistema Administrativ de Seguridad de la Infrmación para Gbiern en línea SASIGEL y en la cnfrmación de la Cmisión de Seguridad de la Infrmación para Gbiern en línea, para tmar accines estratégicas y definir ls lineamients que permitan la implementación, seguimient y mantenimient del Mdel de Seguridad de la Infrmación en cada una de las entidades públicas de rden nacinal y territrial y en las entidades privadas que sean prveedras de ls servicis de Gbiern en línea. La creación del Sistema Administrativ de Seguridad de la Infrmación para Gbiern en línea, permite el cumplimient de ls principis definids en la Ley 1341 de 2009 y en la Estrategia de Gbiern en línea, que crrespnden a la prtección de la infrmación del individu y la credibilidad y cnfianza en el Gbiern en línea. En particular, para lgrar el cumplimient de ests principis, se requiere que tant ls servicis de Gbiern en línea, cm la Intranet Gubernamental y las entidades que participen en la cadena de prestación de ls servicis de Gbiern en línea, cumplan cn ls tres elements fundamentales de la seguridad de la infrmación: dispnibilidad de la infrmación y ls servicis; integridad de la infrmación; y, cnfidencialidad de la infrmación. Para la crrecta administración de la seguridad de la infrmación, se deben establecer y mantener prgramas y mecanisms que busquen cumplir cn ls tres requerimients mencinads. El SASIGEL surge, cm la necesidad de dirigir las interaccines de ls actres públics, privads y de la sciedad civil que interactúan y afectan la seguridad de la infrmación de las entidades públicas. En este sentid, el SASIGEL crdinará las actividades relacinadas cn la frmulación, ejecución, seguimient y mantenimient de las plíticas y lineamients del mdel, necesaris para frtalecer la adecuada gestión de la seguridad de la infrmación de las entidades públicas a nivel nacinal. La figura 3 muestra la estructura de SASIGEL. Ahí se encuentran la Cmisión de Seguridad de la Infrmación para Gbiern en línea, el Grup Técnic de Apy, el Equip de Gestión del Pryect a Nivel Central (ver Anex N. 1 - Organigrama mdel y SASIGEL.) 1 Tmad y adaptad del dcument INFORME FINAL MODELO DE SEGURIDAD DE LA INFORMACIÓN SISTEMA SANSI SGSI. MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA, Prgrama Gbiern en línea (2008). Página 14 de 49

15 Figura 3 - Sistema Administrativ de Seguridad de la Infrmación para Gbiern en línea - SASIGEL Fuente: tmad y adaptad del dcument INFORME FINAL MODELO DE SEGURIDAD DE LA INFORMACIÓN SISTEMA SANSI SGSI. MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Prgrama Gbiern en línea (2008) Estructura institucinal La estructura institucinal, de la figura 4, tma las funcines de rectr del Mdel, tant a nivel general, cm al interir de cada entidad que l implemente, se encuentran en el capítul tres (3) del Anex N. 1 - Organigrama mdel y SASIGEL. Esta estructura garantiza el mantenimient y sstenibilidad del Mdel de Seguridad de la Infrmación en el tiemp, así cm su crrecta implementación. Figura 4 - Organigrama para el Mdel de Seguridad de la Infrmación Página 15 de 49

16 La estructura institucinal de SASIGEL, junt a sus funcines se encuentra en el Anex N. 1 - Organigrama mdel y SASIGEL., la participación de sus actres, se muestra en la figura 4. Ahí se encuentran la Cmisión de Seguridad de la Infrmación para Gbiern en línea, el Grup Técnic de Apy, el Equip de Gestión del Pryect a Nivel Central y el Equip de Gestión a nivel de las entidades. El sistema, es apyad y divulgad a alt nivel pr la Cmisión de Seguridad de la Infrmación para Gbiern en línea, órgan que: Se apyará técnicamente en el Grup Técnic de Apy para definir y establecer el Mdel de Seguridad (Prces PLANEAR cicl PHVA) a implementar pr las entidades bjetiv. Aprbará ls cambis y mejras planteadas para el mdel de seguridad de la infrmación. Para que el Mdel de Seguridad de la Infrmación pueda ser implementand a nivel general se describe una estrategia de trabaj que está estructurada a partir de etapas, las cuales se muestran en la figura 5 y se explican en el siguiente numeral Aprximación pr prcess para SASIGEL El Sistema Administrativ de Seguridad de la Infrmación para Gbiern en línea, adpta un enfque basad en prcess, para establecer, implementar, perar, hacer seguimient, mantener y mejrar el Mdel de Seguridad de la Infrmación para la Estrategia de Gbiern en línea, rientad hacia tdas las entidades y ls actres invlucrads. Figura 5 - Cicl de vida para el SASIGEL y sus actres Página 16 de 49

17 La aprximación se hace a través del mdel PHVA de la figura 5, dnde se identifica las diferentes etapas cm sn la planeación y publicación del mdel. El hacer, cn la ambientación de las entidades, frmación de capacitadres e implementación del SGSI en las entidades, este últim desarrllad en detalle en el capítul 5. El verificar mediante el seguimient y cntrl. Y el actuar mediante la revisión y mejras al mdel. En este mdel las salidas de cada etapa, se cnvierten en las entradas de la siguiente, y mediante una dispsición cíclica permite que el Sistema Administrativ de Seguridad de la Infrmación para Gbiern en línea sea un mdel aut-sstenible, que funcina eficazmente Fase Planear de SASIGEL Durante esta fase se ha definid el mdel que aplica para las entidades públicas. El mdel en detalle se encuentra en el capítul cuatr (4) de este dcument. SASIGEL define la estructura del SGSI teniend en cuenta las siguientes premisas para el sistema: Ls instruments nrmativs para apyar la implementación del Mdel de Seguridad. Ls lineamients, requerimients y la plítica del Mdel de Seguridad de la Infrmación para la Estrategia de Gbiern en línea, definidas pr el manual GEL 3.0 para cada nivel de madurez Fase Hacer de SASIGEL Las entidades públicas que prvean servicis de Gbiern en línea, deberán implementar y perar (Prces HACER del cicl PHVA) la plítica, recmendacines y cntrles definids en el mdel en el capítul 5, para dar cumplimient a la nrmatividad, a ls requerimients, y que a su vez, les permita ser más cmpetitivas y frecer mejres y más segurs servicis para prveer mayr cnfianza a ls ciudadans que hagan us de sus servicis y prducts. El mdel de seguridad de la infrmación lleva a la entidad a alinearse cn un cicl PHVA para realizar la implementación de un sistema de gestión de seguridad de la infrmación alinead cn ls niveles de madurez definids en el manual de Gbiern en línea 3.0. El mdel incluye las claves para el éxit de la implementación del mism, y la descripción detallada de cada una de las actividades de las fases Ambientación a entidades Se deberá realizar una sesión de preparación cn las entidades y sus equips de gestión del pryect, cn el prpósit de hacer claridad sbre ls bjetivs que se persiguen cn el Mdel, las directrices y premisas sbre las cuales se va a desarrllar el mism y las reglas de jueg que a nivel de lgística aplicarán durante esta actividad. Serán parte del temari de estas capacitacines: 1. Cndicines de implementación del mdel. 2. Tiemps estimads de implementación pr características de entidad. Página 17 de 49

18 3. Sensibilización sbre el alcance y bjetiv de la autevaluación. 4. Definición de la brecha. 5. Implementación y ajustes al mdel de seguridad de la infrmación. 6. La relación del Respnsable de Seguridad de la Infrmación y el Mdel de Seguridad de la Infrmación. 7. Aut sstenibilidad del mdel. Cn el fin de llevar a cab la implementación del mdel en las entidades se define un Plan de Sensibilización que se detalla a cntinuación Plan de sensibilización 2 El bjetiv de este plan es sensibilizar a las entidades, tant públicas y privadas, en la utilización y prvech del Mdel de Seguridad de la Infrmación para la Estrategia de Gbiern en línea, también busca capacitar al funcinari públic encargad de gestinar la seguridad de la infrmación al interir de su entidad y alinearla cn ls bjetivs de seguridad para la Estrategia de Gbiern en línea. Para la realización del plan de sensibilización, se sugiere la ejecución de las siguientes etapas Campaña de sensibilización a las entidades públicas y privadas En esta etapa, se realizará la divulgación y sensibilización masiva a las entidades bjetiv, públicas y privadas que tienen que acgerse al Mdel de Seguridad de la Infrmación, de frma que estas entidades cnzcan sus nuevas respnsabilidades, cóm alinearse y cóm armnizar sus avances cn ls sistemas de gestión de calidad (cm NTC-GP1000 ISO9001), cntrl intern (MECI) y Sistema de gestión de seguridad de la infrmación (cm ISO27001). El plan de divulgación y sensibilización hará us de ls siguientes medis: Medis impress: Afiches, plegables y elements de recrdación que cntendrán infrmación resumida per imprtante acerca del nuev Mdel, en qué cnsiste, cuáles sn sus bjetivs principales y cuál es la respnsabilidad de las entidades, funcinaris y empleads dentr del mdel de seguridad. También mstrará infrmación sbre cóm se puede ayudar a la entidad tant en la implementación cm en la mejra del Mdel. Medis interactivs: Fnds de escritri para ls cmputadres de las entidades, prtectres de pantallas y vides cn infrmación relacinada tant a las principales plíticas en seguridad de la infrmación cm cn el nuev Mdel de seguridad. 2 Tmad y adaptad del dcument ENTREGABLE 14: ESTRATEGIAS DE IMPLEMENTACIÓN - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA, desarrllad en el 2008 pr el Prgrama Gbiern en línea. Página 18 de 49

19 A través de Internet: Presentación de infrmación cmpleta y detallada en la Intranet Gubernamental de Gbiern en Línea, dcuments de trabaj, diagramación de prcess y servicis relacinads cn el Mdel de seguridad Plan de capacitación para las entidades públicas El equip central de SASIGEL está a carg de realizar las capacitacines en seguridad de la infrmación, en el Mdel de seguridad y en estrategias para la implementación exitsa rientada a ls funcinaris públics respnsables pr la implementación y gestión del Mdel de seguridad de la infrmación al interir de sus entidades. Ls cntenids de ls curss pdrán descargarse de la Intranet Gubernamental y estarán dispnibles para su cnsulta en línea. Las capacitacines sn dictadas periódicamente a través del añ Campaña de sensibilización masiva Campaña en la que se invlucra al ciudadan, el bjetiv principal es lgrar que el ciudadan tenga mayr cnfianza y credibilidad en el Estad Clmbian al mment de realizar sus trámites y transaccines pr medis electrónics y cuand haga us de ls servicis de Gbiern en línea. Ls medis de divulgación principalmente serán: televisión, radi, medis impress y publicación en el siti Frmación de Capacitadres El equip central de SASIGEL está a carg de realizar la ejecución de ls prcess de capacitación a ls líderes seleccinads pr las entidades para que repliquen al interir de cada entidad cmprmetida en la implementación del mdel cn el knw hw que garantice la implementación exitsa del mism al interir de cada una de estas entidades. Si la entidad cnsidera certificarse respect al estándar ISO27001, es un requisit demstrar que el persnal ha recibid la capacitación necesaria (curss, especializacines, diplmads, etc.) para realizar sus funcines, y en el cas de ls auditres interns, que se cuente además cn el entrenamient frmal de auditres interns en SGSI NTC: ISO/IEC 27001: Implementación del mdel a través del SGSI en entidades Una vez las entidades se encuentren sensibilizadas y preparadas deben iniciar cn la implementación del mdel de seguridad de la infrmación al interir de la misma. El mdel y su implementación se encuentran definids en el capítul cuatr (5). Allí se define cm se establece, implementa, pera, mnitrea y revisa, mantiene y mejra el SGSI. Ntas: Cm parte de la implementación, es necesari que se mantenga la ejecución del plan de sensibilización al interir de tdas las entidades. Página 19 de 49

20 Se debe capacitar al funcinari públic encargad de gestinar la seguridad de la infrmación al interir de su entidad cn el fin de que se alinee cn ls bjetivs de seguridad para la Estrategia de Gbiern en Línea Fase Verificar de SASIGEL Seguimient y cntrl de entidades y mdel En el prces VERIFICAR del cicl PHVA, en el que se realizará revisión y seguimient de la implementación y cumplimient del Mdel de Seguridad, tmarán parte: Las entidades públicas que prvean servicis de Gbiern en línea, quienes tmarán las medidas necesarias para evaluar el nivel de cumplimient del mdel, Las autridades de vigilancia y cntrl, cm la Cntralría y la Prcuraduría, para auditar y revisar el cumplimient del mdel de seguridad pr parte de las entidades y, El Equip de Gestión de Nivel Central, verificand la implementación del mdel. Esta etapa cmprende el cntrl de tds ls recurss (humans, financiers y físics) cn el fin de asegurar que ls resultads del Sistema, pr una parte, se prduzcan prtuna y eficazmente en función de ls csts y pr tra parte que el alcance definid se cumpla dentr de ls tiemps estimads planeads. Esta labr debe realizarse al interir de las entidades baj la supervisión y lineamients del equip de gestión del nivel central de manera cntinua. Mediante la realización de auditrías periódicas, y el mnitre de ls indicadres a nivel central que la entidad debe reprtar regularmente a SASIGEL Indicadres del mdel SASIGEL Se definirán un cnjunt de indicadres a nivel central cn el fin de realizar la medición tant sbre el desempeñ de SASIGEL, cm de ls SGSI de cada entidad. Cn ls indicadres, se tendrá una frma sistemática, cnfiable y repetible de btener ls indicadres de ambs sistemas. El Anex N. 9 Indicadres de seguridad presenta ls indicadres de gestión de SASIGEL. Página 20 de 49

21 En la Tabla 1 se presentan las métricas definidas pr parte del equip del nivel central para el mnitre de cada un de ls SGSI implementads pr las entidades. Esta tabla se basa en las métricas publicadas pr el Center fr Internet Security (CIS). 3 Tabla 1 Métricas de gestión Seguridad de aplicacines Cnfiguración de la Gestión del Cambi Financier Manej de Incidentes Gestión de parches Gestión de vulnerabilidades Métricas de acuerd a CIS. Númer de aplicacines Prcentaje de aplicacines críticas Cbertura de evaluación de Riesg Cbertura de las pruebas de seguridad Tiemp medi para cmpletar ls cambis Prcentaje de cambis cn revisión de Seguridad Prcentaje de cambis cn excepcines de seguridad Infrmación del Presupuest de Seguridad cm % del presupuest de TI Asignación del presupuest de Seguridad de la Infrmación Tiemp medi de detección de incidentes Tasa de Incidentes Prcentaje de incidentes detectads pr ls cntrles interns Tiemp medi entre incidentes de seguridad Tiemp medi de recuperación Cumplimient de la plítica de parches Cbertura de la Gestión de parches Tiemp medi para parchar Cbertura de escane de vulnerabilidades Prcentaje de sistemas sin vulnerabilidades graves cncidas Tiemp medi para mitigar las vulnerabilidades Númer de instancias de vulnerabilidades cncida Funte: CIS Auditría a las entidades La auditría a las entidades puede ser realizada pr entidades cn experiencia certificada en auditría y certificación en ISO 27001, a través de SASIGEL. Estas auditrías pueden fundamentarse en la estructura definidas pr el estándar ISO/IEC e ISO Center fr Internet Security CIS Url: Página 21 de 49

22 Preparación del equip y plan de auditría pr SASIGEL La preparación del equip de auditría y el plan de auditría incluye ls siguientes punts: Cntar cn un auditr líder cn cncimients generales y un auditr cn cncimient técnic detallad de acuerd a la entidad, de tal manera que el equip demuestra el cncimient sbre ls siguientes temas: Sistemas de gestión y prcess aplicables del SGSI Identificación de amenazas e incidentes de seguridad Cncimient de ls cntrles y su implementación Cncimient de la revisión de la eficacia y la medición de cntrles Cncimient de estándares, buenas prácticas, plíticas y prcedimients Cncimient de respuesta a incidentes y cntinuidad del negci Cncimient de activs tangibles e intangibles y análisis de impact Cncimient sbre gestión del riesg y de métds para el análisis de riesg Realizar una revisión del alcance en términ de las características de negci, ubicación, activs y tecnlgía, incluyend tds ls requisits del sistema y del manual GEL 3.0. Revisar que el análisis de riesg y su tratamient refleja aprpiadamente las actividades de la entidad. La auditría tiene una duración entre 5 y 16 días que depende de: El alcance del SGSI Cmplejidad del SGSI Tip de negci dentr del SGSI Extensión y diversidad de tecnlgía de ls diverss cntrles del SGSI Númer de sitis, en cuy cas se puede utilizar técnicas de muestre Desempeñ previ del SGSI Extensión de acuerds cn tercers y servicis tercerizads dentr del alcance del SGSI Estándares y regulación aplicables La metdlgía utilizada debe permitir mstrar que la entidad cuenta cn planes de auditría interna, y que ls prgramas y prcedimients sn peracinales y se puede mstrar su peración. El plan de auditría debe incluir la selección de técnicas adecuadas de acuerd a la situación. El equip de auditría debe realizar un infrme y brindar la prtunidad de dar a cncer a la entidad su prgres y realizar preguntas sbre ls hallazgs. El infrme cuenta cn un resumen ejecutiv Un reprte del análisis de riesg de la entidad Tiemp ttal utilizad Preguntas, raznes para su selección y metdlgía empleada Página 22 de 49

23 Observacines psitivas y negativas N cnfrmidades de ls requerimients y sus cmentaris El auditr debe demstrar su cncimient Experiencia realizand auditrías de sistemas de gestión de seguridad de la infrmación Credenciales que l acrediten cm auditr de sistemas de gestión de seguridad de la infrmación Curss aprbads de sistemas de gestión de seguridad de la infrmación Estar registrad cm auditr Demstración práctica de haber participad en auditrías de sistemas de gestión de seguridad de la infrmación Prces de auditría en la entidad Durante la auditría a la entidad, SASIGEL reclectará la infrmación de la entidad y realizará la auditría en ds etapas: Ls requisits iniciales para la auditría incluyen: Infrmación general sbre el SGSI y las actividades que cubre Cpia de la dcumentación del SGSI requerid y según sea requerid, la dcumentación adicinal. La primera etapa se enfca en la revisión de ls dcuments y la planeación de la revisión en siti, cn el fin de cncer en mayr nivel de detalle el sistema y de la preparación actual de la entidad. Psterirmente se debe cmunicar a la entidad la dcumentación adicinal requerida. La segunda etapa incluye cnfirmar que la entidad se adhiere a sus prpias plíticas, bjetivs y prcedimients. También que cumple cn ls requisits del SGSI y manual GEL 3.0 y esta lgrand ls bjetivs de la plítica de la entidad. Se debe enfcar en l siguiente de la entidad. Evaluación de ls riesgs relacinads cn la seguridad de la infrmación y que la evaluación prduce resultads reprducibles y cmparables. Revisines de la eficacia del SGSI y medida de la eficacia del SGSI cn respect a ls bjetivs del SGSI. Revisines de la dirección y auditrías internas. Respnsabilidad de la dirección para la plítica de seguridad de la infrmación. Crrespndencia entre ls cntrles seleccinads e implementads, la declaración de aplicabilidad, y ls resultads del prces de la evaluación del riesg y tratamient del riesg y la plítica del SGSI y sus bjetivs. Implementación de ls cntrles teniend en cuenta las medicines de eficacia de ls cntrles pr la entidad, para determinar si ls cntrles están implementads y sn eficaces para lgrar ls bjetivs planteads. Trazabilidad de ls prgramas, prcess, prcedimients, registrs, auditrías internas y revisines de la eficacia del SGSI, cn las desicines de la dirección, la plítica del SGSI y ls bjetivs. Página 23 de 49

24 La existencia del nrmgrama y un sistema de gestión que permite dar cumplimient legal y regulatri a la entidad de ls requisits relacinads cn la seguridad de la infrmación. Nta sbre integración de sistemas de gestión. La entidad puede cmbinar la dcumentación del SGSI cn trs sistemas de gestión, siempre y cuand el SGSI pueda ser claramente identificad junt cn las interfaces aprpiadas a ls trs sistemas Fase Actuar de SASIGEL En el prces ACTUAR del cicl PHVA, se realizan las mejras al mdel, tant para el mdel aplicable a las entidades cm para SASIGEL, así: Las entidades tman las accines de mejra resultantes de la aut-evaluación realizada y/ las auditrías externas para implementar cntrles de seguridad que permitan mejrar su nivel de cumplimient del mdel de seguridad y pr ende, su pstura en seguridad de la infrmación. El Equip de Gestión de Nivel Central genera pcines de mejra cm la definición de nuevs cntrles, prcess, lineamients y plíticas que serán puests a cnsideración del Grup Técnic de Apy y aprbación pr parte de la Cmisión de Seguridad de la Infrmación para Gbiern en línea para que sean parte de las actualizacines del Mdel a ser implementad Mantenimient y sstenibilidad del mdel Cuand se cmplete cada cicl PHVA, dentr de la fase planear, se realizarán ls ajustes al mdel resultantes de su aplicación a las entidades y el análisis de psibles fallas y vacís que se hayan identificad y reprtad pr las entidades. En cuant al mantenimient del mdel de seguridad de la infrmación para la estrategia de Gbiern en línea, una vez ha sid implementad, debe cubrir aspects cm: Planificación y cntrl de seguridad. Cntrl de la implantación de plíticas preventivas adicinales a las existentes en el mdel. Cntrl a la implantación y/ ajustes a ls cntrles existentes. Cntrl y gestión de ls riesgs (basad en metdlgías de gestión del riesg). Garantizar la cntinuidad del servici. Cumplimient legislación vigente. Ayuda a las auditrías de seguridad (basadas en la NTC:ISO/IEC 27001:2005) Mejra cntinua del SASIGEL Cn ls resultads de la medición y el cntrl sbre la ejecución de la implementación del mdel en las entidades, se realizarán las siguientes actividades: Cmunicación de resultads de medición y cntrl pr el equip de nivel central. Página 24 de 49

25 Ajustes al mdel pr el grup técnic de apy. Ajustes a la estrategia de difusión y capacitación. Ajustes a la estrategia de implementación pr el grup técnic de apy. Aprbación de ls cambis, pr la Cmisión. Difusión y publicación de ls cambis Mejra cntinua del SGSI para las entidades La mejra del mdel SGSI cm parte de SASIGEL cntará cn sus actualizacines de acuerd a ls cicl definids pr el equip central. La mejra cntinua de la implementación del mdel en cada entidad es una etapa que se cubre en el ítem Prces cntinu y Gestión aut sstenible del mdel de las entidades, cm parte del cicl PHVA del SGSI que debe ser realizad pr la entidad. Página 25 de 49

26 5. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LAS ENTIDADES 5.1. Intrducción La implementación del Sistema de Gestión de Seguridad de la Infrmación - SGSI en las entidades, es un cmpnente de la fase hacer del cicl PHVA de la figura 5, que se desarrlla en detalle durante este capítul. Para garantizar una adecuada implementación del Mdel de Seguridad de la Infrmación en las entidades del Estad se describe una estrategia de trabaj que está estructurada a partir de etapas alineadas cn ls niveles de madurez de manual de Gbiern en línea 3.0, las cuales se detallan en este capítul y sn cherentes cn ls lineamients del estándar NTC:ISO/IEC 27001:2005. Para abrdar el tema de la seguridad de la infrmación se debe cntar cn aprbación y apy sstenid de la dirección de la entidad. Est permitirá que la gestión del riesg (l cual incluye el análisis, la identificación de cntrles adecuads, su implementación, su medición y mejra cntinua), sea aprbada y apyada cn ls recurss necesaris a través de tdas las etapas e instancias del sistema. Nta: se aclara que el estándar internacinal se cmplementa de manera armónica cn tras iniciativas y estándares nacinales e internacinales, tales cm MECI (Mdel Estándar de Cntrl Intern), COBIT, ITIL, entre trs Etapas de implementación Se ha definid cm estrategia para la implementación del Mdel de seguridad de infrmación en las entidades del Estad, la ejecución de cuatr (4) etapas cm se muestra en la figura 6. Las etapas sn: preparación, análisis de la situación actual y brechas, alineación cn el SGSI, las cuales cnllevan a que la entidad entre en la etapa de gestión del SGSI sstenible basad en el cicl PHVA, mnitread pr SASIGEL, a través del seguimient y cntrl de la sección Se puede cnsultar un cuadr exhaustiv que muestra la crrespndencia entre ls estándares en el Anex 12 Crrespndencia de Estándares. directamente en Inglés Españl Página 26 de 49

27 Figura 6 - Plan de implementación Planear Preparación Análisis de Situación actual y brechas Alineación cn SGSI Actuar Verificar Hacer Gestión de SGSI sstenible Seguimient y cntrl Preparación Las etapas previas a la implementación del SGSI sn fundamentales para lgrar una adecuada sensibilización, mtivación y cmprmis pr parte de la entidad y sus funcinaris. Cm se describe en el capítul 3, es respnsabilidad de SASIGEL que las entidades tengan acces a la capacitación, antes de iniciar cn esta etapa. Las actividades sn: Frmación de Capacitadres descrita en la sección Campaña de sensibilización a las entidades públicas y privadas descrita en la sección Plan de capacitación para las entidades públicas descrita en la sección definidas en el alcance del SASIGEL. Para una crrecta aprximación e implementación del SGSI, la entidad debe haber cmpletad dicha sensibilización y capacitación para cntinuar cn las siguientes actividades: Invlucrand y sensibilizand a la alta dirección Revisar cn la alta dirección y acrdar el cmprmis cn el cumplimient y preparación de ls prerequisits para iniciar la implementación del SGSI, y así mism de ls requisits ls cuales la entidad debe cumplir de acuerd cn manual de Gbiern en línea 3.0, una vez el SGSI está implementad y en peración. El dcument Lineamients para la Implementación del Mdel de Seguridad de la Infrmación cuenta cn la nta imprtante para la dirección. Página 27 de 49

28 Identificación de ls respnsables Un de ls factres crítics de éxit es el adecuad sprte pr parte de representantes de alt nivel de la entidad para sprtar y dar visibilidad a la iniciativa permanente para la implementación del mdel. Ls representantes de alt nivel de la entidad deben realizar ls siguientes pass en el rden plantead para cntar cn la lista de respnsables al final del ejercici: dar a cncer el perfil y respnsabilidades de ls respnsables Perfiles y respnsabilidades Sin perjuici de l establecid en la Ley 489 de 1998, cada entidad en el menr tiemp psible (cada entidad establecerá ls términs en ls cuales se puede cumplir cn esta bligación) deberá rganizar el grup de trabaj respnsable para implementar el Mdel de seguridad de la infrmación en las entidades del Estad, definiend el perfil y rl de cnfrmidad cn l establecid en este dcument de plítica. Es necesari que las respnsabilidades asignadas en este dcument de plíticas cada perfil, sean incrpradas a ls manuales de funcines de cada entidad de acuerd al carg de desempeñan. Cnsultar el numeral 3.7 Equip de gestión al interir de cada una de las entidades del Anex N. 1 - Organigrama mdel y SASIGEL. del mdel de seguridad de la Infrmación de Gbiern en línea dnde se encuentran definidas las respnsabilidades. Actividad: Dar a cncer ls perfiles y respnsabilidades de cada persnaje al grup de trabaj e identificar las persnas idóneas para tmar cada rl. El sistema cuenta cn la interacción ls siguientes perfiles: Cmité de seguridad. Las funcines de este cmité pueden ser tmadas pr cmité de GEL, de acuerd al Manual de Gbiern en línea 3.0. Líder de pryect: Líder de Gbiern en Línea. Oficial de Seguridad de la infrmación líder de seguridad. En aquellas entidades que así l justifiquen, pr ejempl cn insuficiencia de recurss técnics experticia, se recmienda la definición de un ficial de seguridad que respnda simultáneamente para un cnjunt de entidades que acuerden agruparse. Persnal de seguridad de la infrmación. Un representante del área de tecnlgía. Un representante del cntrl intern. Un representante del área de planeación. Un representante de sistemas de gestión de calidad. Funcinaris, prveedres, y ciudadans. En la figura 7, se muestra la interrelación de tds ests actres y el nivel (estratégic, táctic, perativ y participativ) en dnde se desempeñan cada un de ells. Página 28 de 49

29 Figura 7 - Actres del SGSI Estratificación de entidades La estratificación de las entidades permite identificar de manera general, el nivel de cmplejidad que puede significar para estas, la implementación del SGSI cn el cual será revisad. Independientemente de la estratificación, las entidades deben utilizar la aprximación mediante la gestión del riesg de la sección para identificar el cnjunt de cntrles mínims sugerids aplicables para cada una de ellas. Actividad: cnsultar el mdel de estratificación relacinad en el Anex 3 para la determinación del estrat en que queda clasificada la entidad frente al Mdel de Seguridad de la Infrmación Análisis de la Situación actual y Definición de brechas Esta etapa se enfca en tener un cncimient inicial de la situación que presenta la entidad frente al mdel de seguridad y ls lineamients del manual de Gbiern en línea 3.0, según el alcance definid pr la clasificación en la que se encuentre. Cn respect a l determinad en el punt anterir (respnsables y estratificación). Ls cmpnentes de esta etapa y las tareas a realizar pr el equip definid sn: aplicar la encuesta, definir el nivel de madurez, definición de brechas y definición de crngrama para reducir la brecha Aplicar la encuesta La encuesta se plantea para realizar el diagnóstic actual de la entidad. Actividad: Cnsultar y aplicar el dcument de encuesta del Anex N. 2 - Encuesta de seguridad. Ls resultads serán utilizads en el capítul Definición de brechas. Página 29 de 49

30 Definir nivel de madurez De acuerd a ls lineamients del Manual de Gbiern en línea 3.0, cada entidad tiene un nivel de madurez inicial y una ruta a seguir, cn uns requerimients para cada nivel. La tabla 2 cntiene ls requerimients transversales de seguridad presentes en el Manual de Gbiern en línea 3.0. Actividad: Realizar la autevaluación cn respect a ls niveles de seguridad transversales definids en el Manual de Gbiern en línea 3.0, utilizand ls frmat del Anex N. 4 - Autevaluación definición de brecha. Tabla 2 - Niveles de seguridad, Manual de Gbiern en línea 3.0 Niveles de Seguridad según Manual de Gbiern en línea 3.0 Plan de Seguridad Nivel Inicial La entidad debe definir una plítica de seguridad que garantice la prtección de la infrmación, ls dats persnales y ls activs de infrmación cn que cuenta. Para ell, deberá implementar las siguientes accines: Identificar el nivel de cncimient al interir, en temas de seguridad de la infrmación y seguridad infrmática Definir la plítica de seguridad a ser implementada Divulgar la plítica de seguridad al interir de la misma Cnfrmar un cmité de seguridad asignar las funcines de seguridad al cmité GEL Identificar ls activs de infrmación en ls prcess,incluyend ls activs dcumentales (recrds), de acuerd cn el análisis de prcess realizad Identificar ls riesgs y su evaluación, en dichs prcess Definir el plan de acción cn ls cntrles y plíticas que se implementarán para mitigar ls riesgs identificads Plan de Seguridad Nivel Básic Plan de Seguridad Nivel Avanzad Cn base en el análisis de prcess realizad en el nivel inicial y la plítica plan de seguridad definid, la entidad inicia la ejecución de dich plan de seguridad para implementar ls cntrles que mitigarán ls riesgs identificads, l cual implica que la entidad presenta avances en la implementación de tales cntrles. De acuerd cn el plan de capacitación definid pr la entidad en el nivel inicial, esta ejecuta las accines de capacitación en seguridad, cn ls respnsables de ls cntrles y prcess cn ls cuales se inicia la ejecución del plan. La entidad inicia la dcumentación de plíticas y prcedimients de seguridad, de acuerd cn el plan definid. La entidad culmina la implementación de cntrles definids en el nivel inicial La entidad dcumenta la ttalidad de plíticas y prcedimients de seguridad La entidad ejecuta las actividades de capacitación en temas de seguridad, cn tds ls servidres públics Página 30 de 49