Valoración de la Madurez de Seguridad

Documento MetodológicoÁmbito 6

Alcalde de BogotáEnrique Peñalosa Londoño

Secretario General Raúl Buitrago Arias

Alto Consejero Distrital del TICSergio Martínez Medina

Profesional Especializado en Seguridad de la InformaciónMaría del Pilar Niño Campos

Estrategia de Seguridad y Privacidad de la Información de la Alcaldía de Bogotá

Diciembre 2018

4 5

7

Tabla 1. Escala de valoración Tabla 2. Controles ISO versus plantillas administrativas Tabla 3. Controles ISO versus plantillas técnicas Tabla 4. Preguntas indicadores Manual Tabla 5. Plantillas documentales de apoyo

Figura 1. Etapas MSPI Figura 2. Fases diligenciamiento MSPI Figura 3. Portada Figura 4. Fase portada Figura 5. Fase escalas de valoración Figura 6. Información de la entidad Figura 7. Fase Información de la entidad Figura 8. Procesos o áreas involucradas en el MSPI Figura 9. Fase de identificación de procesos o áreas asociadas al MSPI Figura 10. Controles administrativos Figura 11. Fase controles administrativos Figura 12. Controles técnicos Figura 13. Fase controles técnicos Figura 14. Evaluación PHVA Figura 15. Fase diligenciamiento PHVA Figura 16. Controles ciberseguridad Figura 17. Fase controles ciberseguridad Figura 18. Madurez MSPI Figura 19. Fase madurez MSPI Figura 20. Gráficas controles consolidados Figura 21. Imagen de la sección de indicadores de seguridad

10121313 1415151616171818192020212122222324

1417192526

ÍNDICE DE TABLAS

ÍNDICE DE FIGURAS

PÁG. 1El Modelo de Seguridad y Privacidad de la Información – en adelante MSPI- establecido por el Ministerio de las TIC (MinTIC, 2015a) ha sido construido bajo estándares internacionales y buenas prácticas en seguridad y privacidad de la información, por ello fue propuesto para ser implementado en las diferentes entidades públicas como estrategia nacional y en línea con los documentos de política: CONPES 3701 (Departamento Nacional de Planeación, 2011) y CONPES 3854 (Departamento Nacional de Planeación, 2016).

Con la presente guía metodología, la entidad está en capacidad de entender los requisitos e implementar un MSPI adaptado a sus necesidades internas y externas, logrando un nivel de madurez óptimo en seguridad y privacidad de la información.

El nivel de madurez de una entidad frente a la adopción del MSPI, propuesto por el Ministerio de Tecnologías de la Información y las comunicaciones, en adelante MinTIC, corresponde al cumplimiento de los criterios establecidos en el capítulo 9 del documento maestro del modelo (MinTIC, 2015b).

INTRODUCCIÓN

2DEFINICIÓN

8 9663

4

5

Evaluar de forma estructurada y repetible la madurez en los procesos de seguridad, controles y cultura de la entidad, incluyendo un análisis de brecha (GAP), teniendo en cuenta la herramienta del MSPI establecido por MinTIC y los indicadores del Manual de Gobierno Digital (MinTIC, 2018).

• Evaluar el nivel de madurez de la entidad respecto al MSPI de MinTIC de acuerdo con los criterios y actividades de la metodología.• Presentar informe de nivel de madurez del MSPI en la entidad.

Este documento desarrolla la metodología para utilizar la herramienta de evaluación de la Seguridad y Privacidad de la Información establecida por MinTIC, para la implementación, mantenimiento y mejora del modelo y evaluar su nivel de madurez en la entidad.

Al igual que la herramienta MSPI de MinTIC, esta guía toma como referencia las buenas prácticas que se presentan en el marco teórico y jurídico.

Para el logro de los objetivos, en este documento se anexan plantillas documentales de apoyo para que las entidades distritales puedan adoptarlas y personalizarlas de acuerdo con su propio contexto, la cuales se detallan en el capítulo 8.

OBJETIVOGENERAL

ALCANCE

OBJETIVOSESPECÍFICOS

Desde una visión pragmática del trabajo a desarrollar en las Entidades Distritales, la implementación de un Sistema de Gestión de Seguridad de la Información -SGSI- bajo la norma ISO 27001:2013 (Icontec, 2013), es la línea base para el cumplimiento del MSPI.

Para evaluar el nivel de madurez de la entidad respecto al MSPI de MinTIC, es importante conocer y entender los siguientes instrumentos normativos que soportan la presente guía: Ley 1581 de 2012, Ley 1712 de 2014, Decreto 1377 de 2014, Documentos CONPES 3701 y 3854 y el Manual de Gobierno digital (MinTIC, 2018).

De igual manera la guía se apoya en los siguientes estándares: COBIT (ISACA, 2018), ITIL (AXELOS, 2011), ISO-IEC 27001:2013 (Icontec, 2013), ISO-IEC 27002:2013 (Icontec, 2015), ISO-IEC 27000:2018, ISO 21827 (ISO, 2008), Modelo Abierto de Madurez de la Gestión de la Seguridad de la Información (The open group, 2018a), Marco de trabajo de ciberseguridad de la NIST (National Institute of Standards and Technology, 2014), NIST-800-53r5 (Ross & Rochford, 2017) y TOGAF (The open group, 2018b).

Para más información consultar el anexo técnico de Buenas prácticas y marco normativo de la seguridad digital.

6MARCO TEÓRICOY JURÍDICO

10 117777

La entidad debe tener adelantado un proceso de entendimiento, definición, implementación, mantenimiento y mejora del MSPI. También debe evaluar el nivel de madurez de los diferentes controles y requisitos aplicables respecto al modelo.

En la siguiente figura, se observa las tres etapas necesarias para lograr el entendimiento, diligenciamiento y reporte de nivel de madurez del MSPI.

Teniendo como premisa que la entidad ha avanzado en la definición e implementación del MSPI sugerido por MinTIC, el líder de seguridad de la información, o quien haga sus

A continuación, se describe las actividades principales que debe realizar quien evalúe la madurez del MSPI en la entidad:

DESARROLLO DE LAMETODOLOGÍA

Figura 1. Etapas MSPI

Fuente: ADALID CORP

7.1 Estructuración de método de diligenciamiento

16 Descargar la versión más actualizada de: https://www.mintic.gov.co/gestionti/615/articles-5482_Instrumento_Evaluacion_MSPI.xlsx

17 Responsabilidades en la gestión de la seguridad de la información: https://www.mintic.gov.co/gestionti/615/articles-5482_G4_Roles_responsabilidades.

pdf 18

Anexo A – Controles: https://www.mintic.gov.co/gestionti/615/articles-5482_G8_Controles_Seguridad.pdf

veces, puede iniciar con una verificación del estado de avance e identificar el nivel de madurez. Para ello, es importante identificar primero la siguiente información:

a) Conocer el funcionamiento del instrumento de medición16 proporcionado por MinTIC (2017) para la identificación del estado actual de la entidad en seguridad y privacidad de la información, de acuerdo con el MSPI.

b) Identificar a los servidores públicos que tienen a cargo17 los diferentes controles de seguridad y privacidad de la información, de acuerdo con el MSPI.

c) Conocer y acordar la disponibilidad del personal que ha participado en la implementación del MSPI o que es responsable de controles18 de seguridad y privacidad de la información.

d) Definir y programar reuniones presenciales o virtuales para el diligenciamiento por cada proceso o área de la entidad. Cabe resaltar la necesidad de contar con el responsable de la administración de la infraestructura de comunicaciones y redes (switches, routers, firewalls, proxies, enlaces de comunicaciones, etc.), quien administra los servidores (de bases de datos y de aplicaciones), quien administra los sistemas de control de acceso y de detección de incendios, al igual que quien realiza los mantenimientos preventivos y correctivo a elementos como el aire acondicionado en los centros de datos; en caso que las anteriores funciones sean contratadas con un tercero, entonces es necesario contar con el funcionario o contratista de la Entidad Distrital responsable por la supervisión de dicho contrato. El diligenciamiento de la herramienta exige que se registren rutas en donde se encuentran los soportes documentales, por lo tanto, quien diligencie la herramienta no solo debe conocer los aspectos técnicos de la seguridad de la información, sino también lo correspondiente a la gestión documental del SGSI. Se recomienda que el diligenciamiento por hoja sea completo puesto que hay un encadenamiento y orden lógico.e) Estructurar y acordar un límite de tiempo para el diligenciamiento de los diferentes controles a nivel19 “técnico”, “administrativo”, “PHVA” y de “Ciberseguridad” del MSPI.

Con el fin de obtener un diligenciamiento correcto del instrumento de medición, se sugiere que el personal o equipo de trabajo realice una sensibilización por medio de talleres, correos, videos, o presentaciones enfocadas al método de diligenciamiento del instrumento y el objetivo esperado de las actividades, dando claridad de obtener una “fotografía actualizada” del estado de la seguridad y privacidad de la información, para identificar brechas u oportunidades de mejora para la entidad.

12 13

777El diligenciamiento del instrumento de medición del MSPI de MinTIC por parte de la entidad está alineado con las estrategias definidas por el numeral anterior, y lideradas por el responsable de la seguridad de la información o quien haga sus veces.

En la siguiente figura se detalla las diferentes fases que corresponden al diligenciamiento del instrumento de medición del MSPI de MinTIC:

7.2 Diligenciamiento del instrumento de evaluación del MSPI

Figura 2. Fases diligenciamiento MSPI

Fuente: ADALID CORP

19Estos niveles corresponden a cada una de las hojas del instrumento de evaluación en Excel antes citado.

Figura 3. Portada

Fuente: ADALID CORP

Fuente: MINTIC

La estructura del instrumento de medición del MSPI está conformada por las siguientes hojas de cálculo:

a) Portada: corresponde a la consolidación de la información realizada en las diferentes hojas de cálculo y presenta el avance respecto a los controles de seguridad de la información y a nivel de modelo PHVA.

Figura 4. Fase portada

14 15

Figura 5. Fase escalas de valoración

Tabla 1. Escala de valoración

Fuente: MINTIC

b) Escala de evaluación: describe los niveles de evaluación que se pueden asignar a los controles de seguridad (Inexistente, Inicial, Repetible, Efectivo, Gestionado y Optimizado).

Fuente: ADALID CORP 777Figura 7. Fase Información de la entidad

Figura 6. Información de la entidad

Fuente: MINTIC

c) Levantamiento de información: corresponde a los datos generales de la entidad, tipo de entidad, misión, análisis de contexto, mapa de proceso, entre otros.

Fuente: ADALID CORP

16 17

d) Áreas involucradas: contiene información para involucrar el proceso de autoevaluación el área o responsable, el tema a tratar y el servidor público que debe apoyar en el desarrollo del tema.

Figura 8. Procesos o áreas involucradas en el MSPI

Figura 9. Fase de identificación de procesos o áreas asociadas al MSPI

Fuente: MINTIC

Fuente: ADALID CORP

e) Administrativa: esta hoja de cálculo contiene los controles administrativos de seguridad de la información.

Estos controles están orientados a los temas de seguridad de la información que no están directamente relacionadas con las áreas tecnológicas de la entidad, y contemplan entre otras cosas la evaluación, implementación, revisión y mejoras de la Política de Seguridad de la Información, la evaluación de la definición de las responsabilidades para la gestión de la seguridad de la información y si están acordes con las necesidades de la entidad, la evaluación en la entidad de la seguridad de la información, la revisión y evaluación de los acuerdos de confidencialidad, la evaluación de la cooperación con autoridades y grupos de interés y la revisión de la documentación y formalización de procedimientos de la entidad.

Estas pruebas incluyen los controles dados en el Anexo A de la Norma ISO 27001:2013 de los dominios A5, A6, A7, A8, A17 y A18.

En la tabla 3 se relacionan las plantillas propuestas por ADALID CORP frente a los Controles del Anexo A del estándar ISO 27001:2013 para la hoja “Administrativa” del instrumento de evaluación, anexas al presente documento metodológico.

Política de seguridad de la informaciónA5.1.1.

Columna ISO Nombre del archivo de la plantilla

Contacto con las autoridadesA6.1.3. y A6.1.4.Procedimiento calificación y etiquetadoA8.2.1. y A8.2.2.Procedimiento tratamiento de la informaciónA8.2.3.

A8.3.1.A8.3.2.

Procedimiento gestión de medios removiblesProcedimiento borrado seguro de la información

Fuente: MINTIC

Fuente: ADALID con datos de ISO-IEC 27001:2013

Figura 10. Controles administrativos

Tabla 2. Controles ISO versus plantillas administrativas

18 19

Figura 11. Fase controles administrativos

Figura 12. Controles técnicos

Tabla 3. Controles ISO versus plantillas técnicas

Fuente: ADALID CORP

f) Técnicas: esta hoja de cálculo contiene los controles técnicos de seguridad de la información. El servidor público que diligencie estos campos debe centrarse en documentar las columnas: Evidencia, brecha, nivel de cumplimiento y recomendación.

Evaluación de controles y requisitos: Los controles y requisitos evaluados están asociados los dominios A9, A10, A11, A12, A13, A14 y A16, a los requisitos del MSIP, Gobierno en Línea y mejores prácticas en ciberseguridad.

Fuente: MINTIC 777

Figura 13. Fase controles técnicos

Fuente: ADALID CORP

Fuente: ADALID con datos de ISO-IEC 27001:2013

g) PHVA:A través del diligenciamiento y la formulación de esta hoja se determina el nivel de cumplimiento de acuerdo con el ciclo PHVA del modelo de seguridad MSPI, el ciclo evaluado incluye cuatro (4) componentes Planificación, Implementación, Gestión y Mejora Continua.

En la tabla 4 se relacionan los controles técnicos con las plantillas diseñadas por ADALID.

Procedimiento de Aacceso a redes y a servicios en redProcedimiento gestión segura de usuariosProcedimiento seguridad - criptografíaFormato Ingreso a áreas seguras de tecnologíaProcedimiento seguridad física y del entornoProcedimiento seguridad en las operacionesProcedimiento gestión de cambiosProcedimiento copias de seguridadProcedimiento gestión de requerimientosRequerimientos de seguridad para aplicacionesGestión de incidentesGestión de continuidad del negocio

A9.1.2.A9.2.1. yA9.2.2.A10.1.1. yA10.1.2.A11.1.2.A11.1.5.A12.1.1.A12.1.2. yA14.2.2.A12.3.1.A14.1.1.

A16.1.1. yA16.1.5.A17.1.2.

Columna ISO Nombre del archivo de la plantilla

20 21

Figura 14. Evaluación PHVA

Figura 15. Fase diligenciamiento PHVA

Fuente: MINTIC

Fuente: ADALID CORP

Figura 16. Controles ciberseguridad

Figura 17. Fase controles ciberseguridad

Fuente: MINTIC

Fuente: ADALID CORP

h) Ciberseguridad: contiene la información para determinar cómo se encuentra la entidad frente a las mejores prácticas en ciberseguridad definidas por el NIST. Permite realizar un diagnóstico frente a los lineamientos de la política de ciberseguridad y ciberdefensa definidos en los documentos CONPES 3701 y CONPES 3854.

777

22 23777

i) Madurez MSPI: contiene la información que se identificó en cada requisito para cumplir los niveles de madurez definidos en el MSPI. Estos requisitos se evalúan en las hojas Administrativas, Técnicas y PHVA. Hay tres requisitos de madurez adicionales a evaluar, en los cuales se debe realizar la valoración y calificación manual (existen tres casos), en el resto de la tabla los controles se califican automáticamente.

Figura 18. Madurez MSPI

Figura 19. Fase madurez MSPI

Fuente: MINTIC

Fuente: ADALID CORP

Al finalizar el proceso, el servidor público debe consolidar toda la información y evidencia adquirida durante el proceso de diligenciamiento del instrumento de medición. En la hoja de cálculo “Portada”, se evidencia finalmente el avance a nivel de controles del anexo A de la ISO/IEC 27001:2013, los controles de la NIST, así como el consolidado del avance en modelo PHVA. Esta información es la consolidación y visión global del estado de avance de la entidad respecto a la seguridad de la información, de acuerdo con el MSPI de MinTIC y las mejores prácticas internacionales en seguridad.

Figura 20. Gráficas controles consolidados

Fuente: MINTIC

7.3 Presentación de informe de madurez

24 25

Con esta información, se construye el informe del estado actual de la entidad en materia seguridad de la información y con ello las recomendaciones o planes de acción que aplique para el mejoramiento de la misma.

En esta sección se orienta a las Entidades Distritales frente al nuevo modelo de medición del avance en la implementación de la política de Gobierno Digital (MinTIC, 2018a) en cuanto a la seguridad de la información.

El manual de Gobierno Digital (MinTIC, 2018) es un recurso dispuesto por el MinTIC para la implementación de la nueva política de Gobierno Digital con el fin de lograr los propósitos establecidos en esta.

El Ministerio de las Tecnologías de la Información y las Comunicaciones ha establecido indicadores de cumplimiento para la seguridad de la información los cuales constituyen el mecanismo de medición por parte de la administración pública y están alineados con el Formulario Único Reporte de Avances de la Gestión -FURAG- (Departamento Administrativo de la Función Pública, 2012).

Para dicha medición de cumplimiento, el MinTIC provee una herramienta web la cual permite el diligenciamiento de las respuestas de los indicadores del Anexo 6 del manual de Gobierno Digital (MinTIC, 2018).

7.4 Madurez gobierno digital frente a seguridad de la información

Figura 21. Imagen de la sección de indicadores de seguridad

Tabla 4. Preguntas indicadores Manual

Fuente: MINTIC 777En cuanto a seguridad de la información existen 13 indicadores, los cuales se listan a tabla 5 con sus opciones de respuestas.

¿La entidad realiza un diagnóstico de seguridad de la información?

¿La entidad adopta una política de seguridad de la información?

¿La entidad define roles y responsabilidades de seguridad de la información en entidad?

¿la entidad define y apropia procedimientos de seguridad de la información?

¿la entidad realiza gestión de activos de seguridad de la información?

¿la entidad realiza gestión de riesgos de seguridad de la información?

¿la entidad realiza campañas de sensibilización y toma de conciencia en seguridad?

¿La entidad Implementa el plan de tratamiento de riesgos?

¿La entidad cuenta con un plan de control operacional de seguridad de la información?

¿La entidad define indicadores de gestión de la seguridad de la información?

a En Construcciónb Cuenta con el diagnostico.c No se Tiene

a En Construcciónb Adoptada.c No se Tiene

a En Construcciónb Están definidos.c No se Tiene

a En Construcciónb Están definidos.c No se Tiene

a En Construcciónb los gestiona.c No los gestiona

a En Construcciónb Los gestiona y cuenta con un plan de tratamiento de riesgosc No los gestiona

a Si las realiza.b No las realiza

a. Está en proceso de implementación b. lo implementa.C. no lo implementa

a En Construcciónb Lo tiene y realiza seguimientoc No lo tiene

a En Construcciónb Están definidos.c No se tienen

Pregunta Opción de respuesta

26 27

¿La entidad define un plan de seguimiento y evaluación a la implementación de seguridad de la información?

¿Respecto al plan de auditoria de seguridad de la información, la entidad?

¿La entidad define un plan de mejoramiento continuo de seguridad de la información?

1.1.

a En Construcciónb Definido.c No se Tiene

a Lo tiene definidob Lo tiene definido y lo ejecutac No se Tiene

a En Construcciónb Esta definido.c No se Tiene

Declaración de aplicabilidad.

El detalle de la plantilla puede ver en el archivo: 1. Declaración de aplicabilidad.xlsx

La plantilla para la declaración de aplicabilidad contiene los dominios, objetivos de control y controles del anexo A de la norma ISO/IEC 27001:2013, asimismo, la justificación de la implementación del control o en su defecto la exclusión y finalmente, un campo para diligenciar donde se puede evidenciar el control diseñado e implementado en la entidad.

Pregunta

NombrePlantilla

Opción de respuesta

Descripción

Fuente: Manual de Gobierno Digital MinTIC (2018b)

8PLANTILLAS DOCUMENTALES

DE APOYO

En la anterior sección se ubicaron para cada uno de los dominios las plantillas provistas como anexos por ADALID. A continuación, se presenta una descripción de cada una de ellas y los archivos correspondientes.

2.

3.

4.

5.

6.

7.

2.

3.

4.

5.

6.

7.

Política de seguridad de la información.

El detalle de la plantilla puede ver en el archivo: 2. Politica de seguridad de la informacion.docx

Manual seguridad información.

El detalle de la plantilla puede ver en el archivo: 3. Manual de seguridad de la informacion.docx

Contacto con las autoridades.

El detalle de la plantilla puede ver en el archivo: 4. Contacto con las autoridades y grupos de interés especial.xlsx

Procedimiento calificación y etiquetado.

El detalle de la plantilla puede ver en el archivo: 5. Calificación y etiquetado de la informacion.docx

Procedimiento gestión de medios removibles.

El detalle de la plantilla puede ver en el archivo: 6. Gestión de medios removibles.docx

Procedimiento tratamiento de la Información

El detalle de la plantilla puede ver en el archivo: 7. Tratamiento de la informacion.docx

Corresponde a la declaración de alto nivel, la cual contiene las instrucciones estratégicas en materia de seguridad de la información de la entidad. Este documento establece los lineamientos generales con el propósito de preservar los niveles de confidencialidad, integridad y disponibilidad de los activos de información, definiendo y asignando las responsabilidades a los funcionarios, contratistas y terceros de la entidad, conforme a los controles de seguridad y privacidad determinados en la entidad.

Este documento consolida la relación entre los elementos constituyentes del SGSI como lo son la política, objetivos y políticas específicas en seguridad digital, entendiendo que están alineadas con los requisitos de la norma ISO/IEC 27001:2013.

El formato de contacto con las autoridades y grupos de interés consolida la información a nivel de correos electrónicos, teléfonos, nombre de entidad y direcciones físicas, para tener un directorio completo y actualizado. Esto en caso de requerir una autoridad ante la presencia de un incidente de seguridad digital o para consultas sobre quienes conforman los grupos de interés especial a nivel de seguridad.

Este documento contiene los lineamientos necesarios para realizar la clasificación de la información, de acuerdo con las requisitos regulatorios y reglamentarios, así como las buenas prácticas en seguridad digital. Igualmente, contiene las políticas y controles requeridos para la protección de la información, acorde a su clasificación, y finalmente, los lineamientos para realizar el etiquetado de la documentación.

Este documento contiene las actividades para que la Entidad Distrital, con base en buenas prácticas, pueda realizar una adecuada gestión de medios removibles, desde la adquisición, identificación, hasta la eliminación, inactivación o retiro permanente del medio removible.

Contiene restricciones técnicas y actividades para que a la entidad realice de manera adecuada y eficaz el tratamiento de la información, de acuerdo con la clasificación establecida y la sensibilidad de dicha información.

NombrePlantilla Descripción

Tabla 5. Plantillas documentales de apoyo

28 29

8.

9.

10.

11.

12.

13.

8.

9.

10.

11.

12.

13.

Procedimiento borrado Seguro Información.

El detalle de la plantilla puede ver en el archivo: 8. Borrado seguro de la informacion.docx

Procedimiento de acceso a redes y servicios en red.

El detalle de la plantilla puede ver en el archivo: 9. Acceso a redes y a servicios en red.docx

Procedimiento gestión segura de usuarios.

El detalle de la plantilla puede ver en el archivo: 10. Gestión segura de usuarios.docx

Procedimiento de Seguridad – Criptografía.

El detalle de la plantilla puede ver en el archivo: 11. Seguridad de la información respecto a criptografia.docx

Formato ingreso áreas seguras.

El detalle de la plantilla puede ver en el archivo: 12. Ingreso a áreas seguras de tecnologia.xlsx

Procedimiento seguridad física y del entorno.

El detalle de la plantilla puede ver en el archivo: 13. Seguridad física y del entorno.docx

Contiene restricciones técnicas y actividades para aplicar un proceso de borrado seguro de la información en equipos de cómputo y servidores, garantizando que la información no pueda ser recuperada por terceros no autorizados.

Contiene restricciones técnicas y actividades para proteger las confidencialidad, integridad y disponibilidad de la información digital, mediante el diseño de controles administrativos y técnicos sobre la infraestructura tecnológica de comunicaciones de la Entidad Distrital.

Contiene restricciones técnicas y actividades para la gestión de usuarios. Contiene el proceso que autoriza desde la creación de un usuario, la asignación de privilegios o derechos de acceso, el monitoreo permanente de las actividades del usuario, de acuerdo con los privilegios asignados, hasta la inactivación o eliminación total del usuario.

Contiene restricciones técnicas y actividades para salvaguardar la información mediante la aplicación de técnicas de cifrado, que se aplican de acuerdo con la criticidad de la información y bajo los lineamientos de la clasificación asignada.

El formato permite registrar el ingreso y salida de las áreas catalogadas como seguras, esto como un control para la protección de la información crítica manejada sobre estas áreas.

Contiene restricciones técnicas y actividades para el acceso a áreas seguras de TI.

NombrePlantilla Descripción

14.

15.

16.

17.

18.

19.

14.

15.

16.

17.

18.

19.

Procedimiento gestión de cambios.

El detalle de la plantilla puede ver en el archivo: 14. Gestión de cambios.docx

Procedimiento seguridad en operaciones.

El detalle de la plantilla puede ver en el archivo: 15. Seguridad en las operaciones.docx

Procedimiento copias de respaldo.

El detalle de la plantilla puede ver en el archivo: 16. Copias de seguridad.docx

Procedimiento gestión de requerimientos.

El detalle de la plantilla puede ver en el archivo: 17. Gestión de requerimientos.docx

Acuerdo de confidencialidad.

El detalle de la plantilla puede ver en el archivo: 18. Documento acuerdo de confidencialidad y reserva de manejo de la información.docx

Requerimientos de seguridad para aplicaciones.

El detalle de la plantilla puede ver en el archivo: 19. Requerimientos de seguridad para aplicaciones.xlsx

Contiene restricciones técnicas y actividades para la gestión de cambios y así reducir riesgos de seguridad digital al momento de estructurar actualizaciones, mejoras, o cambios sobre la infraestructura tecnológica o afectaciones a nivel de procesos.

Esta actividad es importante en la Gestión de TI del MRAE.

Contiene restricciones técnicas y actividades para ejecutar copias de respaldo sobre la información que así lo requiera, esto alineado con la criticidad de la información, previamente realizada en las actividades de clasificación y etiquetado de la información.

Contiene restricciones técnicas y actividades para la solicitud de requerimientos de seguridad digital.

Es un modelo estructurado y acorde a los requisitos de las mejores prácticas en seguridad para proteger la divulgación de información sensible no autorizada.

Contiene restricciones técnicas y actividades para exigir a desarrollos internos o externo los requisitos mínimos de seguridad digital.

NombrePlantilla Descripción

30 31

20.

21.

22.

20.

21.

22.

Gestión de incidentes.

El detalle de la plantilla puede ver en el archivo: 20. Gestion de incidentes.docx

Gestión de continuidad del negocio.

El detalle de la plantilla puede ver en el archivo: 21. Gestion de continuidad del negocio.docx

Plantilla de capacitación.

El detalle de la plantilla puede ver en el archivo: 22. Documento planes de capacitación en seguridad de la información.docx

Contiene restricciones técnicas y actividades para la gestión de incidentes de seguridad de la información. Este documento inicia desde las actividades preventivas a nivel de incidentes, seguido del reporte, registro y atención oportuna del incidente reportado, para un adecuado tratamiento o respuesta y finalmente una almacenado de una base de conocimiento y lecciones aprendidas.

Contiene restricciones técnicas y actividades para activar un plan de continuidad de negocio.

Es una ficha en donde se registra información relevante al desarrollo de capacitaciones o escenarios de aprendizaje para la gestión de la seguridad de la información.

NombrePlantilla Descripción

9GLOSARIO

Fuente: ADALID CORP

A continuación, algunos de los términos más importantes sobre el Documento Metodológico del Ámbito 6 Valoración de la Madurez de Seguridad por orden alfabético

Activación: Acto de declarar que los acuerdos de la organización de Continuidad de Negocio deben llevarse a la práctica con el fin de continuar la entrega de productos o servicios clave.

Activo: Cualquier cosa que tenga valor para la organización. [ISO/IEC 13335-1:2004]

Activo de información: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de esta (sistemas, hardware, software, sistemas de información, edificios, personas, imagen, etc.) que tenga valor para la Organización.

Administrador de red de la entidad: Implementar los controles de seguridad informática necesarios para propender por la seguridad de la información que circula por las redes de comunicaciones de la Superintendencia Nacional de Salud.

Almacenamiento de la información: La información puede estar almacenada en diferentes medios, por ejemplo: Discos compactos, Medios Magnéticos de Almacenamiento, Medios Extraíbles de Almacenamiento, Carpetas físicas, Carpetas electrónicas, Contratos, Documentos, Bases de datos, Conocimiento de las Personas, Vídeos, Archivo Fílmico, etc.

Amenaza: Causa potencial de un incidente no deseado, que puede resultar en daño a un sistema u organización. [ISO/IEC 27000:2018].

Análisis de brecha: Es el proceso mediante el cual se identifica el nivel de avance y retraso en la ejecución de un proyecto o un plan de trabajo propuesto.

Análisis de Impacto al Negocio (BIA, por sus siglas en inglés, Business Impact Analisys): Proceso del análisis de actividades y el efecto que una interrupción del negocio podría tener sobre ellas.

Anuncios de Seguridad: Deben mantener informados a los funcionarios, contratistas o terceros sobre las nuevas vulnerabilidades, actualizaciones a las plataformas y recomendaciones de seguridad informática a través de algún medio de comunicación (Web, Intranet, Correo).

Área Segura: Espacio físico donde se almacena o procesa información crítica de la entidad.

32 33

Atención de Incidentes de Seguridad: Recibe y resuelve los incidentes de seguridad de acuerdo con los procedimientos establecidos.

Auditoria y trazabilidad de Seguridad Informática: El equipo debe realizar verificaciones periódicas del estado de la plataforma para analizar nuevas vulnerabilidades y brechas de seguridad.

Autenticación: es el procedimiento de comprobación de la identidad de un usuario o recurso tecnológico al tratar de acceder a un recurso de procesamiento o sistema de información.

Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.

Cadena de Custodia: Registro detallado del tratamiento de la evidencia, incluyendo quienes, cómo y cuándo la transportaron, almacenaron y analizaron, a fin de evitar alteraciones o modificaciones que comprometan la misma.

CCTV: Es una sigla en inglés “closed circuit televisión” que traducido al español es “circuito cerrado de televisión”, consiste en una o más cámaras de vigilancias conectadas a uno o más monitores de video o televisores que reproducen las imágenes transmitidas por las cámaras.

Centro de cableado: son habitaciones donde se deberán instalar los dispositivos de comunicación y la mayoría de los cables. Al igual que los centros de cómputo, los centros de cableado deben cumplir requisitos de

Bases de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento. Cobija los archivos, entendidos como depósito ordenados de datos.

BCP: (por sus siglas en inglés, Business Continuity Plan - Plan de Continuidad de Negocio), Procedimientos documentados que guían a las organizaciones para responder, recuperar, reanudar y restaurar a un nivel pre-definido de operación debido a la interrupción.

BIOMÉTRICO: Sistema de Información de control de acceso de personal que permite registrar los ingresos y salidas mediante un control de identificación por huella digital, con algunas excepciones con contraseña asignada.

acceso físico, materiales de paredes, pisos y techos, suministro de alimentación eléctrica y condiciones de temperatura y humedad.

Centro de cómputo: es una zona específica para el almacenamiento de múltiples computadores para un fin específico, los cuales se encuentran conectados entre sí a través de una red de datos. El centro de cómputo debe cumplir ciertos estándares con el fin de garantizar los controles de acceso físico, los materiales de paredes, pisos y techos, el suministro de alimentación eléctrica y las condiciones medioambientales adecuadas.

Certificado digital: el certificado electrónico es un fichero informático generado por una entidad de servicios de certificación que asocia unos datos de identidad a una persona física, organismo o empresa confirmando de esta manera su identidad digital.

Ciberataque: Un ciberataque es cualquier tipo de maniobra ofensiva hecha por individuos u organizaciones que atacan a sistemas de información como lo son infraestructuras, redes computacionales, bases de datos que están albergadas en servidores remotos, por medio de actos maliciosos usualmente originados de fuentes anónimas que también roban, alteran o destruyen un blanco específico mediante hackeo de un sistema vulnerable.

Ciberseguridad: La ciberseguridad o seguridad informática, es el área relacionada con la informática y la telemática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta, especialmente la información contenida en una computadora o circulante a través de las redes de computadoras.

Cifrado: es la transformación de los datos mediante el uso de la criptografía para producir datos ininteligibles (cifrados) y asegurar su confidencialidad. El cifrado es una técnica muy útil para prevenir la fuga de información, el monitoreo no autorizado e incluso el acceso no autorizado a los repositorios de información.

Confidencialidad: Propiedad de que la información no esté disponible o revelada a personas no autorizadas, entidades o procesos. [ISO/IEC 27000:2018].

Continuidad de Negocio: Capacidad de la organización para continuar con la entrega de productos o servicios a los niveles predefinidos aceptables después de un evento perjudicial.

Control: Es una medida que modifica el riesgo. [ISO/IEC 27000:2018]. Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. Control es también utilizado como sinónimo de salvaguarda o contramedida.

34 35

Custodia: La información debe ser apropiadamente protegida de acceso no autorizado, modificación, divulgación o destrucción, sin importar la fuente en donde esté almacenada (computadores, librerías, computadores personales, fax, impresoras, copiadoras, contratos, documentos, comunicaciones verbales, etc.).

COBIT: siglas en inglés de Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology) es el conjunto de buenas prácticas para el control de la información, TI y los riesgos que conllevan. COBIT sirve como marco de referencia para el gobierno de TI y mejorar sus controles.

Comité de cambios: Grupo de personas que realizan la aprobación y priorización de los cambios.

Confidencialidad: es la garantía de que la información no está disponible o divulgada a personas, entidades o procesos no autorizados.

Control: es toda actividad o proceso encaminado a mitigar o evitar un riesgo. Incluye policías, procedimientos, guías, estructuras organizacionales y buenas prácticas, que pueden ser de carácter administrativo, tecnológico, físico o legal.

Control de Acceso: Es la habilidad de permitir o denegar el uso de un recurso particular a una entidad en particular.

Criptografía: es la disciplina que agrupa a los principios, medios y métodos para la transformación de datos con el fin de ocultar el contenido de su información, establecer su autenticidad, prevenir su modificación no detectada, prevenir su repudio, y/o prevenir su uso no autorizado.

CSIRT (Computer Security Incident Response Team): Es el grupo de personas, junto con la infraestructura adecuada y logística que atienden los incidentes de seguridad en cómputo.

Custodio del activo de información: es la unidad organizacional o proceso, designado por los propietarios, encargado de mantener las medidas de protección establecidas sobre los activos de información confiados.

Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Dato Sensible: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar a su titular y a cierto sector o grupo de personas o a la sociedad en general. Ejemplo dato financiero y crediticio de actividad comercial o de servicios.

Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante.

Desmagnetización: La desmagnetización consiste en la exposición de los soportes de almacenamiento a un potente campo mnético, proceso que elimina los datos almacenados en el dispositivo. Este método es válido para la destrucción de datos de los dispositivos magnéticos.

Destrucción Física: El objetivo de la destrucción física es la inutilización del soporte que almacena la información en el dispositivo para evitar la recuperación posterior de los datos que almacena.

Desintegración, pulverización, fusión e incineración: son métodos diseñados para destruir por completo los medios de almacenamiento. Estos métodos suelen llevarse a cabo en una destructora de metal o en una planta de incineración autorizada, con las capacidades específicas para realizar estas actividades de manera eficaz, segura y sin peligro.

Detección de Incidentes de Seguridad: Monitorear y verificar los elementos de control con el fin de detectar un posible incidente de seguridad de la información.

Disponibilidad: Propiedad de ser accesible y utilizable a la demanda por una entidad autorizada. [ISO/IEC 27000:2018].

Disco duro removible: es aquel disco duro de almacenamiento de información el cual se conecta al equipo de cómputo por medio de alguna interfaz de conexión externa.

DRP: (Por sus siglas en inglés, Disaster Recovery Plan - Plan de Recuperación de Desastres), es la estrategia que se sigue para restablecer los servicios de tecnología (red, servidores, hardware y software) después de haber sufrido una afectación por un incidente o catástrofe de cualquier tipo, el cual atente contra la continuidad del negocio.

36 37

Encargado del Tratamiento: Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la Ley 1581 de 2012 y en otras que rijan su actividad24 : a) Garantizar al Titular, en todo tiempo el pleno y efectivo ejercicio del derecho de hábeas data. b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración. pérdida, consulta, uso o acceso no autorizado o fraudulento. c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos que determina este manual. d) Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo. e) Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en el presente manual. f) Adoptar las políticas y procedimientos en materia de tratamiento de datos personales para garantizar el adecuado cumplimiento de la Ley 1581 de 2012, su decreto 1377 de 2013 y para la atención de consultas y reclamos por parte de los titulares de los datos. g) Registrar en la base de datos -como dato o metadato- “reclamo en trámite” en la forma en que se regula en la Ley 1581 de 2012. h) Insertar en la base de datos -como dato o metadato- “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal. i) Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio. j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella. k) Informar a la Autoridad de Protección de Datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares. l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. Nota: En el evento en que concurran las calidades de responsable del tratamiento y encargado del tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno 25 .

Equipo de cómputo: dispositivo electrónico capaz de recibir un conjunto de instrucciones y ejecutarlas realizando cálculos sobre los datos numéricos, o bien compilando y correlacionando otros tipos de información. Establecimiento del contexto: Al establecer el contexto, la Organización articula sus objetivos estratégicos y de calidad, define los parámetros externos e internos que se van a considerar en la gestión de riesgos y establece el alcance y los criterios de riesgo.

24 Artículo 18, Ley 1581 de 2012

25 Ibíd

Etiquetado: Identificación del tipo de calificación que se le da a la información, en dado caso que la información no esté etiquetada se entiende que es información pública.

Evento: Ocurrencia o cambio de un conjunto particular de circunstancias.

Evento de seguridad: Presencia identificada de una condición de un sistema, servicio o red, que indica una posible violación de la política de seguridad de la información o la falla de las salvaguardas, o una situación desconocida previamente que puede ser pertinente a la seguridad. [ISO/IEC 27000:2009]

Firma digital: Mecanismo criptográfico que permite al receptor de un mensaje, documento o transacción electrónica, firmado digitalmente determinar la entidad originadora de dicho mensaje (autenticación de origen y no repudio), y confirmar que el mensaje no ha sido alterado desde que fue firmado por el originador.

FRAMEWORK (ENTORNOS DE TRABAJO): Es una abstracción en la cual el software que proporciona una funcionalidad genérica puede ser cambiado selectivamente por un código adicional escrito por el usuario, proporcionando así un software específico para cierta aplicación.

IDS: Software de detección de intrusosImpacto: Consecuencias que produce un incidente de seguridad sobre la organización.

Gestión de cambios: es el conjunto de actividades que permite la correcta y controlada implementación de cambios en componentes de TIC con el fin de minimizar los surgidos por dichas acciones y alteraciones en los componentes TIC.

Gestión de Incidentes: Es el conjunto de todas las acciones, medidas, mecanismos, recomendaciones, tanto proactivos, como reactivos, tendientes a evitar y eventualmente responder de manera eficaz y eficiente a incidentes de seguridad que afecten activos de una Entidad. Minimizando su impacto en el negocio y la probabilidad que se repita.

38 39

Índice de Información Calificada: El Índice de Información Clasificada y Reservada es el inventario de la información pública generada, obtenida, adquirida o controlada por el sujeto obligado, en calidad de tal, que ha sido calificada como clasificada o reservada.

Incidente: Situación que sería o podría llevar a una interrupción, pérdida, emergencia o crisis.

Incidente de seguridad de la información: Evento o serie de eventos de seguridad de la información no deseados o inesperados, que tienen probabilidad significativa comprometer las operaciones del negocio y amenazar la seguridad de la información. [ISO/IEC 27000:2009]

Información Pública Clasificada: Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado, siempre que se trate de las circunstancias legítimas y necesarias y los derechos particulares o privados consagrados en el artículo 18 de la ley 1712 de 2014.

Información Pública Reservada: Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso a la ciudadanía por daño a intereses públicos y bajo cumplimiento de la totalidad de los requisitos consagrados en el artículo 19 de la ley 1712 de 2014.

Información Pública: Es toda información que un sujeto obligado genere, obtenga, adquiera, o controle en su calidad de tal.

Infraestructura: Sistema de instalaciones, equipos y servicios necesarios para el funcionamiento de una organización.

Integridad: Propiedad de exactitud y completitud. [ISO/IEC 27000:2017].

Interfaz: Es aquel componente físico o lógico por medio del cual pueden interactuar dos sistemas o elementos independientes.

Inventario de activos de información: es una lista ordenada y documentada de los activos de información pertenecientes a la Entidad.

ITIL: siglas en inglés de biblioteca de infraestructura de TI, que es el marco de referencia de mejores prácticas y recomendaciones para la administración de servicios de TI.

Log’s: Registro de los sistemas de información que permite verificar las tareas o actividades realizadas por determinado usuario o sistema.

Medio removible: es cualquier componente extraíble de hardware que sea usado para el almacenamiento de información; los medios removibles incluyen cintas, discos duros removibles, CDs, DVDs y unidades de almacenamiento USB, entre otras.

Mejoramiento continuo: Actividad periódica para mejorar el desempeño.

Motivación: Justificación jurídica o constitucional que exceptúa la publicidad de la Información.

MSPI: Modelo de Seguridad y Privacidad de la Información. Es el marco de trabajo construido por el MinTIC y puesto a disposición de las entidades del estado para su implementación como mecanismo de fortalecimiento institucional en materia de gestión de información.

Perfiles de usuario: son grupos que concentran varios usuarios con similares necesidades de información y autorizaciones idénticas sobre los recursos tecnológicos o los sistemas de información a los cuales se les concede acceso de acuerdo con las funciones realizadas. Las modificaciones sobre un perfil de usuario afectan a todos los usuarios cobijados dentro de él.

Plan estratégico de seguridad de la información: Es el conjunto de actividades, recursos, presupuesto, estrategias de abordaje y de comunicación, para el logro de unos objetivos y metas específicas en materia de seguridad de la información los cuales se proponen lograr en un período de tiempo determinado.

Plan de capacitación: Es el conjunto de cursos, tutorías y diplomados solicitados al proceso de talento humano con el fin de fortalecer las

O Oficial de Seguridad de la Información: Emitir y vigilar que se cumplan las directrices emitidas en este procedimiento para conservar el nivel de confidencialidad de la información y actualizar este documento de acuerdo con las necesidades del negocio.

OWASP: Open Web Application Security Project

M

40 41

competencias del personal de la entidad, en materia de seguridad y privacidad de la información.

Plan de emergencias: Documento que contempla las acciones e instrucciones que se deben seguir para responder rápida, eficaz y con el menor traumatismo posible ante una Emergencia.

Plug-ins: Programa que puede anexarse a otro para aumentar sus funcionalidades (generalmente sin afectar otras funciones ni afectar la aplicación principal). No se trata de un parche ni de una actualización, es un módulo aparte que se incluye opcionalmente en una aplicación.

Política: intenciones y direcciones de una organización como se expresan formalmente por la Alta Dirección. [ISO/IEC 27000:2018].

PROBABILIDAD: Frecuencia o Factibilidad de ocurrencia del Riesgo. [ISO/IEC 27000:2018].

Propietario de la información: es la unidad organizacional o proceso donde se crean los activos de información.

Prueba: Procedimiento para determinar la presencia, cualidad o veracidad de algo.Puerto USB: Es la interfaz de comunicación por medio del bus universal en serie. es un bus de comunicaciones que sigue un estándar que define los cables, conectores y protocolos usados en un bus para conectar, comunicar y proveer de alimentación eléctrica entre computadoras, periféricos y dispositivos electrónico.

Puerto: Es una noción con varios usos. En la informática, el término se emplea para nombrar a una clase de conexión que posibilita el envío y la recepción de información.

Recolección y Análisis de Evidencia Digital: Toma, preservación, documentación y análisis de evidencia cuando sea requerida.

Recursos tecnológicos: son aquellos componentes de hardware y software tales como: servidores (de aplicaciones y de servicios de red), estaciones de trabajo, equipos portátiles, dispositivos de comunicaciones y de seguridad, servicios de red de datos y bases de datos, entre otros, los cuales tienen como finalidad apoyar las tareas administrativas necesarias para el buen funcionamiento y la optimización del trabajo al interior de la Entidad.

Recurso: Todos los activos, recursos humanos, conocimientos, información, tecnología, locales y suministros e información que una organización tiene que tener disponibles para su uso, cuando sea necesario, con el fin de operar y cumplir con su objetivo.

Responsable por el activo de información: es la persona o grupo de personas, designadas por los propietarios, encargados de velar por la confidencialidad, la integridad y disponibilidad de los activos de información y decidir la forma de usar, identificar, clasificar y proteger dichos activos a su cargo.

Responsable de la Producción de la Información: a) Controlar la generación, calificación, desarrollo, mantenimiento, uso y protección adecuada de la información. b) Identificar todas las fuentes y promover la importancia de la calificación de la información para la adecuada operación de la Superintendencia Nacional de Salud. c) Asegurar que se cumplan los controles para preservar la confidencialidad, la integridad y la disponibilidad de la información. d) Mantener un nivel apropiado de protección física y lógica sobre la información. e) Revisar periódicamente la calificación de la información. f) Revisar periódicamente la efectividad de los controles sobre la información. g) Determinar y solicitar periódicamente el esquema de respaldo y restauración de la información.

Responsable del Tratamiento: Los responsables del tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la Ley 1581 de 2012 y en otras que rijan su actividad 26 : a) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. b) Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada. c) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. d) Solicitar y conservar, en las condiciones previstas en la Ley 1581 de 2012, copia de la respectiva autorización otorgada por el Titular. e) Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible. f) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento. g) Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la Ley 1581 de 2012. h) Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular. i) Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada. j) Designar medios para tramitar las consultas y reclamos formulados en los términos señalados en la presente ley, haciendo cumplimiento de los derechos de los titulares. k) Adoptar un manual interno

26 Artículo 17, Ley 1581 de 2012.

42 43

de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley 1581 de 2012 sus decretos 1377 de 2013 y 886 de 2014 y para la atención de consultas y reclamos. l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo. m) Informar a la Autoridad de Protección de Datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. n) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Responsable de la Información: Corresponde al nombre del área, dependencia o unidad encargada de la custodia o control de la información para efectos de permitir su acceso.

Riesgo: Efecto en la incertidumbre de los objetivos [ISO/IEC 27000:2018].

RPO: (Por sus siglas en inglés, Recovery Point Objetive - Punto Objetivo de Recuperación), punto en el cual la información usada por una actividad debe ser restaurada para permitir la reanudación de la operación.

RTO: (Por sus siglas en inglés, Recovery Time Objetive -Tiempo objetivo de recuperación), periodo de tiempo después de un incidente en el que: El producto o servicio debe ser reanudado, o la actividad debe reanudarse, o los recursos deben ser recuperados.

RFC: sigla en inglés de Request for Change que es el termino para referirse a las solicitudes de cambio

Seguridad De La Información: Preservación de la confidencialidad, integridad, y disponibilidad de la información. (ISO/IEC 27000).

Sniffer: Software que captura los paquetes que viajan por la red para obtener información de la red o del usuario.

Sistema de información: es un conjunto organizado de datos, operaciones y transacciones que interactúan para el almacenamiento y procesamiento de la información que, a su vez, requiere la interacción de uno o más activos de información para efectuar sus tareas. En algunos contextos, los sistemas de información incluyen el talento humano que interactúa con la solución tecnológica.

SGSI: Sistema de Gestión de Seguridad de la Información. Solicitud de requerimiento de cambios: Es una propuesta formal para la

realización de un cambio. Un requerimiento que requiere la intervención del proceso de gestión de cambios para su aprobación.

Sobre-escritura: La sobre-escritura consiste en la escritura de un patrón de datos sobre los datos contenidos en los dispositivos de almacenamiento. Para asegurar la completa destrucción de los datos se debe escribir la totalidad de la superficie de almacenamiento, para dispositivos electrónicos se debe utilizar un software que efectué borrado a bajo nivel, guardando los registros como evidencia de la destrucción de la información.

Sujeto Obligado: Cualquier persona natural o jurídica, pública o privada incluida en el Artículo 5º de la Ley 1712 de 2014.

Tabla de retención documental: Las Tablas de Retención Documental – TRD del Archivo General de la Nación, constituyen un instrumento archivístico que permite la clasificación documental de la entidad, acorde a sus estructura orgánico - funcional, e indica los criterios de retención y disposición final resultante de la valoración documental por cada una de las agrupaciones documentales.

Titular de la información: Las personas cuyos datos personales sean objeto de recolección, almacenamiento, uso, circulación o supresión en la entidad. Son funciones del titular de la información a. Actualizar y rectificar sus datos personales frente al responsable del tratamiento o encargados del tratamiento, cuando sea necesario. b. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen. c. Revocar la autorización y/o solicitar la supresión del dato, cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. d. Representante Legal del Niño, Niña o Adolescente otorgará la autorización previo ejercicio del menor del derecho de ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto 27.

Token de seguridad (también token de autenticación o token criptográfico) es un dispositivo electrónico que se le da a un usuario autorizado de un servicio computarizado para facilitar el proceso de autenticación.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.27

Artículo 12 Requisitos especiales para el tratamiento de datos personales de niños, niñas y adolescentes, Decreto 1377 de 2013.

44 45

Trituración: las trituradoras de papel se pueden utilizar para destruir los medios de almacenamiento flexibles. El tamaño del fragmento de la basura debe ser lo suficientemente pequeño para que haya una seguridad razonable en proporción a la confidencialidad de los datos que no pueden ser reconstruidos. Los medios ópticos de almacenamiento (CD, DVD, magneto-ópticos), deben ser destruidos por pulverización, trituración de corte transversal o incineración.

Unidad de CD/DVD Rom: es un disco compacto con el que utilizan rayos láser para leer información en formato digital. El CD-ROM estándar fue establecido en 1985 por Sony y Philips.2 Pertenece a un conjunto de libros de colores conocido como Rainbow Books, que contiene las especificaciones técnicas para todos los formatos de discos compactos.

Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas. [ISO/IEC 27000:2018].

10BIBLIOGRAFÍA

AXELOS. (2011). ITIL | IT Service Management | ITSM | AXELOS. Recuperado 4 de diciembre de 2018, a partir de https://www.axelos.com/best-practice-solutions/itil

Colombia, Congreso de La República de Colombia. (2014). Ley 1712 de 2014, Por medio de la cual se crea la Ley de Transparencia y del Derecho al Acceso a ka Información Pública Nacional y se dictan otras dospisiciones”. Recuperado a partir de http://www.secretariasenado.gov.co/senado/basedoc/ley_1712_2014.html

Colombia, Congreso de la República (2012). Ley 1581 de 2012, Por la cual se dictan disposiciones generales para la protección de datos personales. Bogotá: En Diario Oficial, núm. Recuperado a partir de http://www.alcaldiabogota.gov.co/sisjurMantenimiento/normas/Norma1.jsp?i=49981

Colombia, Ministerio de comercio, industria y turismo (2013). Decreto 1377, Por el cual se reglamenta parcialmente la Ley 1581 de 2012. Recuperado el 15 de enero de 2018, de: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=53646

Departamento Administrativo de la Función Pública. (2012). Formulario Único Reporte de Avances de la Gestión. Recuperado a partir de http://www.funcionpublica.gov.co/en/preguntas-frecuentes/-/asset_publisher/sqxafjubsrEu/content/-que-es-el-fura-1/28585938

Departamento Nacional de Planeación. (2011). CONPES 3701 - Lineamientos de política para la ciberseguridad y ciberdefensa. Bogotá D.C.

Departamento Nacional de Planeación. (2016). CONPES 3854 - Política Nacional de Seguridad Digital. Bogotá D.C. Recuperado a partir de https://colaboracion.dnp.gov.co/CDT/Conpes/Económicos/3854.pdf

Icontec. (2013). NTC-ISO-IEC 27001:2013 – Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la Información. REQUISITOS. Bogotá D.C. Recuperado a partir de https://tienda.icontec.org/producto/impreso-ntc-iso-iec27001-tecnologia-de-la-informacion-tecnicas-de-seguridad-sistemas-de-gestion-de-la-seguridad-de-la-informacion-requisitos/?v=42983b05e2f2

Icontec. (2015). NTC-ISO-IEC 27002:2015 – Tecnología de la Información. Técnicas de Seguridad. Código de Práctica para Controles de Seguridad de la Información – Tienda ICONTEC. Bogotá. Recuperado a partir de https://tienda.icontec.org/producto/e-book-gtc-iso-iec27002-tecnologia-de-la-informacion-tecnicas-de-seguridad-codigo-de-practica-para-controles-de-seguridad-de-la-informacion/?v=42983b05e2f2

ISACA. (2018). COBIT 2019. Recuperado 4 de diciembre de 2018, a partir de https://www.isaca.org/cobit/pages/default.aspx

46

ISO. (2008). ISO/IEC 21827:2008 - Information technology -- Security techniques -- Systems Security Engineering -- Capability Maturity Model® (SSE-CMM®). Recuperado 4 de diciembre de 2018, a partir de https://www.iso.org/standard/44716.html

Ministerio de Tecnologías de la Información y las Comunicaciones. (2015a). Modelo de Seguridad. Recuperado 16 de agosto de 2018, a partir de https://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html

Ministerio de Tecnologías de la Información y las Comunicaciones. (2015b). Modelo de Seguridad y Privacidad de la Información. Bogotá D.C. Recuperado a partir de https://www.mintic.gov.co/gestionti/615/articles-5482_Modelo_de_Seguridad_Privacidad.pdf

Ministerio de Tecnologías de la Información y las Comunicaciones. (2017). Instrumento de medición del MSPI. Bogotá. Recuperado a partir de https://www.mintic.gov.co/gestionti/615/articles-5482_Instrumento_Evaluacion_MSPI.xlsx

Ministerio de Tecnologías de la Información y las Comunicaciones. (2018a). Decreto 1008 de 2018. Bogotá D.C. Recuperado a partir de https://www.mintic.gov.co/portal/604/articles-74903_documento.pdf

Ministerio de Tecnologías de la Información y las Comunicaciones. (2018b). Manual de gobierno digital. Bogotá. Recuperado a partir de http://estrategia.gobiernoenlinea.gov.co/623/articles-7941_recurso_1.pdf

National Institute of Standards and Technology. (2014). Framework for Improving Critical Infrastructure Cybersecurity. Recuperado a partir de https://www.nist.gov/sites/default/files/documents/cyberframework/cybersecurity-framework-021214.pdf

Ross, W. L., & Rochford, K. (2017). Draft NIST Special Publication 800-53 Security and Privacy Controls for Information Systems and Organizations. Recuperado a partir de http://csrc.nist.gov/publications.

The open group. (2018a). Modelo abierto de madurez de la gestión de la seguridad de la información (O-ISM3), versión 2.0. Recuperado a partir de https://publications.opengroup.org/c17b

The open group. (2018b). TOGAF 9.2 | The Open Group. Recuperado a partir de http://www.opengroup.org/togaf

Documento MetodológicoÁmbito 6

Elaborado por: