Modelo de Seguridad Privacidad

Modelo de Seguridad y
Privacidad de la Informacin
Modelo
HISTORIA
VERSIN FECHA CAMBIOS INTRODUCIDOS
1.0.0 15/12/2010 Versin inicial del documento

2.0.0 30/09/2011 Restructuracin de forma
2.0.1 30/11/2011 Actualizacin del documento
3.0.0 03/03/2015 Revisin documento
Contenido
1. DERECHOS DE AUTOR................................................................................... 6
2. AUDIENCIA ....................................................................................................... 7
3. INTRODUCCIN .............................................................................................. 8
4. JUSTIFICACIN ............................................................................................. 10
5. GLOSARIO...................................................................................................... 11
6. OBJETIVOS .................................................................................................... 18
6.1 OBJETIVO GENERAL ................................................................................. 18
6.2 OBJETIVOS ESPECFICOS ........................................................................ 18
7. MODELO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN ............. 20
8. DESCRIPCIN DEL CICLO DE OPERACIN ............................................... 21
8.1 FASE DE DIAGNSTICO - ETAPAS PREVIAS A LA IMPLEMENTACIN 22
8.2 FASE DE PLANIFICACIN ......................................................................... 23
Poltica de seguridad y privacidad de la informacin....................................... 26
Polticas de Seguridad y Privacidad de la Informacin. ................................... 26
Procedimientos de Seguridad de la Informacin. ............................................ 26
Roles y Responsabilidades de Seguridad y Privacidad de la Informacin. ..... 26
Inventario de activos de informacin. .............................................................. 27
Integracin del MSPI con el Sistema de Gestin documental. ........................ 27
Identificacin, Valoracin Y Tratamiento de Riesgos. ..................................... 27
Plan de Comunicaciones. ................................................................................ 28

Plan de transicin de IPv4 a IPv6. ................................................................... 28
8.3 FASE DE IMPLEMENTACIN..................................................................... 28
Planificacin y Control Operacional. ................................................................ 30
Implementacin del plan de tratamiento de riesgos. ....................................... 30
Indicadores De Gestin. .................................................................................. 31
Plan de Transicin de IPv4 a IPv6. ................................................................. 31
8.4 FASE DE EVALUACIN DE DESEMPEO ............................................... 31
Plan de revisin y seguimiento a la implementacin del MSPI........................ 32
Plan de Ejecucin de Auditorias ...................................................................... 33
8.5 FASE DE MEJORA CONTINUA .................................................................. 34
9. MODELO DE MADUREZ ................................................................................ 36
10. PRIVACIDAD DE LA INFORMACIN ......................................................... 39
Contar con una herramienta de anlisis sobre impacto en la privacidad ........ 40
Descripcin de los flujos de informacin ......................................................... 40
Identificar los riesgos de privacidad ................................................................ 40
10.1 Fase Diagnostico ...................................................................................... 42
10.2 Fase Planificacin ..................................................................................... 43
10.3 Fase de Implementacin........................................................................... 44
10.4 Fase de Evaluacin del desempeo ......................................................... 45
10.5 Fase de Mejora Continua.......................................................................... 46
11. ADOPCIN DEL PROTOCOLO IPv6 .......................................................... 47

11.1 FASE DE PLANEACIN .......................................................................... 47
11.2 FASE DE IMPLEMENTACIN ................................................................. 48
11.3 FASE PRUEBAS DE FUNCIONALIDAD ............................................... 49
12. PLAZOS ....................................................................................................... 51
12.1 Sujetos Obligados del Orden Nacional ..................................................... 51
12.2 Sujetos Obligados del Orden Territorial .................................................... 51
12.3 Guas Modelo de Seguridad y Privacidad de la Informacin .................... 52
12.4 Guas Marco de Referencia de Arquitectura Empresarial ......................... 53

1. DERECHOS DE AUTOR
Todas las referencias a los documentos del Modelo de Seguridad y Privacidad de

la Informacin, con derechos reservados por parte del Ministerio de Tecnologas
de la Informacin y las Comunicaciones, a travs de la estrategia de Gobierno en
Lnea.
Todas las referencias a las polticas, definiciones o contenido relacionado,

publicadas en el compendio de las normas tcnicas colombianas NTC ISO/IEC
27000 vigentes, as como a los anexos con derechos reservados por parte de
ISO/ICONTEC.
2. AUDIENCIA
Entidades pblicas de orden nacional y territorial, as como proveedores de

servicios de Gobierno en Lnea, y terceros que deseen adoptar el Modelo de
Seguridad y Privacidad de la informacin en el marco de la Estrategia de Gobierno
en Lnea.
3. INTRODUCCIN
Este documento se elabor con la recopilacin de las mejores prcticas,

nacionales e internacionales, para suministrar requisitos para el diagnstico,
planificacin, implementacin, gestin y mejoramiento continuo, del Modelo de
Seguridad y Privacidad de la Informacin - MSPI de la Estrategia de Gobierno en
Lnea GEL.
El Ministerio de Tecnologas de la Informacin y las Comunicaciones - MinTIC, es

la entidad encargada de disear, adoptar y promover las polticas, planes,
programas y proyectos del sector de las Tecnologas de la Informacin y las
Comunicaciones.
La estrategia de Gobierno en Lnea, liderada por el Ministerio TIC, tiene como

objetivo, garantizar el mximo aprovechamiento de las tecnologas de la
informacin y las comunicaciones, con el fin de contribuir con la construccin de
un Estado ms participativo, ms eficiente y ms transparente.
La planificacin e implementacin del Modelo de Seguridad y Privacidad de la

Informacin MSPI, en la Entidad est determinado por las necesidades y
objetivos, los requisitos de seguridad, los procesos misionales y el tamao y
estructura de la Entidad.
El Modelo de Seguridad y Privacidad de la Informacin MSPI, conduce a la

preservacin de la confidencialidad, integridad, disponibilidad de la informacin,
permitiendo garantizar la privacidad de los datos,, mediante la aplicacin de un
proceso de gestin del riesgo, brindando confianza a las partes interesadas acerca
de la adecuada gestin de riesgos.
A travs del decreto nico reglamentario 1078 de 2015, del sector de Tecnologas
de Informacin y las Comunicaciones, se define el componente de seguridad y
privacidad de la informacin, como parte integral de la estrategia GEL.
Para el desarrollo del componente de Seguridad y Privacidad de la Informacin,

se ha elaborado un conjunto de documentos asociados al Modelo de Seguridad y
Privacidad de la Informacin, los cuales a lo largo de los ltimos aos, han sido
utilizados por las diferentes entidades tanto del orden nacional como territorial,
para mejorar sus estndares de seguridad de la informacin. El Modelo de
Seguridad y Privacidad para estar acorde con las buenas prcticas de seguridad
ser actualizado peridicamente; as mismo recoge adems de los cambios
tcnicos de la norma, legislacin de la Ley de Proteccin de Datos Personales,
Transparencia y Acceso a la Informacin Pblica, entre otras, las cuales se deben
tener en cuenta para la gestin de la informacin; de otro lado el MSPI especifica
los nuevos lineamientos que permiten la adopcin del protocolo IPv6 en el Estado
Colombiano.
El Modelo de Seguridad y Privacidad de la Informacin se encuentra alineado con

el Marco de Referencia de Arquitectura TI y soporta transversalmente los otros
componentes de la Estrategia GEL: TIC para Servicios, TIC para Gobierno Abierto
y TIC para Gestin.
El presente modelo pretende facilitar la comprensin del proceso de construccin

de una poltica de privacidad por parte de la entidad, que permita fijar los criterios
que seguirn para proteger la privacidad de la informacin y los datos, as como
de los procesos y las personas vinculadas con dicha informacin.
Finalmente, a nivel metodolgico es importante tener presente que se han incluido

una serie de guas en cada una de las fases del modelo, para que los destinatarios
del mismo tengan claridad de cules son los resultados a obtener y como
desarrollarlos.
4. JUSTIFICACIN
El Ministerio TIC a travs de la Direccin de Estndares y Arquitectura de TI y la

Subdireccin de Seguridad y Privacidad de TI, dando cumplimiento a sus
funciones, a travs de las cuales contribuye a la construccin de un Estado ms
eficiente, ms transparente y participativo, publica El Modelo de Seguridad y
Privacidad de la Informacin, para dar cumplimiento a lo establecido en el
componente de seguridad y privacidad de la informacin de la estrategia de
gobierno en lnea.
Mediante el aprovechamiento de las TIC y el modelo de seguridad y privacidad de

la informacin, se trabaja en el fortalecimiento de la seguridad de la informacin
en las entidades, con el fin de garantizar la proteccin de la misma y la privacidad
de los datos de los ciudadanos y funcionarios de la entidad, todo esto acorde con
lo expresado en la legislacin Colombiana.
5. GLOSARIO
Acceso a la Informacin Pblica:

Derecho fundamental consistente en la facultad que tienen todas las personas
de conocer sobre la existencia y acceder a la informacin pblica en posesin
o bajo control de sujetos obligados. (Ley 1712 de 2014, art 4)
Activo
En relacin con la seguridad de la informacin, se refiere a cualquier
informacin o elemento relacionado con el tratamiento de la misma (sistemas,
soportes, edificios, personas) que tenga valor para la organizacin. (ISO/IEC
27000).
Activo de Informacin:
En relacin con la privacidad de la informacin, se refiere al activo que
contiene informacin pblica que el sujeto obligado genere, obtenga, adquiera,
transforme o controle en su calidad de tal.
Archivo:
Conjunto de documentos, sea cual fuere su fecha, forma y soporte material,
acumulados en un proceso natural por una persona o entidad pblica o
privada, en el transcurso de su gestin, conservados respetando aquel orden
para servir como testimonio e informacin a la persona o institucin que los
produce y a los ciudadanos, o como fuentes de la historia. Tambin se puede
entender como la institucin que est al servicio de la gestin administrativa, la
informacin, la investigacin y la cultura. (Ley 594 de 2000, art 3)
Amenazas
Causa potencial de un incidente no deseado, que puede provocar daos a un
sistema o a la organizacin. (ISO/IEC 27000).
Anlisis de Riesgo
Proceso para comprender la naturaleza del riesgo y determinar el nivel de
riesgo. (ISO/IEC 27000).
Auditora
Proceso sistemtico, independiente y documentado para obtener evidencias de
auditoria y obviamente para determinar el grado en el que se cumplen los
criterios de auditoria. (ISO/IEC 27000).
Autorizacin:
Consentimiento previo, expreso e informado del Titular para llevar a cabo el
Tratamiento de datos personales (Ley 1581 de 2012, art 3)
Bases de Datos Personales:

Conjunto organizado de datos personales que sea objeto de Tratamiento (Ley
1581 de 2012, art 3)
Ciberseguridad
Capacidad del Estado para minimizar el nivel de riesgo al que estn expuestos
los ciudadanos, ante amenazas o incidentes de naturaleza ciberntica.
(CONPES 3701).
Ciberespacio
Es el ambiente tanto fsico como virtual compuesto por computadores,
sistemas computacionales, programas computacionales (software), redes de
telecomunicaciones, datos e informacin que es utilizado para la interaccin
entre usuarios. (Resolucin CRC 2258 de 2009).
Control
Las polticas, los procedimientos, las prcticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la informacin por
debajo del nivel de riesgo asumido. Control es tambin utilizado como sinnimo
de salvaguarda o contramedida. En una definicin ms simple, es una medida
que modifica el riesgo.
Datos Abiertos:
Son todos aquellos datos primarios o sin procesar, que se encuentran en
formatos estndar e interoperables que facilitan su acceso y reutilizacin, los
cuales estn bajo la custodia de las entidades pblicas o privadas que cumplen
con funciones pblicas y que son puestos a disposicin de cualquier
ciudadano, de forma libre y sin restricciones, con el fin de que terceros puedan
reutilizarlos y crear servicios derivados de los mismos (Ley 1712 de 2014, art
6)
Datos Personales:
Cualquier informacin vinculada o que pueda asociarse a una o varias
personas naturales determinadas o determinables. (Ley 1581 de 2012, art 3).
Datos Personales Pblicos:

Es el dato que no sea semiprivado, privado o sensible. Son considerados datos
pblicos, entre otros, los datos relativos al estado civil de las personas, a su
profesin u oficio y a su calidad de comerciante o de servidor pblico. Por su
naturaleza, los datos pblicos pueden estar contenidos, entre otros, en
registros pblicos, documentos pblicos, gacetas y boletines oficiales y
sentencias judiciales debidamente ejecutoriadas que no estn sometidas a
reserva. (Decreto 1377 de 2013, art 3)
Datos Personales Privados:

Es el dato que por su naturaleza ntima o reservada slo es relevante para el
titular. (Ley 1581 de 2012, art 3 literal h)
Datos Personales Mixtos:

Para efectos de esta gua es la informacin que contiene datos personales
pblicos junto con datos privados o sensibles.
Datos Personales Sensibles:

Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o
cuyo uso indebido puede generar su discriminacin, tales como aquellos que
revelen el origen racial o tnico, la orientacin poltica, las convicciones
religiosas o filosficas, la pertenencia a sindicatos, organizaciones sociales, de
derechos humanos o que promueva intereses de cualquier partido poltico o
que garanticen los derechos y garantas de partidos polticos de oposicin, as
como los datos relativos a la salud, a la vida sexual, y los datos biomtricos.
(Decreto 1377 de 2013, art 3)
Declaracin de aplicabilidad
Documento que enumera los controles aplicados por el Sistema de Gestin de
Seguridad de la Informacin SGSI, de la organizacin tras el resultado de los
procesos de evaluacin y tratamiento de riesgos y su justificacin, as como la
justificacin de las exclusiones de controles del anexo A de ISO 27001.
(ISO/IEC 27000).
Derecho a la Intimidad:
Derecho fundamental cuyo ncleo esencial lo constituye la existencia y goce
de una rbita reservada en cada persona, exenta de la intervencin del poder
del Estado o de las intromisiones arbitrarias de la sociedad, que le permite a
dicho individuo el pleno desarrollo de su vida personal, espiritual y cultural
(Jurisprudencia Corte Constitucional).
Encargado del Tratamiento de Datos:

Persona natural o jurdica, pblica o privada, que por s misma o en asocio con
otros, realice el Tratamiento de datos personales por cuenta del Responsable
del Tratamiento. (Ley 1581 de 2012, art 3)
Gestin de incidentes de seguridad de la informacin

Procesos para detectar, reportar, evaluar, responder, tratar y aprender de los
incidentes de seguridad de la informacin. (ISO/IEC 27000).
Informacin Pblica Clasificada:

Es aquella informacin que estando en poder o custodia de un sujeto obligado
en su calidad de tal, pertenece al mbito propio, particular y privado o
semiprivado de una persona natural o jurdica por lo que su acceso podr ser
negado o exceptuado, siempre que se trate de las circunstancias legtimas y
necesarias y los derechos particulares o privados consagrados en el artculo 18
de la Ley 1712 de 2014. (Ley 1712 de 2014, art 6)
Informacin Pblica Reservada:

Es aquella informacin que estando en poder o custodia de un sujeto obligado
en su calidad de tal, es exceptuada de acceso a la ciudadana por dao a
intereses pblicos y bajo cumplimiento de la totalidad de los requisitos
consagrados en el artculo 19 de la Ley 1712 de 2014. (Ley 1712 de 2014, art
6)
Ley de Habeas Data:

Se refiere a la Ley Estatutaria 1266 de 2008.
Ley de Transparencia y Acceso a la Informacin Pblica:
Se refiere a la Ley Estatutaria 1712 de 2014.
Mecanismos de proteccin de datos personales:

Lo constituyen las distintas alternativas con que cuentan las entidades
destinatarias para ofrecer proteccin a los datos personales de los titulares
tales como acceso controlado, anonimizacin o cifrado.
Plan de continuidad del negocio

Plan orientado a permitir la continuacin de las principales funciones
misionales o del negocio en el caso de un evento imprevisto que las ponga en
peligro. (ISO/IEC 27000).
Plan de tratamiento de riesgos

Documento que define las acciones para gestionar los riesgos de seguridad de
la informacin inaceptables e implantar los controles necesarios para proteger
la misma. (ISO/IEC 27000).
Privacidad:
En el contexto de este documento, por privacidad se entiende el derecho que
tienen todos los titulares de la informacin en relacin con la informacin que
involucre datos personales y la informacin clasificada que estos hayan
entregado o est en poder de la entidad en el marco de las funciones que a
ella le compete realizar y que generan en las entidades destinatarias del
Manual de GEL la correlativa obligacin de proteger dicha informacin en
observancia del marco legal vigente.
Registro Nacional de Bases de Datos:

Directorio pblico de las bases de datos sujetas a Tratamiento que operan en
el pas. (Ley 1581 de 2012, art 25)
Responsabilidad Demostrada:
Conducta desplegada por los Responsables o Encargados del tratamiento de
datos personales bajo la cual a peticin de la Superintendencia de Industria y
Comercio deben estar en capacidad de demostrarle a dicho organismo de
control que han implementado medidas apropiadas y efectivas para cumplir lo
establecido en la Ley 1581 de 2012 y sus normas reglamentarias.
Responsable del Tratamiento de Datos:
Persona natural o jurdica, pblica o privada, que por s misma o en asocio con
otros, decida sobre la base de datos y/o el Tratamiento de los datos. (Ley 1581
de 2012, art 3).
Riesgo
Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad
para causar una prdida o dao en un activo de informacin. Suele
considerarse como una combinacin de la probabilidad de un evento y sus
consecuencias. (ISO/IEC 27000).
Seguridad de la informacin
Preservacin de la confidencialidad, integridad, y disponibilidad de la
informacin. (ISO/IEC 27000).
Sistema de Gestin de Seguridad de la Informacin SGSI

Conjunto de elementos interrelacionados o interactuantes (estructura
organizativa, polticas, planificacin de actividades, responsabilidades,
procesos, procedimientos y recursos) que utiliza una organizacin para
establecer una poltica y unos objetivos de seguridad de la informacin y
alcanzar dichos objetivos, basndose en un enfoque de gestin y de mejora
continua. (ISO/IEC 27000).
Titulares de la informacin:
Personas naturales cuyos datos personales sean objeto de Tratamiento. (Ley
1581 de 2012, art 3)
Tratamiento de Datos Personales:
Cualquier operacin o conjunto de operaciones sobre datos personales, tales

como la recoleccin, almacenamiento, uso, circulacin o supresin. (Ley 1581
de 2012, art 3).
Trazabilidad
Cualidad que permite que todas las acciones realizadas sobre la informacin o
un sistema de tratamiento de la informacin sean asociadas de modo
inequvoco a un individuo o entidad. (ISO/IEC 27000).
Vulnerabilidad
Debilidad de un activo o control que puede ser explotada por una o ms
amenazas. (ISO/IEC 27000).
Partes interesadas (Stakeholder)

Persona u organizacin que puede afectar a, ser afectada por o percibirse a s
misma como afectada por una decisin o actividad.
6. OBJETIVOS
6.1 OBJETIVO GENERAL
Generar un documento de lineamientos de buenas prcticas en Seguridad y

Privacidad para las entidades del Estado.
6.2 OBJETIVOS ESPECFICOS
Mediante la utilizacin del Modelo de Seguridad y Privacidad para las

Entidades del Estado, se busca contribuir al incremento de la transparencia en
la gestin pblica.
Promover el uso de mejores prcticas de seguridad de la informacin, para ser

la base de aplicacin del concepto de Seguridad Digital.
Dar lineamientos para la implementacin de mejores prcticas de seguridad

que permita identificar infraestructuras crticas en las entidades.
Contribuir a mejorar los procesos de intercambio de informacin pblica.
Orientar a las entidades en las mejores prcticas en seguridad y privacidad.
Optimizar la gestin de la seguridad de la informacin al interior de las

entidades.
Orientar a las entidades en la transicin de lPv4 a IPv6 con la utilizacin de las

guas disponibles para tal fin.
Orientar a las entidades en la adopcin de la legislacin relacionada con la

proteccin de datos personales.
Contribuir en el desarrollo del plan estratgico institucional y la elaboracin del

plan estratgico de tecnologas de la informacin y de las comunicaciones.
Contribuir en el desarrollo del ejercicio de arquitectura empresarial apoyando
en el cumpliendo de los lineamientos del marco de referencia de arquitectura
empresarial para la gestin de TI del estado colombiano.
Orientar a las entidades destinatarias en las mejores prcticas para la

construccin de una poltica de tratamiento de datos personales respetuosa de
los derechos de los titulares.
Optimizar la labor de acceso a la informacin pblica al interior de las

entidades destinatarias.
Revisar los roles relacionados con la privacidad y seguridad de la informacin

al interior de la entidad para optimizar su articulacin.
7. MODELO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN
El modelo de seguridad y privacidad de la informacin contempla un ciclo de

operacin que consta de cinco (5) fases, las cuales permiten que las entidades
puedan gestionar adecuadamente la seguridad y privacidad de sus activos de
informacin.
En el presente Modelo de Seguridad y Privacidad de la Informacin se contemplan

6 niveles de madurez, que corresponden a la evolucin de la implementacin del
modelo de operacin.
La seguridad y privacidad de la informacin, como componente transversal a la

Estrategia de Gobierno en lnea, permite alinearse al componente de TIC para la
Gestin al aportar en el uso estratgico de las tecnologas de la informacin con la
formulacin e implementacin del modelo de seguridad enfocado a preservar la
confidencialidad, integridad y disponibilidad de la informacin, lo que contribuye al
cumplimiento de la misin y los objetivos estratgicos de la entidad.
La Seguridad y Privacidad de la Informacin se alinea al componente de TIC para

Servicios apoyando el tratamiento de la informacin utilizada en los trmites y
servicios que ofrece la Entidad, observando en todo momento las normas sobre
proteccin de datos personales, as como otros derechos garantizados por la Ley
que excepta el acceso pblico a determinada informacin.
El componente de TIC para Gobierno Abierto se alinea con el componente de

Seguridad y Privacidad de la Informacin que permite la construccin de un estado
ms transparente, colaborativo y participativo al garantizar que la informacin que
se provee tenga controles de seguridad y privacidad de tal forma que los ejercicios
de interaccin de informacin con el ciudadano, otras entidades y la empresa
privada sean confiables.
8. DESCRIPCIN DEL CICLO DE OPERACIN
En el presente captulo se explica el ciclo de funcionamiento del modelo de

operacin, a travs de la descripcin detallada de cada una de las cinco (5) fases
que lo comprenden. Estas, contienen objetivos, metas y herramientas (guas) que
permiten que la seguridad y privacidad de la informacin sea un sistema de
gestin sostenible dentro de las entidades.
Planificacion
DIAGNSTICO Mejora Continua Implementacin
Evaluacion de
Desempeo
Figura 1 Ciclo de operacin del Modelo de Seguridad y Privacidad de la Informacin

8.1 FASE DE DIAGNSTICO - ETAPAS PREVIAS A LA IMPLEMENTACIN
En esta fase se pretende identificar el estado actual de la organizacin con

respecto a los requerimientos del Modelo de Seguridad y Privacidad de la
Informacin,
Estado actual de la entidad
Identificacin el nivel de
DIAGNSTICO madurez
Levantamiento de
informacin
Figura 2 Etapas previas a la implementacin
Tabla 1 - Metas, Resultados e Instrumentos de la fase etapas previas a la

implementacin:
Diagnostico
Instrumentos Alineacin
Metas Resultados
MSPI MRAE
Determinar el estado actual de Herramienta de

la gestin de seguridad y Diligenciamiento de la herramienta.
diagnstico.
privacidad de la informacin al
interior de la Entidad. LI.ES.01
LI.ES.02
LI.GO.01
Identificar el nivel de madurez Diligenciamiento de la herramienta e Herramienta de LI.GO.04
de seguridad y privacidad de la identificacin del nivel de madurez de la entidad. diagnstico LI.GO.05
informacin en la Entidad LI.GO.07
LI.ST.14
Identificar vulnerabilidades Documento con los hallazgos encontrados en las

Herramienta de
tcnicas y administrativas que pruebas de vulnerabilidad.
diagnstico
sirvan como insumo para la
fase de planificacin.
En la fase de diagnstico del MSPI se pretende alcanzar las siguientes metas:
Determinar el estado actual de la gestin de seguridad y privacidad de la

informacin al interior de la Entidad.
Determinar el nivel de madurez de los controles de seguridad de la
informacin.
Identificar el avance de la implementacin del ciclo de operacin al interior de
la entidad.
Identificar el nivel de cumplimiento con la legislacin vigente relacionada con
proteccin de datos personales.
Identificacin del uso de buenas prcticas en ciberseguridad.
Para ello se recomienda utilizar los siguientes instrumentos:
Herramienta de diagnostico
Instructivo para el diligenciamiento de la herramienta
Gua No 1 - Metodologa de Pruebas de Efectividad
Para realizar dicha fase las entidades deben efectuar la recoleccin de la

informacin con la ayuda de la herramienta de diagnstico y la metodologa de
pruebas de efectividad.
Una vez se tenga el resultado del diagnstico inicial y se haya determinado el nivel
de madurez de la entidad se procede al desarrollo de la fase de Planificacin.
Los resultados asociados a la fase de Diagnostico previas a la implementacin

deben ser revisados y socializados por las partes interesadas.
8.2 FASE DE PLANIFICACIN
Para el desarrollo de esta fase la entidad debe utilizar los resultados de la etapa
anterior y proceder a elaborar el plan de seguridad y privacidad de la informacin
alineado con el objetivo misional de la entidad, con el propsito de definir las
acciones a implementar a nivel de seguridad y privacidad de la informacin, a
travs de una metodologa de gestin del riesgo.
El alcance del MSPI permite a la Entidad definir los lmites sobre los cuales se
implementar la seguridad y privacidad en la Entidad. Este enfoque es por
procesos y debe extenderse a toda la Entidad.
Para desarrollar el alcance y los lmites del Modelo se deben tener en cuenta las
siguientes recomendaciones: Procesos que impactan directamente la consecucin
de objetivos misionales, procesos, servicios, sistemas de informacin, ubicaciones
fsicas, terceros relacionados, e interrelaciones del Modelo con otros procesos.
Entender la Entidad
Necesidades y
Contexto
Contexto dede expectativas de las
la partes interesadas
la Entidad
Entidad Determinar alcance del
MSPI
Liderazgo y
compromiso de la alta
direccin
Liderazgo
Liderazgo Poltica de seguridad
Roles de la Entidad,
responsabilidades y
autoridad
Planificacin
Acciones para abordar
los riesgos y
Planeacin
Planeacin oportunidades
Objetivos y planes para
lograrlos
Recursos
Competencias
Liderazgo
Soporte Sensibilizacin
Comunicacin
Documentacin
1
Figura 3 - Fase de planificacin
Tabla 2 - Metas, Resultados e Instrumentos de la Fase de Planificacin

Planificacin
Metas Resultados INSTRUMENTOS

MRAE
MSPI
LI.ES.02
Documento con la poltica de seguridad de la
Poltica de Seguridad y Privacidad Gua No 2 Poltica LI.ES.06
informacin, debidamente aprobado por la alta
de la Informacin General MSPI LI.ES.07
Direccin y socializada al interior de la Entidad.
LI.ES.08
1 El contenido de la figura 3 fue tomada de la Norma ISO IEC 27001 Captulos 4, 5, 6, 7, que permite orientar como se
desarrolla la planificacin del MSPI.
LI.ES.09
Manual con las polticas de seguridad y Gua no 2 - Poltica LI.ES.10
Polticas de seguridad privacidad de la informacin, debidamente
General MSPI LI.GO.01
y privacidad de la informacin aprobadas por la alta direccin y socializadas al
LI.GO.04
interior de la Entidad.
LI.GO.07
Gua No 3 - LI.GO.08
Procedimientos, debidamente documentados, LI.GO.09
Procedimientos de seguridad de la Procedimientos de
socializados y aprobados por el comit que LI.GO.10
informacin. Seguridad y Privacidad
integre los sistemas de gestin institucional. LI.INF.01
de la Informacin.
LI.INF.02
Acto administrativo a travs del cual se crea o se LI.INF.09
modifica las funciones del comit gestin LI.INF.10
institucional (o el que haga sus veces), en donde Gua No 4 - Roles y LI.INF.11
Roles y responsabilidades de
se incluyan los temas de seguridad de la responsabilidades de LI.INF.14
seguridad y privacidad de la
informacin en la entidad, revisado y aprobado seguridad y privacidad LI.SIS.22
informacin.
por la alta Direccin, deber designarse quien de la informacin. LI.SIS.23
ser el encargado de seguridad de la LI.SIS.01
informacin dentro de la entidad. LI.ST.05
Documento con la metodologa para LI.ST.06
identificacin, clasificacin y valoracin de LI.ST.09
activos de informacin, validado por el comit de LI.ST.10
seguridad de la informacin o quien haga sus LI.ST.12
veces y revisado y aprobado por la alta LI.ST.13
Gua No 5 - Gestin De
direccin. LI.ST.14
Inventario de activos de Activos
LI.UA.01
informacin. Gua No 20 - Transicin
Matriz con la identificacin, valoracin y LI.UA.02
Ipv4 a Ipv6
clasificacin de activos de informacin. LI.UA.03
LI.UA.04
Documento con la caracterizacin de activos de LI.UA.05
informacin, que contengan datos personales LI.UA.06
Inventario de activos de IPv6
Integracin del MSPI con el Integracin del MSPI, con el sistema de gestin Gua No 6 - Gestion
Sistema de Gestin documental documental de la entidad. Documental
Documento con la metodologa de gestin de

riesgos.
Documento con el anlisis y evaluacin de
riesgos. Gua No 7 - Gestion de
Identificacin, Valoracin y
Documento con el plan de tratamiento de Riesgos
tratamiento de riesgo.
riesgos. Gua No 8 - Controles
Documento con la declaracin de aplicabilidad. de Seguridad
Documentos revisados y aprobados por la alta
Direccin.
Gua No 14 - Plan de
comunicacin,
Documento con el plan de comunicacin,
Plan de Comunicaciones. sensibilizacin y
sensibilizacin y capacitacin para la entidad.
capacitacin
Gua No 20 - Transicin
Plan de diagnstico de IPv4 a Documento con el Plan de diagnstico para la
IPv4 a IPv6
IPv6. transicin de IPv4 a IPv6.
A continuacin se explica de manera general la fase de planificacin del Modelo

de Seguridad y Privacidad de la Informacin.
Poltica de seguridad y privacidad de la informacin.
La Poltica de Seguridad y Privacidad de la informacin est contenida en un
documento de alto nivel que incluye la voluntad de la Alta Direccin de la Entidad
para apoyar la implementacin del Modelo de Seguridad y Privacidad de la
Informacin.
La poltica debe contener una declaracin general por parte de la administracin,

donde se especifique sus objetivos, alcance, nivel de cumplimiento.
La poltica debe ser aprobada y divulgada al interior de la entidad.
Polticas de Seguridad y Privacidad de la Informacin.

Manual de polticas, donde se describe los objetivos, alcances y el nivel de
cumplimiento, que garanticen el adecuado uso de los Activos de informacin al
interior de la Entidad; definiendo las responsabilidades generales y especficas
para la gestin de la seguridad de la informacin
En el manual de polticas de la entidad, se debe explicar de manera general, las

polticas, los principios de seguridad y la normatividad pertinente.
La entidad debe evaluar los requerimientos necesarios para ser ajustados o

desarrollados en la elaboracin de las polticas de seguridad y privacidad, as
como en la implementacin.
Procedimientos de Seguridad de la Informacin.

En este tem se debe desarrollar y formalizar procedimientos que permitan
gestionar la seguridad de la informacin en cada uno de los procesos definidos en
la entidad.
Para desarrollar esta actividad, la Gua No 3 - describe los procedimientos

mnimos que se deberan tener en cuenta para la gestin de la seguridad al
interior de la entidad.
Roles y Responsabilidades de Seguridad y Privacidad de la Informacin.

La entidad debe definir mediante un acto administrativo (Resolucin, circular,
decreto, entre otros) los roles y las responsabilidades de seguridad de la
informacin en los diferentes niveles (Directivo, De procesos y Operativos) que
permitan la correcta toma de decisiones y una adecuada gestin que permita el
cumplimiento de los objetivos de la Entidad.
Para desarrollar estas actividades, la Gua No 4 - Roles y responsabilidades de

seguridad y privacidad de la informacin, brinda informacin relacionada para tal
fin.
Inventario de activos de informacin.

La entidad debe desarrollar una metodologa de gestin de activos que le permita
generar un inventario de activos de informacin exacto, actualizado y consistente,
que a su vez permita definir la criticidad de los activos de informacin, sus
propietarios, custodios y usuarios.
La Gua No 5 - Gestin De Activos, brinda informacin relacionada para poder

llevar a cabo la realizacin de las actividades mencionadas previamente.
Integracin del MSPI con el Sistema de Gestin documental.

La entidad deber alinear la documentacin relacionada con seguridad de la
informacin con el sistema de gestin documental generado o emitido conforme a
los parmetros emitidos por el archivo general de la nacin.
La Gua No 6 - Gestin Documental, brinda informacin relacionada para poder

llevar a cabo la realizacin de las actividades mencionadas previamente.
Identificacin, Valoracin Y Tratamiento de Riesgos.
La entidad debe definir una metodologa de gestin del riesgo enfocada a

procesos, que le permita identificar, evaluar, tratar y dar seguimiento a los riesgos
de seguridad de la informacin a los que estn expuestos los activos, asi como la
declaracin de aplicabilidad. Para conseguir una integracin adecuada entre el
MSPI y la gua de gestin del riesgo emitida por el DAFP respecto a este
procedimiento, se recomienda emplear los criterios de evaluacin (impacto y
probabilidad) y niveles de riesgo emitidos por esta entidad.
Para definir la metodologa, la entidad puede hacer uso de buenas prcticas
vigentes tales como: ISO 27005, Margerit, Octave, ISO 31000 o la Gua No 7 -
Gestin de Riesgos emitida por el MinTIC.
Para la elaboracin del plan de tratamiento de riesgos y la declaracin de

aplicabilidad, puede emplearse la Gua No 8 - Controles de Seguridad.
Plan de Comunicaciones.
La Entidad debe definir un Plan de comunicacin, sensibilizacin y capacitacin

que incluya la estrategia para que la seguridad de la informacin se convierta en
cultura organizacional, al generar competencias y hbitos en todos los niveles
(directivos, funcionarios, terceros) de la entidad.
Este plan ser ejecutado, con el aval de la Alta Direccin, a todas las reas de la
Entidad.
Para estructurar dicho plan puede utilizar la Gua No 14 plan de comunicacin,

sensibilizacin y capacitacin.
Plan de transicin de IPv4 a IPv6.
Para llevar a cabo el proceso de transicin de IPv4 a IPv6 en las entidades, se

debe cumplir con la fase de planeacin establecida en la Gua No 20 - Transicin
de IPv4 a IPv6 para Colombia que indica las actividades especficas a desarrollar.
8.3 FASE DE IMPLEMENTACIN
Esta fase le permitir a la Entidad, llevar acabo la implementacin de la

planificacin realizada en la fase anterior del MSPI.
Control y planeacin
operacional
Plan de Tratamiento de
riesgos de seguridad y
Implementacin privacidad de la
informacin
Definicin de Indicadores
de Gestin
2
Figura 4 - Fase de implementacin
Tabla 3 - Metas, Resultados e Instrumentos de la Fase de Implementacin

Implementacin
Instrumentos
Metas Resultados
MSPI MRAE
Documento con el plan de LI.ES.09
Planificacin y Control Documento con la estrategia de tratamiento de riesgos. LI.ES.10
Operacional. planificacin y control operacional, revisado Documento con la LI.GO.04
y aprobado por la alta Direccin. declaracin de aplicabilidad. LI.GO.09
LI.GO.10
LI.GO.14
Documento con la LI.GO.15
Informe de la ejecucin del plan de
Implementacin del plan de declaracin de aplicabilidad. LI.INF.09
tratamiento de riesgos aprobado por el
tratamiento de riesgos. Documento con el plan de LI.INF.10
dueo de cada proceso.
tratamiento de riesgos. LI.INF.11
LI.INF.14
LI.INF.15
LI.SIS.22
LI.SIS.23
Documento con la descripcin de los LI.ST.05
Gua No 9 - Indicadores de LI.ST.06
Indicadores De Gestin. indicadores de gestin de seguridad y
Gestin SI. LI.ST.09
privacidad de la informacin.
LI.ST.10
LI.ST.12
2 El contenido de la figura 4 fue tomada de la Norma ISO IEC 27001 Captulo 8, que permite orientar como se desarrolla la
implementacin del MSPI.
LI.ST.13
Documento con el Plan de LI.UA.01
diagnstico para la
transicin de IPv4 a IPv6.
Documento con las estrategias del plan de
Gua No 20 - Transicin de
Plan de Transicin de IPv4 implementacin de IPv6 en la entidad,
IPv4 a IPv6 para Colombia.
a IPv6 aprobado por la Oficina de TI.
Gua No 19
Aseguramiento del
Protocolo IPv6.
Con base a los resultados de la fase de planeacin, en la fase de implementacin

deber ejecutarse las siguientes actividades:
Planificacin y Control Operacional.
La entidad debe planificar, implementar y controlar los procesos necesarios

para cumplir con los requisitos de seguridad y privacidad de la informacin
que permitan implementar las acciones determinadas en el plan de
tratamiento de riesgos.
La entidad debe tener informacin documentada en la medida necesaria

para tener la confianza en que los procesos se han llevado a cabo segn lo
planificado, adicionalmente, deber llevarse un control de cambios que le
permitan tomar acciones para mitigar efectos adversos cuando sea
necesario.
Implementacin del plan de tratamiento de riesgos.

Se debe implementar el plan de tratamiento de riesgos de seguridad de la
informacin, en el cual se identifica el control a aplicar para llevar cada uno
de los riesgos a un nivel aceptable para la entidad, en donde la base para
ejecutar esta actividad es la Gua No 8 - de controles de seguridad y
privacidad del MSPI.
Es preciso tener en cuenta que la aplicacin del control sobre los riesgos
detectados deben estar aprobados por el dueo de cada proceso.
Indicadores De Gestin.
La entidad deber definir indicadores que le permitan medir la efectividad, la
eficiencia y la eficacia en la gestin y las acciones implementadas en
seguridad de la informacin.
Los indicadores buscan medir:
Efectividad en los controles.

Eficiencia del MSPI al interior de la entidad.
Proveer estados de seguridad que sirvan de gua en las revisiones y
la mejora continua.
Comunicar valores de seguridad al interior de la entidad.
Servir como insumo al plan de control operacional.
La Gua No 9 - Indicadores de Gestin, brinda informacin relacionada para

poder llevar a cabo la realizacin de esta actividad.
Plan de Transicin de IPv4 a IPv6.
Se deber generar el documento detallado con el plan de transicin e

implementacin del protocolo IPv6 en la entidad.
Las guas de apoyo para esta labor son Gua de Transicin de IPv4 a IPv6
para Colombia y Gua de Aseguramiento del Protocolo IPv6.
8.4 FASE DE EVALUACIN DE DESEMPEO
El proceso de seguimiento y monitoreo del MSPI se hace con base a los

resultados que arrojan los indicadores de la seguridad de la informacin
propuestos para verificacin de la efectividad, la eficiencia y la eficacia de las
acciones implementadas.
Monitoreo, medicin,
anlisis y evaluacin
Evaluacin de
Auditoria interna
Desempeo
Revisin por la alta direccin
3
Figura 5 - Fase de Evaluacin de desempeo
Tabla 4 - Metas, Resultados e Instrumentos de la Fase de Evaluacin de

Desempeo
Evaluacin del Desempeo
Metas Resultados Instrumentos
MSPI MRAE
LI.ES.12
Plan de revisin y LI.ES.13
Documento con el plan de seguimiento y LI.GO.03
seguimiento, a la Gua No 16
revisin del MSPI revisado y aprobado por la LI.GO.11
implementacin del
alta Direccin. Evaluacin del LI.GO.12
MSPI.
desempeo. LI.INF.09
LI.INF.11
LI.INF.13
LI.INF.14
LI.INF.15
LI.SIS.23
Plan de Ejecucin Documento con el plan de ejecucin de LI.ST.05
Gua No 15 Gua de
de Auditorias auditoras y revisiones independientes al MSPI, LI.ST.06
Auditora.
revisado y aprobado por la Alta Direccin. LI.ST.08
LI.ST.15
LI.UA.07
LI.UA.08
Plan de revisin y seguimiento a la implementacin del MSPI.
En esta actividad la entidad debe crear un plan que contemple las

siguientes actividades:
evaluacin de desempeo del MSPI.
Revisin de la efectividad de los controles establecidos y su apoyo al
cumplimiento de los objetivos de seguridad.
Revisin de la evaluacin de los niveles de riesgo y riesgo residual
despus de la aplicacin de controles y medidas administrativas.
Seguimiento a la programacin y ejecucin de las actividades de
autoras internas y externas del MSPI.
Seguimiento al alcance y a la implementacin del MSPI.
Seguimiento a los registros de acciones y eventos / incidentes que
podran tener impacto en la eficacia o desempeo de la seguridad de
la informacin al interior de la entidad.
Medicin de los indicadores de gestin del MSPI
Revisiones de acciones o planes de mejora (solo aplica en la
segunda revisin del MSPI)
Este plan deber permitir la consolidacin de indicadores peridicamente y su

evaluacin frente a las metas esperadas; deben ser medibles permitiendo analizar
causas de desviacin y su impacto en el cumplimiento de las metas y objetivos del
MSPI.
La Gua No 16 - Evaluacin del Desempeo, brinda informacin relacionada para

poder llevar a cabo la realizacin de esta actividad.
Plan de Ejecucin de Auditorias
La entidad debe generar un documento donde se especifique el plan de auditoras

para el MSPI, donde especifique la frecuencia, los mtodos, las responsabilidades,
los requisitos de planificacin y la elaboracin de informes.
Se debe llevar a cabo auditoras y revisiones independientes a intervalos

planificados que permitan identificar si el MSPI es conforme con los requisitos de
la organizacin, est implementado adecuadamente y se mantiene de forma
eficaz; as mismo es necesario difundir a las partes interesadas, los resultados de
la ejecucin de las auditoras.
Es importante conservar la informacin documentada como evidencia de los

resultados de las auditoras.
La Gua No 15 - Gua de Auditora, brinda informacin relacionada para poder

llevar a cabo la realizacin de esta actividad.
8.5 FASE DE MEJORA CONTINUA
En esta fase la Entidad debe consolidar los resultados obtenidos de la fase de

evaluacin de desempeo, para disear el plan de mejoramiento continuo de
seguridad y privacidad de la informacin, tomando las acciones oportunas para
mitigar las debilidades identificadas.
Acciones correctivas.
Mejoramiento
Continuo
Mejora continua
Figura 6 - Fase de mejoramiento contino4
Tabla 5 - Metas, Resultados e Instrumentos de la Fase de Mejora Continua

Mejora Continua
Instrumentos
Metas Resultados
MSPI MRAE
Resultados de la ejecucin del Plan
de Revisin y Seguimiento, a la
LI.GO.03
Implementacin del MSPI. LI.GO.12
Documento con el plan de mejoramiento. LI.GO.13
Plan de mejora Resultados del plan de ejecucin de LI.INF.14
continua Documento con el plan de comunicacin de auditoras y revisiones independientes LI.INF.15
resultados. al MSPI. LI.ST.15
LI.UA.9
LI.UA.10
Gua No 17 Mejora Continua
fase de Mejoramiento Continuo del MSPI.
En esta fase es importante que la entidad defina y ejecute el plan de mejora
continua con base en los resultados de la fase de evaluacin del desempeo.
Este plan incluye:
Resultados de la ejecucin del plan de seguimiento, evaluacin y anlisis

para el MSPI.
Resultados del plan de ejecucin de auditoras y revisiones independientes
al MSPI.
Utilizando los insumos anteriores, la entidad puede efectuar los ajustes a los
entregables, controles y procedimientos dentro del MSPI. Estos insumos tendrn
como resultado un plan de mejoramiento y un plan de comunicaciones de mejora
continua, revisados y aprobados por la Alta Direccin de la entidad. La revisin por
la Alta Direccin hace referencia a las decisiones, cambios, prioridades etc.
tomadas en sus comits y que impacten el MSPI.
La gua No 17 - Mejora Continua, brinda informacin relacionada para poder llevar

a cabo la realizacin de esta actividad.
9. MODELO DE MADUREZ
Este esquema permite identificar el nivel de madurez del MSPI en el que se

encuentran las entidades, midiendo la brecha entre el nivel actual de la entidad y
el nivel optimizado.
A continuacin la figura 7, muestra los diferentes niveles que hacen parte del
modelo de madurez.
Figura 7- Niveles de madurez
El esquema que muestra los niveles de madurez del MSPI, busca establecer unos
criterios de valoracin a travs de los cuales se determina el estado actual de la
seguridad de la informacin en una entidad del Estado.
En la tabla No 6, se presentan las caractersticas de cada uno de los niveles de

madurez con una descripcin general.
Tabla 6 Caractersticas de los Niveles de Madurez
Nivel Descripcin
Se han implementado controles en su infraestructura de TI, seguridad
fsica, seguridad de recursos humanos entre otros, sin embargo no
estn alineados a un Modelo de Seguridad.
Inexistente No se reconoce la informacin como un activo importante para su
misin y objetivos estratgicos.
No se tiene conciencia de la importancia de la seguridad de la
informacin en la entidad.
Se han identificado las debilidades en la seguridad de la informacin.
Los incidentes de seguridad de la informacin se tratan de forma
reactiva.
Inicial
Se tiene la necesidad de implementar el MSPI, para definir polticas,
procesos y procedimientos que den respuesta proactiva a las amenazas
sobre seguridad de la informacin que se presentan en la Entidad.
Se identifican en forma general los activos de informacin.
Se clasifican los activos de informacin.
Los servidores pblicos de la entidad tienen conciencia sobre la
Repetible seguridad de la informacin.
Los temas de seguridad y privacidad de la informacin se tratan en los
comits del modelo integrado de gestin.
La entidad cuenta con un plan de diagnstico para IPv6.
La Entidad ha realizado un diagnstico que le permite establecer el
estado actual de la seguridad de la informacin.
La Entidad ha determinado los objetivos, alcance y lmites de la
seguridad de la informacin.
La Entidad ha establecido formalmente polticas de Seguridad de la
informacin y estas han sido divulgadas.
La Entidad tiene procedimientos formales de seguridad de la
Informacin
Definido
La Entidad tiene roles y responsabilidades asignados en seguridad y
privacidad de la informacin.
La Entidad ha realizado un inventario de activos de informacin
aplicando una metodologa.
La Entidad trata riesgos de seguridad de la informacin a travs de una
metodologa.
Se implementa el plan de tratamiento de riesgos.
La entidad cuenta con un plan de transicin de IPv4 a IPv6.
Se revisa y monitorea peridicamente los activos de informacin de la
Entidad.
Se utilizan indicadores para establecer el cumplimiento de las polticas
de seguridad y privacidad de la informacin.
Administrado
Se evala la efectividad de los controles y medidas necesarias para
disminuir los incidentes y prevenir su ocurrencia en el futuro.
La entidad cuenta con ambientes de prueba para el uso del protocolo
IPv6.
En este nivel se encuentran las entidades en las cuales la seguridad es
Optimizado un valor agregado para la organizacin.
Se utilizan indicadores de efectividad para establecer si la entidad
encuentra retorno a la inversin bajo la premisa de mejora en el
cumplimiento de los objetivos misionales.
La entidad genera trfico en IPv6.
10. PRIVACIDAD DE LA INFORMACIN
Uno de los objetivos del modelo de seguridad y privacidad de la Informacin es el

de garantizar un adecuado manejo de la informacin pblica en poder de las
entidades destinatarias, la cual es uno de los activos ms valiosos para la toma de
decisiones, el modelo propende por un doble enfoque a saber: a nivel de
seguridad marcando un derrotero para que las entidades destinatarias construyan
unas polticas de seguridad sobre la informacin a fin de salvaguardar la misma a
nivel fsico y lgico, de manera que se pueda en todo momento garantizar su
integridad, disponibilidad y autenticidad. En esa lnea el aseguramiento de los
procesos relacionados con los sistemas de informacin debe complementarse con
un enfoque de privacidad para garantizar tanto la proteccin de los derechos a la
intimidad y el buen nombre o la salvaguarda de secretos profesionales,
industriales o de informacin privilegiada de particulares en poder de la
administracin como el acceso a la informacin pblica cuando esta no se
encuentre sometida a reserva. Para ello se requiere dotar al modelo de seguridad
de la informacin de un componente especfico relacionado con la privacidad.
Para que los servidores pblicos entiendan mejor el concepto de privacidad, hay
que tener claro que diferentes procesos relacionados con la recoleccin y uso de
informacin son susceptibles de ser objeto de implementacin de medidas de
privacidad, como puede ser:
La Implementacin de un sistema de informacin que tenga la posibilidad

de recolectar datos personales, tal como un sistema de seguridad a travs
de video vigilancia que capture imgenes, datos biomtricos, etc
El Diseo y ejecucin de un sistema de gestin documental
El Desarrollo de polticas que impliquen la necesidad de recolectar y usar
informacin personal, como por ejemplo polticas de atencin de PQRs
La Transferencia de informacin a terceros (otras entidades o pases).
Para ello la entidad debe tener en cuenta los siguientes temas.
Contar con una herramienta de anlisis sobre impacto en la privacidad
El MSPI es el instrumento que se pone a disposicin de las entidades con el fin de

realizar el anlisis de impacto que en la privacidad de la informacin pueda
presentarse a partir del desarrollo de las funciones administrativas o el desarrollo
misional de cada entidad, teniendo como referente:
El marco legal vigente.

Las necesidades de los clientes internos y externos de la entidad.
La identificacin de los posibles problemas recurrentes relacionados con la
privacidad.
Descripcin de los flujos de informacin

La descripcin de los flujos de informacin sirve para saber qu informacin est
siendo recolectada, con qu propsito, cmo, en qu cantidad y si la misma es
objeto de divulgacin.
La fase de diagnstico de privacidad puede servir como insumo al poder identificar

qu informacin se tiene, dnde y en cabeza de quin. Este ejercicio tiene que
ser complementado con la documentacin de los procesos relacionados con
gestin de la informacin que la entidad haya levantado, para poder hacer una
valoracin sobre la circulacin de la informacin, identificando que en la misma no
se afecten derechos de los titulares de informacin o se ponga en riesgo su
privacidad.
Identificar los riesgos de privacidad

Los riesgos en relacin con la privacidad pueden ser de varios tipos:
En relacin con la informacin personal de los individuos

Se expone informacin clasificada (datos personales no pblicos) sin
que medie autorizacin para ello.
Uso de sistemas de informacin o aplicaciones en la interaccin con los
ciudadanos que pueden ser intrusivos sobre su privacidad sin advertir
previamente a los usuarios sobre ello (geolocalizacin)
Informacin que permanece en poder de la entidad por ms tiempo de la
vigencia que tiene la base de datos o en contra del ejercicio de derecho
de supresin por parte del titular-ciudadano.
En relacin con la informacin de usuarios institucionales

Se divulga informacin que puede ser clasificada como secreto industrial
o que pone en riesgo la imagen corporativa.
En relacin con los sistemas de informacin y programas usados o los

procedimientos y procesos relacionados con la gestin administrativa a
cargo.
Procesos no ajustados al sistema de gestin documental que garanticen
medidas de proteccin sobre la informacin.
Adquisicin de programas que no garanticen un nivel adecuado de
privacidad, por ejemplo que permitan recoleccin masiva de datos sin
conocimiento de los usuarios.
Indebida utilizacin de datos personales en ejercicios de divulgacin
tales como procesos de rendicin de cuentas, publicacin de
informacin en la pgina web, etc.
El anlisis debe reflejarse en una matriz de riesgos ponderando la probabilidad de

su ocurrencia (ejemplo: baja-intermedia-alta) y el impacto que puede generar su
causacin (se sugiere utilizar una tabla numrica, por ejemplo - 1 ningn impacto a
10 impacto considerable).
La implementacin del componente de privacidad sigue el mismo ciclo de

operacin adoptado para seguridad de la informacin consistente en cinco fases o
etapas as: diagnstico, planeacin, implementacin, gestin y mejora continua.
Planificacion
DIAGNSTICO Mejora Continua Implementacin
Evaluacion de
Desempeo
10.1 Fase Diagnostico
En esta fase es necesario que las entidades identifiquen cmo se est

garantizando la privacidad sobre todo el ciclo de la informacin que tienen en su
poder verificando la implantacin o no de medidas que den cumplimiento a los
requerimientos de las normas sobre proteccin de datos personales y que,
adicionalmente contribuya a identificar la informacin pblica sometida a reserva o
clasificada en los trminos de la Ley.
Para ello se pone a disposicin de las entidades, el instrumento de diagnstico y

seguimiento a la implementacin. A travs del diligenciamiento de este
instrumento se podr conocer la realidad de la informacin relacionada con el
manejo de los activos de la informacin que reposen en bancos de datos o
archivos y a partir de all determinar las medidas a nivel procedimental que deben
adelantar las entidades para otorgar un nivel adecuado de proteccin a esta
informacin.
Tabla 7 - Metas, Resultados e Instrumentos de la Fase de Diagnostico
Diagnostico
Instrumentos
Metas Resultados
MSPI MRAE
Realizar el diagnstico de las condiciones en

que se encuentran los activos de informacin
Diagnostico administrados por la entidad. Herramienta de diagnstico.
Diligenciamiento de la herramienta.
Documento con el resultado del diagnstico

realizado por la entidad con la clasificacin y
distincin de los activos de informacin
teniendo en cuenta la informacin con datos
personales y aquellos que no lo son
identificando la criticidad de la informacin
clasificada o reservada.
Con el resultado del diagnstico se puede contar con un insumo frente a la

identificacin de aquella informacin que debe ser manejada como privada
(clasificada en los trminos de la Ley) para a partir de all incorporar las medidas
de seguridad proporcionales a su naturaleza como los procedimientos que lleven
al cumplimiento de la normatividad de proteccin de datos, transparencia y acceso
a la informacin pblica soportado todo ello en la incorporacin de un sistema de
privacidad por diseo que responda a la realidad presupuestal, humana y tcnica
de cada entidad.
Para construir los instrumentos de gestin de la informacin pblica, las entidades

pueden remitirse a la Gua sobre Instrumentos de Gestin de la Informacin
Pblica de la Secretara de Transparencia de la Presidencia de la Repblica.
10.2 Fase Planificacin
En esta segunda etapa se debe trazar la estrategia con el objetivo de organizar el

trabajo adelantado por la entidad a partir de las caractersticas recogidas en la
fase de diagnstico, para acercarlas a un nivel de cumplimiento adecuado para
salvaguardar la informacin privada y de manera concomitante responder a los
retos de disponibilidad a la informacin pblica por parte de la ciudadana, as
como para ajustar los roles del personal designado para cumplir con las
responsabilidades de seguridad y privacidad de la informacin.
Para ello deben ajustarse las polticas, los procesos y procedimientos ya definidos
en el modelo de seguridad con el fin de incorporar la privacidad con el alcance
mencionado.
Tabla 8 - Metas, Resultados e Instrumentos de la Fase de Planificacin

Planificacin
Instrumentos
Metas Resultados
MSPI MRAE
Documento con la poltica de privacidad,
debidamente aprobada por la alta direccin y
socializada al interior de la entidad.
Manual de polticas de seguridad y privacidad

de la informacin, aprobada por la alta
direccin y socializada al interior de la entidad. Herramienta de diagnstico.
Gua No 4 - Roles y
Documento con el plan de gestin de la Responsabilidades de Seguridad y
Planificacin
privacidad sobre la informacin, aprobado por Privacidad de la Informacin.
la alta direccin de la entidad. Gua No 2 Poltica General.
Definicin de roles en relacin con la

Informacin.
Procedimientos de privacidad.
Plan de capacitacin al interior de la entidad
10.3 Fase de Implementacin
En esta fase se deben ejecutar las acciones trazadas en la etapa previa de

planeacin de manera que la entidad disee un modelo de privacidad que le
permita cumplir con los mnimos legales y generar una poltica privacidad que le
permita la correcta gestin de la informacin.
De esta manera se da cumplimiento normativo, como: registro de bases de

datos en el RNBD, ndice de informacin clasificado y reservado revisado,
procedimiento interno ajustado a la gestin de la privacidad de la informacin
diseada.
Tabla 9 - Metas, Resultados e Instrumentos de la Fase de Implementacin

Implementacin
Instrumentos
Metas Resultados
MSPI MRAE
Documento con los riesgos contra la
privacidad identificados y las medidas de
solucin adoptadas a partir de la
implementacin del plan de gestin de la
privacidad de la informacin Herramienta de Diagnstico.
Gua No 7 Gestion de Riesgos.
Implementacin
Documento que evidencie el registro de las
Bases de datos,
Documento con el ndice de informacin

clasificada, reservada, revisada y sus
procedimientos ajustados
10.4 Fase de Evaluacin del desempeo
Una vez implementadas las anteriores actividades el modelo de privacidad se

evala, para medir la efectividad de las acciones tomadas a travs de los
indicadores definidos en la fase de implementacin que debe incluir la correcta
interaccin entre el MSPI y la aplicacin de la Ley de Transparencia y Acceso a la
Informacin Pblica.
Tabla 9 - Metas, Resultados e Instrumentos de la Fase de Evaluacin de

Desempeo
Evaluacion de Desempeo
Instrumentos
Metas Resultados
MSPI MRAE
Documento con los resultados del plan de
seguimiento
Documento con el Plan de auditora interna y Gua No 16 Evaluacin del

resultados revisado y aprobado por el Comit Desempeo.
Evaluacin del Gua No 15 Auditoria.
de Gestin Institucional o el que haga sus
desempeo
veces Gua No 14 Plan de Comunicacin,
sensibilizacin y capacitacin.
Comunicacin de los indicadores al pblico a
travs de la rendicin de cuentas, informe a la
PGN y al Congreso de la Repblica.
10.5 Fase de Mejora Continua
Una vez se tengan los resultados del componente de evaluacin del desempeo
se toman los resultados obtenidos y se preparan los correctivos necesarios que
permitan a la misma crecer en el nivel de responsabilidad demostrada.
Tabla 10 - Metas, Resultados e Instrumentos de la Fase de Mejora Continua

Mejora Continua
Instrumentos
Metas Resultados
MSPI MRAE
Documento con los resultados del plan de
seguimiento
Documento con los resultados del plan de Gua No 16 Evaluacin del
mejoramiento revisado y aprobado por el Desempeo.
Mejora Continua
Comit de Gestin Institucional o el que haga Gua No 17 - Mejora Continua.
sus veces.
Documento con el consolidado de las
auditorias.
11. ADOPCIN DEL PROTOCOLO IPv6
En el presente capitulo se relacionan las fases para el proceso de transicin del

protocolo IPv4 a IPv6 que orientar a las entidades del gobierno y a la sociedad en
general en el anlisis, la planeacin y la implementacin del protocolo IPv6.
Pruebas de Planeacin
funcionalidad
Implementacin
Figura 8 - Fases del proceso de transicin del protocolo IPv4 al IPv6
11.1 FASE DE PLANEACIN
En esta fase, se debe definir el plan y la estrategia de transicin de IPv4 a IPv6, en

procura de los resultados que permitan dar cumplimiento con la adopcin del
nuevo protocolo.
En la Tabla No 10 se describen las metas, entregables e instrumentos que pueden
ser utilizados para cumplir esta actividad, de conformidad con la Gua de
Transicin de IPV4 a IPV6 para Colombia.
Tabla 11 - Metas, Resultados e Instrumentos de la Fase de Planeacin

Planeacion
Instrumentos
Metas Resultados
MSPI MRAE
Plan de diagnstico que debe
contener los siguientes
componentes: Inventario de TI
(Hardware y software) de cada
Entidad diagnosticada, Informe de
la Infraestructura de red de
comunicaciones, recomendaciones
para adquisicin de elementos de
comunicaciones , de cmputo y
almacenamiento con el
cumplimiento de IPv6, plan de Gua No 20 Transicin IPv4 a
direccionamiento en IPv6, plan de IPv6.
Plan y manejo de excepciones, definiendo
estrategia de las acciones necesarias en cada Gua No 19 Aseguramiento
transicin de caso particular con aquellos del protocolo IPv6.
IPv4 a IPv6. elementos de hardware y software
(aplicaciones y servicios) que sean Circular 002 de 2011 del
incompatibles con IPv6, Informe de MinTIC.
preparacin (Readiness) de los
sistemas de comunicaciones, bases
de datos y aplicaciones.
Documento que define la estrategia

de para la implementacin y
aseguramiento del protocolo IPv6 en
concordancia con la poltica de
seguridad de las entidades.
11.2 FASE DE IMPLEMENTACIN
En esta fase se realizan actividades tales como habilitacin del direccionamiento

de IPv6, montaje, ejecucin y correccin de configuraciones para pruebas piloto,
activar las polticas de seguridad de IPv6, validar la funcionalidad de los servicios y
aplicaciones de las entidades, entre otras.
En la Tabla No 12 se describen las metas, entregables e instrumentos que pueden

ser utilizados para cumplir esta actividad, de conformidad con la Gua de
Transicin de IPV4 a IPV6 para Colombia
Tabla 12 - Metas, Resultados e Instrumentos de la Fase de Implementacin.

Implementacin
Instrumentos
Metas Resultados
MSPI MRAE
Implementaci Gua No 20 Gua Transicin

Documento con el informe de la de IPv4 a IPv6 para Colombia
n del plan y implementacin del plan y la
estrategia de estrategia de transicin de IPv4 a
transicin de Gua No 19 - Gua de
IPv6, revisado y aprobado por la alta
IPv4 a IPv6. Aseguramiento del Protocolo
Direccin.
IPv6.
11.3 FASE PRUEBAS DE FUNCIONALIDAD
En esta fase se hacen pruebas de funcionalidad y/o monitoreo de IPv6, en

sistemas de informacin, de almacenamiento, de comunicaciones y servicios;
frente a las polticas de seguridad perimetral, de servidores de cmputo, equipos
de comunicaciones, de almacenamiento, entre otros. Tener en cuenta que se debe
elaborar un inventario final de servicios y sistemas de comunicaciones, bajo el
nuevo esquema de funcionamiento de IPv6.
En la Tabla 13 se describen las metas, entregables e instrumentos que pueden ser

utilizados para cumplir esta actividad, de conformidad con la Gua de Transicin
de IPV4 a IPV6 para Colombia.
Tabla 13 - Metas, Resultados e Instrumentos de la Fase de Pruebas de
Funcionalidad.
Pruebas de Funcionalidad
Instrumentos
Metas Resultados
MSPI MRAE
Documento con los cambios
detallados de las configuraciones
realizadas, previo al anlisis de
funcionalidad realizado en la fase II
Plan de de Implementacin.
Gua No 20 Gua Transicin
pruebas de de IPv4 a IPv6 para Colombia
Acta de cumplimiento a
funcionalidad
satisfaccin de la Entidad con
de IPv4 a Gua No 19 - Gua de
respecto al funcionamiento de los
IPv6. Aseguramiento del Protocolo
servicios y aplicaciones que fueron
IPv6.
intervenidos durante la fase II de la
implementacin.
Documento de inventario final de la

infraestructura de TI sobre el nuevo
protocolo IPv6.
12. PLAZOS
Los plazos para la implementacin de las actividades se establecieron para el

Manual de Gobierno en Lnea, y a travs del Decreto 1078 de 2015, en el Artculo
10. Plazos. Los sujetos obligados debern implementar las actividades
establecidas en el Manual de Gobierno en Lnea dentro de los siguientes plazos:
12.1 Sujetos Obligados del Orden Nacional
Componente/Ao 2015 2016 2017 2018 2019 2020

TIC para ser servicios 90% 100% Mantener Mantener Mantener Mantener
100% 100% 100% 100%
TIC para Gobierno abierto 90% 100% Mantener Mantener Mantener Mantener
100% 100% 100% 100%
TIC para la Gestin 25% 50% 80% 100% Mantener Mantener
100% 100%
Seguridad y Privacidad 40% 60% 80% 100% Mantener Mantener
de la Informacin 100% 100%
12.2 Sujetos Obligados del Orden Territorial

A. Gobernaciones de categora Especial y Primera; alcaldas de categora
Especial, y dems sujetos obligados de la administracin publica en el mismo
nivel.
B. Gobernaciones de categora segunda, tercera y cuarta; alcaldas de categora

primera, segunda y tercera y dems sujetos obligados de la Administracin
Pblica en el mismo nivel.
C. Alcaldas de categora cuarta, quinta y sexta y dems sujetos obligados de la

Administracin Pblica en el mismo nivel.
Para las entidades agrupadas en A, B y C los plazos sern los siguientes:
Entidades A (%)
2015
2016
2017
2018
2019
2020
Componente/Ao
Mantener Mantener Mantener

TIC para ser servicios 70% 90% 100%
100% 100% 100%
TIC para Gobierno abierto 80% 95% 100%
100% 100% 100%
Mantener Mantener
TIC para la Gestin 20% 45% 80% 100%
100% 100%
Seguridad y Privacidad de la Mantener Mantener

35% 50% 80% 100%
Informacin 100% 100%
Entidades B (%)
2015
2016
2017
2018
2019
2020
Componente/Ao

100% 100% 100%
100% 100% 100%
TIC para la Gestin 10% 30% 50% 65% 80% 100%
Seguridad y Privacidad de la
10% 30% 50% 65% 80% 100%
Informacin
Entidades C (%)
2015
2016
2017
2018
2019
2020
Componente/Ao

100% 100% 100%
100% 100% 100%
TIC para la Gestin 10% 30% 50% 65% 80% 100%
Seguridad y Privacidad de la
10% 30% 50% 65% 80% 100%
Informacin
12.3 Guas Modelo de Seguridad y Privacidad de la Informacin
Los siguientes documentos se diseados para un mejor entendimiento de las

entidades en la implementacin el Modelo de Seguridad y Privacidad de la
Informacin.
Modelo de Seguridad y Privacidad de la Informacin

Instructivo Herramienta de Diagnostico
Herramienta de Diagnostico
Gua Mi pymes
Gua 1 Metodologa de pruebas de efectividad
Gua 2 Poltica General MSPI v1
Gua 3 Procedimientos de Seguridad y Privacidad de la Informacin
Gua 4 Roles y responsabilidades de seguridad y privacidad de la
informacin
Gua 5 Gestin de Activos
Gua 6 Gestin Documental
Gua 7 Gestin de Riesgos
Gua 8 Controles de Seguridad
Gua 9 Indicadores Gestin SI
Gua 10 Continuidad de TI
Gua 11 Impacto Negocio
Gua 12 Seguridad en la Nube
Gua 13 Gua De Evidencia Digital
Gua 14 Plan de comunicacin, sensibilizacin y capacitacin
Gua 15 Auditoria
Gua 16 Evaluacin del Desempeo
Gua 17 Mejora Continua
Gua 18 Lineamientos terminales de reas financieras entidades pblicas
Gua 19 Aseguramiento del protocolo IPV6
Gua 20 Transicin IPv4_IPv6
Gua 21 Gestin de Incidentes
12.4 Guas Marco de Referencia de Arquitectura Empresarial
REFERENCIA LINEAMIENTO DESCRIPCIN
Las instituciones de la administracin pblica deben contar con una

estrategia de TI que est alineada con las estrategias sectoriales, el Plan
Entendimiento Nacional de Desarrollo, los planes sectoriales, los planes decenales -
LI.ES.01
estratgico - LI.ES.01 cuando existan- y los planes estratgicos institucionales. La estrategia de
TI debe estar orientada a generar valor y a contribuir al logro de los
objetivos estratgicos.
Cada sector e institucin, mediante un trabajo articulado, debe contar con
una Arquitectura Empresarial que permita materializar su visin
Definicin de la
estratgica utilizando la tecnologa como agente de transformacin. Para
LI.ES.02 Arquitectura
ello, debe aplicar el Marco de Referencia de Arquitectura Empresarial para
Empresarial - LI.ES.02
la gestin de TI del pas, teniendo en cuenta las caractersticas
especficas del sector o la institucin.
La direccin de Tecnologas y Sistemas de la Informacin o quien haga
sus veces debe identificar y definir las polticas y estndares que faciliten
la gestin y la gobernabilidad de TI, contemplando por lo menos los
Polticas y estndares
siguientes temas: seguridad, continuidad del negocio, gestin de
para la gestin y
LI.ES.06 informacin, adquisicin, desarrollo e implantacin de sistemas de
gobernabilidad de TI -
informacin, acceso a la tecnologa y uso de las facilidades por parte de
LI.ES.06
los usuarios. As mismo, se debe contar con un proceso integrado entre
las instituciones del sector que permita asegurar el cumplimiento y
actualizacin de las polticas y estndares de TI.
Plan de comunicacin La direccin de Tecnologas y Sistemas de la Informacin o quien haga
LI.ES.07 de la estrategia de TI - sus veces debe definir el plan de comunicacin de la estrategia, las
LI.ES.07 polticas, los proyectos, los resultados y los servicios de TI.
Participacin en
sus veces debe participar de forma activa en la concepcin, planeacin y
proyectos con
LI.ES.08 desarrollo de los proyectos de la institucin que incorporen componentes
componentes de TI -
de TI. As mismo, debe asegurar la conformidad del proyecto con los
LI.ES.08
lineamientos de la Arquitectura Empresarial definidos para la institucin.
Control de los
sus veces debe realizar de manera peridica el seguimiento y control de la
LI.ES.09 recursos financieros -
ejecucin del presupuesto y el plan de compras asociado a los proyectos
LI.ES.09
estratgicos del PETI.
sus veces debe ser la responsable de formular, administrar, ejecutar y
hacer seguimiento de las fichas de los proyectos de inversin requeridos
Gestin de proyectos
LI.ES.10 para llevar a cabo la implementacin de la Estrategia TI. El proceso de
de inversin - LI.ES.10
gestin de proyectos de inversin debe cumplir con los lineamientos que
para este efecto establezca el Departamento Nacional de Planeacin
(DNP).
Evaluacin de la La direccin de Tecnologas y Sistemas de la Informacin o quien haga
gestin de la sus veces debe realizar de manera peridica la evaluacin de la gestin
LI.ES.12
estrategia de TI - de la Estrategia TI, para determinar el nivel de avance y cumplimiento de
LI.ES.12 las metas definidas en el PETI.
Tablero de indicadores sus veces debe contar con un tablero de indicadores sectorial y por
LI.ES.13
- LI.ES.13 institucin, que permita tener una visin integral de los avances y
resultados en el desarrollo de la Estrategia TI.
sus veces debe definir e implementar un esquema de Gobierno TI que
Alineacin del
estructure y direccione el flujo de las decisiones de TI, que garantice la
LI.GO.01 gobierno de TI -
integracin y la alineacin con la normatividad vigente, las polticas, los
LI.GO.01
procesos y los servicios del Modelo Integrado de Planeacin y Gestin de
la institucin.
sus veces debe definir y realizar actividades que conduzcan a evaluar,
monitorear y direccionar los resultados de las soluciones de TI para
Conformidad - apoyar los procesos internos de la institucin. Debe adems tener un plan
LI.GO.03
LI.GO.03 especfico de atencin a aquellos procesos que se encuentren dentro de
la lista de no conformidad del marco de las auditoras de control interno y
externo de gestin, a fin de cumplir con el compromiso de mejoramiento
continuo de la administracin pblica de la institucin.
Cadena de Valor de TI sus veces debe implementar el macro-proceso de gestin de TI, segn los
LI.GO.04
- LI.GO.04 lineamientos del Modelo Integrado de Planeacin y Gestin de la
institucin, teniendo en cuenta el Modelo de gestin estratgica de TI.
Capacidades y
sus veces debe definir, direccionar, evaluar y monitorear las capacidades
LI.GO.05 recursos de TI -
disponibles y las requeridas de TI, las cuales incluyen los recursos y el
LI.GO.05
talento humano necesarios para poder ofrecer los servicios de TI.
sus veces debe definir los criterios y mtodos que direccionen la toma de
decisiones de inversin en Tecnologas de la Informacin (TI), buscando
el beneficio econmico y de servicio de la institucin. Para todos los
proyectos en los que se involucren TI, se deber realizar un anlisis del
Criterios de adopcin
costo total de propiedad de la inversin, en el que se incorporen los costos
LI.GO.07 y de compra de TI -
de los bienes y servicios, los costos de operacin, el mantenimiento, el
LI.GO.07
licenciamiento, el soporte y otros costos para la puesta en funcionamiento
de los bienes y servicios por adquirir. Este estudio debe realizarse para
establecer los requerimientos de financiacin del proyecto. Debe
contemplar los costos de capital (CAPEX) y los costos de operacin
(OPEX).

sus veces debe establecer la relacin costo-beneficio y justificar la
inversin de los proyectos de TI. Para establecer el retorno de la inversin,
se deber estructurar un caso de negocio para el proyecto, con el fin de
Retorno de la
asegurar que los recursos pblicos se utilicen para contribuir al logro de
LI.GO.08 inversin de TI -
beneficios e impactos concretos de la institucin. Debido a la imposibilidad
LI.GO.08
de obtener retorno monetario en algunos casos, ya que se trata de
gestiones sin nimo de lucro, los beneficios deben contemplar resultados
de mejoramiento del servicio, de la oportunidad, de la satisfaccin del
ciudadano y del bienestar de la poblacin, entre otros.
sus veces debe liderar la planeacin, ejecucin y seguimiento a los
Liderazgo de proyectos de TI. En aquellos casos en que los proyectos estratgicos de la
LI.GO.09 proyectos de TI - institucin incluyan componentes de TI y sean liderados por otras reas.
LI.GO.09 La direccin de Tecnologas y Sistemas de la Informacin o quien haga
sus veces, deber liderar el trabajo sobre el componente de TI conforme
con los lineamientos de la Arquitectura Empresarial de la institucin.
El gerente de un proyecto, por parte de la direccin de Tecnologas y
Sistemas de la Informacin o quien haga sus veces, deber evaluar,
direccionar y monitorear lo relacionado con TI, incluyendo como mnimo
Gestin de proyectos los siguientes aspectos: alcance, costos, tiempo, equipo humano,
LI.GO.10
de TI - LI.GO.10 compras, calidad, comunicacin, interesados, riesgos e integracin. Desde
la estructuracin de los proyectos de TI y hasta el cierre de los mismos, se
deben incorporar las acciones necesarias para gestionar los cambios que
surjan.
El gerente de un proyecto, por parte de la direccin de Tecnologas y
Indicadores de gestin Sistemas de la Informacin o quien haga sus veces, debe monitorear y
LI.GO.11 de los proyectos de TI hacer seguimiento a la ejecucin del proyecto, por medio de un conjunto
- LI.GO.11 de indicadores de alcance, tiempo, costo y calidad que permitan medir la
eficiencia y efectividad del mismo.
Evaluacin del La direccin de Tecnologas y Sistemas de la Informacin o quien haga
desempeo de la sus veces debe realizar el monitoreo y evaluacin de desempeo de la
LI.GO.12
gestin de TI - gestin de TI a partir de las mediciones de los indicadores del macro-
LI.GO.12 proceso de Gestin TI.
sus veces debe identificar reas con oportunidad de mejora, de acuerdo
Mejoramiento de los con los criterios de calidad establecidos en el Modelo Integrado de
LI.GO.13
procesos - LI.GO.13 Planeacin y Gestin de la institucin, de modo que pueda focalizar
esfuerzos en el mejoramiento de los procesos de TI para contribuir con el
cumplimiento de las metas institucionales y del sector.
Gestin de sus veces debe administrar todos los proveedores y contratos para el
LI.GO.14 proveedores de TI - desarrollo de los proyectos de TI. Durante el proceso contractual se debe
LI.GO.14 aplicar un esquema de direccin, supervisin, seguimiento, control y
recibo a satisfaccin de los bienes y servicios contratados.
Transferencia de
sus veces debe gestionar la transferencia de conocimiento asociado a los
informacin y
LI.GO.15 bienes y servicios contratados por la institucin. Adems debe contar con
conocimiento -
planes de formacin y de transferencia de conocimiento en caso de
LI.GO.15
cambios del recurso humano interno.
Responsabilidad y
sus veces debe definir las directrices y liderar la gestin de los
gestin de
LI.INF.01 Componentes de informacin durante su ciclo de vida. As mismo, debe
Componentes de
trabajar en conjunto con las dependencias para establecer acuerdos que
informacin - LI.INF.01
garanticen la calidad de la informacin.
Plan de calidad de los sus veces debe contar con un plan de calidad de los componentes de
LI.INF.02 componentes de informacin que incluya etapas de aseguramiento, control e inspeccin,
informacin - LI.INF.02 medicin de indicadores de calidad, actividades preventivas, correctivas y
de mejoramiento continuo de la calidad de los componentes.
Canales de acceso a
sus veces debe garantizar los mecanismos que permitan el acceso a los
LI.INF.09 los Componentes de
servicios de informacin por parte de los diferentes grupos de inters,
contemplando caractersticas de accesibilidad, seguridad y usabilidad.
Mecanismos para el
sus veces debe impulsar el uso de su informacin a travs de
uso de los
LI.INF.10 mecanismos sencillos, confiables y seguros, para el entendimiento,
Componentes de
anlisis y aprovechamiento de la informacin por parte de los grupos de
inters.
Acuerdos de sus veces debe establecer los Acuerdos de Nivel de Servicio (ANS) con
LI.INF.11 intercambio de las dependencias o instituciones para el intercambio de la informacin de
Informacin - LI.INF.11 calidad, que contemplen las caractersticas de oportunidad, disponibilidad
y seguridad que requieran los Componentes de informacin.
Hallazgos en el acceso
sus veces debe generar mecanismos que permitan a los consumidores de
LI.INF.13 a los Componentes de
los Componentes de informacin reportar los hallazgos encontrados
durante el uso de los servicios de informacin.
Proteccin y
sus veces debe incorporar, en los atributos de los Componentes de
privacidad de
LI.INF.14 informacin, la informacin asociada con los responsables y polticas de la
Componentes de
proteccin y privacidad de la informacin, conforme con la normativa de
proteccin de datos de tipo personal y de acceso a la informacin pblica.
sus veces debe definir los criterios necesarios para asegurar la
Auditora y trazabilidad y auditora sobre las acciones de creacin, actualizacin,
trazabilidad de modificacin o borrado de los Componentes de informacin. Estos
LI.INF.15
Componentes de mecanismos deben ser considerados en el proceso de gestin de dicho
informacin - LI.INF.15 Componentes. Los sistemas de informacin deben implementar los
criterios de trazabilidad y auditora definidos para los Componentes de
informacin que maneja.
Definicin estratgica
sus veces debe definir la arquitectura de los sistemas de informacin
LI.SIS.01 de los sistemas de
teniendo en cuenta las relaciones entre ellos y la articulacin con los otros
informacin - LI.SIS.01
dominios del Marco de Referencia.
Ambientes La direccin de Tecnologas y Sistemas de la Informacin o quien haga
independientes en el sus veces debe disponer de ambientes independientes y controlados
LI.SIS.11 ciclo de vida de los destinados para desarrollo, pruebas, operacin, certificacin y
sistemas de capacitacin de los sistemas de informacin, y debe aplicar mecanismos
informacin - LI.SIS.11 de control de cambios de acuerdo con las mejores prcticas.
En el diseo de sus sistemas de informacin, la direccin de Tecnologas
Seguridad y privacidad y Sistemas de la Informacin o quien haga sus veces debe incorporar
LI.SIS.22 de los sistemas de aquellos componentes de seguridad para el tratamiento de la privacidad
informacin - LI.SIS.22 de la informacin, la implementacin de controles de acceso, as como los
mecanismos de integridad y cifrado de la informacin.
Auditora y En el diseo de sus sistemas de informacin, la direccin de Tecnologas
trazabilidad de los y Sistemas de la Informacin o quien haga sus veces debe tener en
LI.SIS.23
sistemas de cuenta mecanismos que aseguren el registro histrico para poder
informacin - LI.SIS.23 mantener la trazabilidad de las acciones realizadas por los usuarios.
sus veces debe garantizar que sus Servicios Tecnolgicos estn
Continuidad y
respaldados con sistemas de alimentacin elctrica, mecanismos de
disponibilidad de los
LI.ST.05 refrigeracin, soluciones de deteccin de incendios, sistemas de control
Servicios tecnolgicos
de acceso y sistemas de monitoreo de componentes fsicos que aseguren
- LI.ST.05
la continuidad y disponibilidad del servicio, as como la capacidad de
atencin y resolucin de incidentes.
Alta disponibilidad de sus veces debe implementar capacidades de alta disponibilidad que
LI.ST.06 los Servicios incluyan balanceo de carga y redundancia para los Servicios Tecnolgicos
tecnolgicos - LI.ST.06 que afecten la continuidad del servicio de la institucin, las cuales deben
ser puestas a prueba peridicamente.
Acuerdos de Nivel de
LI.ST.08 sus veces debe velar por el cumplimiento de los Acuerdos de Nivel de
Servicios - LI.ST.08
Servicio (ANS) para los Servicios Tecnolgicos.
Planes de La direccin de Tecnologas y Sistemas de la Informacin o quien haga
LI.ST.10 mantenimiento - sus veces debe implementar un plan de mantenimiento preventivo sobre
LI.ST.10 toda la infraestructura y los Servicios Tecnolgicos.
Gestin preventiva de sus veces debe asegurarse de que la infraestructura que soporta los
LI.ST.12 los Servicios Servicios Tecnolgicos de la institucin cuente con mecanismos de
tecnolgicos - LI.ST.12 monitoreo para generar alertas tempranas ligadas a los umbrales de
operacin que tenga definidos.
Respaldo y sus veces debe contar con un proceso peridico de respaldo de la
recuperacin de los configuracin de sus Servicios Tecnolgicos, as como de la informacin
LI.ST.13
Servicios tecnolgicos almacenada en la infraestructura tecnolgica. Este proceso debe ser
- LI.ST.13 probado peridicamente y debe permitir la recuperacin ntegra de los
Servicios Tecnolgicos.
Anlisis de sus veces debe implementar el anlisis de vulnerabilidades de la
LI.ST.14 vulnerabilidades - infraestructura tecnolgica, a travs de un plan de pruebas que permita
LI.ST.14 identificar y tratar los riesgos que puedan comprometer la seguridad de la
informacin o que puedan afectar la prestacin de un servicio de TI.
Monitoreo de
sus veces debe implementar controles de seguridad para gestionar los
seguridad de
LI.ST.15 riesgos asociados al acceso, trazabilidad, modificacin o prdida de
infraestructura
informacin que atenten contra la disponibilidad, integridad y
tecnolgica - LI.ST.15
confidencialidad de la informacin.
La institucin debe implementar un programa de correcta disposicin final
Tecnologa verde - de los residuos tecnolgicos, incluyendo las opciones de reutilizacin a
LI.ST.16
LI.ST.16 travs de otros programas institucionales con los que cuente el gobierno
nacional.
sus veces es la responsable de definir la estrategia de Uso y Apropiacin
Estrategia de Uso y
LI.UA.01 de TI, articulada con la cultura organizacional de la institucin, y de
apropiacin - LI.UA.01
asegurar que su desarrollo contribuya con el logro de los resultados en la
implementacin de los proyectos de TI.
Matriz de interesados - sus veces debe contar con una matriz de caracterizacin que identifique,
LI.UA.02
LI.UA.02 clasifique y priorice los grupos de inters involucrados e impactados por
los proyectos de TI.
sus veces es la responsable de asegurar el involucramiento y compromiso
Involucramiento y
LI.UA.03 para llamar a la accin de los grupos de inters, partiendo desde la alta
compromiso - LI.UA.03
direccin hacia al resto de los niveles organizacionales, de acuerdo con la
matriz de caracterizacin.
Esquema de sus veces es la responsable de identificar y establecer un esquema de
LI.UA.04
incentivos - LI.UA.04 incentivos que, alineado con la estrategia de Uso y Apropiacin, movilice a
los grupos de inters para adoptar favorablemente los proyectos de TI.
Plan de formacin -
LI.UA.05 sus veces es la responsable de asegurar que el plan de formacin de la
LI.UA.05
institucin incorpora adecuadamente el desarrollo de las competencias
internas requeridas en TI.

sus veces es la responsable de elaborar un plan de gestin del cambio
Preparacin para el
LI.UA.06 para facilitar el Uso y Apropiacin de los proyectos de TI. Este plan debe
cambio - LI.UA.06
incluir las prcticas, procedimientos, recursos y herramientas que sean
necesarias para lograr el objetivo.
Evaluacin del nivel de
sus veces debe contar con indicadores de Uso y Apropiacin para evaluar
LI.UA.07 adopcin de TI -
el nivel de adopcin de la tecnologa y la satisfaccin en su uso, lo cual
LI.UA.07
permitir desarrollar acciones de mejora y transformacin.
Gestin de impactos -
LI.UA.08 sus veces es la responsable de administrar los efectos derivados de la
LI.UA.08
implantacin de los proyectos de TI.
Acciones de mejora - sus veces debe disear acciones de mejora y transformacin a partir del
LI.UA.10
LI.UA.10 monitoreo de la implementacin de su estrategia de Uso y Apropiacin y
de la aplicacin de mecanismos de retroalimentacin.

Modelo de Seguridad Privacidad

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Modelo de Seguridad Privacidad

Uploaded by

Copyright:

Available Formats

Modelo de Seguridad y

VERSIN FECHA CAMBIOS INTRODUCIDOS

1.0.0 15/12/2010 Versin inicial del documento

6.1 OBJETIVO GENERAL ................................................................................. 18

6.2 OBJETIVOS ESPECFICOS ........................................................................ 18

7. MODELO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN ............. 20

8. DESCRIPCIN DEL CICLO DE OPERACIN ............................................... 21

8.1 FASE DE DIAGNSTICO - ETAPAS PREVIAS A LA IMPLEMENTACIN 22

8.2 FASE DE PLANIFICACIN ......................................................................... 23

Poltica de seguridad y privacidad de la informacin....................................... 26

Polticas de Seguridad y Privacidad de la Informacin. ................................... 26

Procedimientos de Seguridad de la Informacin. ............................................ 26

Roles y Responsabilidades de Seguridad y Privacidad de la Informacin. ..... 26

Inventario de activos de informacin. .............................................................. 27

Integracin del MSPI con el Sistema de Gestin documental. ........................ 27

Identificacin, Valoracin Y Tratamiento de Riesgos. ..................................... 27

Plan de Comunicaciones. ................................................................................ 28

8.3 FASE DE IMPLEMENTACIN..................................................................... 28

Planificacin y Control Operacional. ................................................................ 30

Implementacin del plan de tratamiento de riesgos. ....................................... 30

Indicadores De Gestin. .................................................................................. 31

Plan de Transicin de IPv4 a IPv6. ................................................................. 31

8.4 FASE DE EVALUACIN DE DESEMPEO ............................................... 31

Plan de revisin y seguimiento a la implementacin del MSPI........................ 32

Plan de Ejecucin de Auditorias ...................................................................... 33

8.5 FASE DE MEJORA CONTINUA .................................................................. 34

9. MODELO DE MADUREZ ................................................................................ 36

10. PRIVACIDAD DE LA INFORMACIN ......................................................... 39

Contar con una herramienta de anlisis sobre impacto en la privacidad ........ 40

Descripcin de los flujos de informacin ......................................................... 40

Identificar los riesgos de privacidad ................................................................ 40

10.1 Fase Diagnostico ...................................................................................... 42

10.2 Fase Planificacin ..................................................................................... 43

10.3 Fase de Implementacin........................................................................... 44

10.4 Fase de Evaluacin del desempeo ......................................................... 45

10.5 Fase de Mejora Continua.......................................................................... 46

11. ADOPCIN DEL PROTOCOLO IPv6 .......................................................... 47

11.2 FASE DE IMPLEMENTACIN ................................................................. 48

11.3 FASE PRUEBAS DE FUNCIONALIDAD ............................................... 49

12. PLAZOS ....................................................................................................... 51

12.1 Sujetos Obligados del Orden Nacional ..................................................... 51

12.2 Sujetos Obligados del Orden Territorial .................................................... 51

12.3 Guas Modelo de Seguridad y Privacidad de la Informacin .................... 52

12.4 Guas Marco de Referencia de Arquitectura Empresarial ......................... 53

Todas las referencias a los documentos del Modelo de Seguridad y Privacidad de

Todas las referencias a las polticas, definiciones o contenido relacionado,

Entidades pblicas de orden nacional y territorial, as como proveedores de

Este documento se elabor con la recopilacin de las mejores prcticas,

El Ministerio de Tecnologas de la Informacin y las Comunicaciones - MinTIC, es

La estrategia de Gobierno en Lnea, liderada por el Ministerio TIC, tiene como

La planificacin e implementacin del Modelo de Seguridad y Privacidad de la

El Modelo de Seguridad y Privacidad de la Informacin MSPI, conduce a la

Para el desarrollo del componente de Seguridad y Privacidad de la Informacin,

El Modelo de Seguridad y Privacidad de la Informacin se encuentra alineado con

El presente modelo pretende facilitar la comprensin del proceso de construccin

Finalmente, a nivel metodolgico es importante tener presente que se han incluido

El Ministerio TIC a travs de la Direccin de Estndares y Arquitectura de TI y la

Mediante el aprovechamiento de las TIC y el modelo de seguridad y privacidad de

Acceso a la Informacin Pblica:

Bases de Datos Personales:

Datos Personales Pblicos:

Datos Personales Privados:

Datos Personales Mixtos:

Datos Personales Sensibles: