Professional Documents
Culture Documents
Privacidad de la Informacin
Modelo
HISTORIA
1. DERECHOS DE AUTOR................................................................................... 6
2. AUDIENCIA ....................................................................................................... 7
3. INTRODUCCIN .............................................................................................. 8
4. JUSTIFICACIN ............................................................................................. 10
5. GLOSARIO...................................................................................................... 11
6. OBJETIVOS .................................................................................................... 18
A travs del decreto nico reglamentario 1078 de 2015, del sector de Tecnologas
de Informacin y las Comunicaciones, se define el componente de seguridad y
privacidad de la informacin, como parte integral de la estrategia GEL.
Activo
En relacin con la seguridad de la informacin, se refiere a cualquier
informacin o elemento relacionado con el tratamiento de la misma (sistemas,
soportes, edificios, personas) que tenga valor para la organizacin. (ISO/IEC
27000).
Activo de Informacin:
En relacin con la privacidad de la informacin, se refiere al activo que
contiene informacin pblica que el sujeto obligado genere, obtenga, adquiera,
transforme o controle en su calidad de tal.
Archivo:
Conjunto de documentos, sea cual fuere su fecha, forma y soporte material,
acumulados en un proceso natural por una persona o entidad pblica o
privada, en el transcurso de su gestin, conservados respetando aquel orden
para servir como testimonio e informacin a la persona o institucin que los
produce y a los ciudadanos, o como fuentes de la historia. Tambin se puede
entender como la institucin que est al servicio de la gestin administrativa, la
informacin, la investigacin y la cultura. (Ley 594 de 2000, art 3)
Amenazas
Causa potencial de un incidente no deseado, que puede provocar daos a un
sistema o a la organizacin. (ISO/IEC 27000).
Anlisis de Riesgo
Proceso para comprender la naturaleza del riesgo y determinar el nivel de
riesgo. (ISO/IEC 27000).
Auditora
Proceso sistemtico, independiente y documentado para obtener evidencias de
auditoria y obviamente para determinar el grado en el que se cumplen los
criterios de auditoria. (ISO/IEC 27000).
Autorizacin:
Consentimiento previo, expreso e informado del Titular para llevar a cabo el
Tratamiento de datos personales (Ley 1581 de 2012, art 3)
Ciberseguridad
Capacidad del Estado para minimizar el nivel de riesgo al que estn expuestos
los ciudadanos, ante amenazas o incidentes de naturaleza ciberntica.
(CONPES 3701).
Ciberespacio
Es el ambiente tanto fsico como virtual compuesto por computadores,
sistemas computacionales, programas computacionales (software), redes de
telecomunicaciones, datos e informacin que es utilizado para la interaccin
entre usuarios. (Resolucin CRC 2258 de 2009).
Control
Las polticas, los procedimientos, las prcticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la informacin por
debajo del nivel de riesgo asumido. Control es tambin utilizado como sinnimo
de salvaguarda o contramedida. En una definicin ms simple, es una medida
que modifica el riesgo.
Datos Abiertos:
Son todos aquellos datos primarios o sin procesar, que se encuentran en
formatos estndar e interoperables que facilitan su acceso y reutilizacin, los
cuales estn bajo la custodia de las entidades pblicas o privadas que cumplen
con funciones pblicas y que son puestos a disposicin de cualquier
ciudadano, de forma libre y sin restricciones, con el fin de que terceros puedan
reutilizarlos y crear servicios derivados de los mismos (Ley 1712 de 2014, art
6)
Datos Personales:
Cualquier informacin vinculada o que pueda asociarse a una o varias
personas naturales determinadas o determinables. (Ley 1581 de 2012, art 3).
Declaracin de aplicabilidad
Documento que enumera los controles aplicados por el Sistema de Gestin de
Seguridad de la Informacin SGSI, de la organizacin tras el resultado de los
procesos de evaluacin y tratamiento de riesgos y su justificacin, as como la
justificacin de las exclusiones de controles del anexo A de ISO 27001.
(ISO/IEC 27000).
Derecho a la Intimidad:
Derecho fundamental cuyo ncleo esencial lo constituye la existencia y goce
de una rbita reservada en cada persona, exenta de la intervencin del poder
del Estado o de las intromisiones arbitrarias de la sociedad, que le permite a
dicho individuo el pleno desarrollo de su vida personal, espiritual y cultural
(Jurisprudencia Corte Constitucional).
Privacidad:
En el contexto de este documento, por privacidad se entiende el derecho que
tienen todos los titulares de la informacin en relacin con la informacin que
involucre datos personales y la informacin clasificada que estos hayan
entregado o est en poder de la entidad en el marco de las funciones que a
ella le compete realizar y que generan en las entidades destinatarias del
Manual de GEL la correlativa obligacin de proteger dicha informacin en
observancia del marco legal vigente.
Responsabilidad Demostrada:
Conducta desplegada por los Responsables o Encargados del tratamiento de
datos personales bajo la cual a peticin de la Superintendencia de Industria y
Comercio deben estar en capacidad de demostrarle a dicho organismo de
control que han implementado medidas apropiadas y efectivas para cumplir lo
establecido en la Ley 1581 de 2012 y sus normas reglamentarias.
Responsable del Tratamiento de Datos:
Persona natural o jurdica, pblica o privada, que por s misma o en asocio con
otros, decida sobre la base de datos y/o el Tratamiento de los datos. (Ley 1581
de 2012, art 3).
Riesgo
Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad
para causar una prdida o dao en un activo de informacin. Suele
considerarse como una combinacin de la probabilidad de un evento y sus
consecuencias. (ISO/IEC 27000).
Seguridad de la informacin
Preservacin de la confidencialidad, integridad, y disponibilidad de la
informacin. (ISO/IEC 27000).
Titulares de la informacin:
Personas naturales cuyos datos personales sean objeto de Tratamiento. (Ley
1581 de 2012, art 3)
Trazabilidad
Cualidad que permite que todas las acciones realizadas sobre la informacin o
un sistema de tratamiento de la informacin sean asociadas de modo
inequvoco a un individuo o entidad. (ISO/IEC 27000).
Vulnerabilidad
Debilidad de un activo o control que puede ser explotada por una o ms
amenazas. (ISO/IEC 27000).
Planificacion
Evaluacion de
Desempeo
Identificacin el nivel de
DIAGNSTICO madurez
Levantamiento de
informacin
Instrumentos Alineacin
Metas Resultados
MSPI MRAE
Herramienta de diagnostico
Instructivo para el diligenciamiento de la herramienta
Gua No 1 - Metodologa de Pruebas de Efectividad
Una vez se tenga el resultado del diagnstico inicial y se haya determinado el nivel
de madurez de la entidad se procede al desarrollo de la fase de Planificacin.
Para el desarrollo de esta fase la entidad debe utilizar los resultados de la etapa
anterior y proceder a elaborar el plan de seguridad y privacidad de la informacin
alineado con el objetivo misional de la entidad, con el propsito de definir las
acciones a implementar a nivel de seguridad y privacidad de la informacin, a
travs de una metodologa de gestin del riesgo.
El alcance del MSPI permite a la Entidad definir los lmites sobre los cuales se
implementar la seguridad y privacidad en la Entidad. Este enfoque es por
procesos y debe extenderse a toda la Entidad.
Para desarrollar el alcance y los lmites del Modelo se deben tener en cuenta las
siguientes recomendaciones: Procesos que impactan directamente la consecucin
de objetivos misionales, procesos, servicios, sistemas de informacin, ubicaciones
fsicas, terceros relacionados, e interrelaciones del Modelo con otros procesos.
Entender la Entidad
Necesidades y
Contexto
Contexto dede expectativas de las
la partes interesadas
la Entidad
Entidad Determinar alcance del
MSPI
Liderazgo y
compromiso de la alta
direccin
Liderazgo
Liderazgo Poltica de seguridad
Roles de la Entidad,
responsabilidades y
autoridad
Planificacin
Acciones para abordar
los riesgos y
Planeacin
Planeacin oportunidades
Objetivos y planes para
lograrlos
Recursos
Competencias
Liderazgo
Soporte Sensibilizacin
Comunicacin
Documentacin
1
Figura 3 - Fase de planificacin
1 El contenido de la figura 3 fue tomada de la Norma ISO IEC 27001 Captulos 4, 5, 6, 7, que permite orientar como se
desarrolla la planificacin del MSPI.
LI.ES.09
Manual con las polticas de seguridad y Gua no 2 - Poltica LI.ES.10
Polticas de seguridad privacidad de la informacin, debidamente
General MSPI LI.GO.01
y privacidad de la informacin aprobadas por la alta direccin y socializadas al
LI.GO.04
interior de la Entidad.
LI.GO.07
Gua No 3 - LI.GO.08
Procedimientos, debidamente documentados, LI.GO.09
Procedimientos de seguridad de la Procedimientos de
socializados y aprobados por el comit que LI.GO.10
informacin. Seguridad y Privacidad
integre los sistemas de gestin institucional. LI.INF.01
de la Informacin.
LI.INF.02
Acto administrativo a travs del cual se crea o se LI.INF.09
modifica las funciones del comit gestin LI.INF.10
institucional (o el que haga sus veces), en donde Gua No 4 - Roles y LI.INF.11
Roles y responsabilidades de
se incluyan los temas de seguridad de la responsabilidades de LI.INF.14
seguridad y privacidad de la
informacin en la entidad, revisado y aprobado seguridad y privacidad LI.SIS.22
informacin.
por la alta Direccin, deber designarse quien de la informacin. LI.SIS.23
ser el encargado de seguridad de la LI.SIS.01
informacin dentro de la entidad. LI.ST.05
Documento con la metodologa para LI.ST.06
identificacin, clasificacin y valoracin de LI.ST.09
activos de informacin, validado por el comit de LI.ST.10
seguridad de la informacin o quien haga sus LI.ST.12
veces y revisado y aprobado por la alta LI.ST.13
Gua No 5 - Gestin De
direccin. LI.ST.14
Inventario de activos de Activos
LI.UA.01
informacin. Gua No 20 - Transicin
Matriz con la identificacin, valoracin y LI.UA.02
Ipv4 a Ipv6
clasificacin de activos de informacin. LI.UA.03
LI.UA.04
Documento con la caracterizacin de activos de LI.UA.05
informacin, que contengan datos personales LI.UA.06
Inventario de activos de IPv6
Integracin del MSPI con el Integracin del MSPI, con el sistema de gestin Gua No 6 - Gestion
Sistema de Gestin documental documental de la entidad. Documental
Gua No 20 - Transicin
Plan de diagnstico de IPv4 a Documento con el Plan de diagnstico para la
IPv4 a IPv6
IPv6. transicin de IPv4 a IPv6.
Plan de Comunicaciones.
Este plan ser ejecutado, con el aval de la Alta Direccin, a todas las reas de la
Entidad.
Plan de Tratamiento de
riesgos de seguridad y
Implementacin privacidad de la
informacin
Definicin de Indicadores
de Gestin
2
Figura 4 - Fase de implementacin
2 El contenido de la figura 4 fue tomada de la Norma ISO IEC 27001 Captulo 8, que permite orientar como se desarrolla la
implementacin del MSPI.
LI.ST.13
Documento con el Plan de LI.UA.01
diagnstico para la
transicin de IPv4 a IPv6.
Documento con las estrategias del plan de
Gua No 20 - Transicin de
Plan de Transicin de IPv4 implementacin de IPv6 en la entidad,
IPv4 a IPv6 para Colombia.
a IPv6 aprobado por la Oficina de TI.
Gua No 19
Aseguramiento del
Protocolo IPv6.
Es preciso tener en cuenta que la aplicacin del control sobre los riesgos
detectados deben estar aprobados por el dueo de cada proceso.
Indicadores De Gestin.
La entidad deber definir indicadores que le permitan medir la efectividad, la
eficiencia y la eficacia en la gestin y las acciones implementadas en
seguridad de la informacin.
Las guas de apoyo para esta labor son Gua de Transicin de IPv4 a IPv6
para Colombia y Gua de Aseguramiento del Protocolo IPv6.
Evaluacin de
Auditoria interna
Desempeo
3
Figura 5 - Fase de Evaluacin de desempeo
3 El contenido de la figura 5 fue tomada de la Norma ISO IEC 27001 Captulo 9, que permite orientar como se desarrolla la
evaluacin de desempeo del MSPI.
Revisin de la efectividad de los controles establecidos y su apoyo al
cumplimiento de los objetivos de seguridad.
Revisin de la evaluacin de los niveles de riesgo y riesgo residual
despus de la aplicacin de controles y medidas administrativas.
Seguimiento a la programacin y ejecucin de las actividades de
autoras internas y externas del MSPI.
Seguimiento al alcance y a la implementacin del MSPI.
Seguimiento a los registros de acciones y eventos / incidentes que
podran tener impacto en la eficacia o desempeo de la seguridad de
la informacin al interior de la entidad.
Medicin de los indicadores de gestin del MSPI
Revisiones de acciones o planes de mejora (solo aplica en la
segunda revisin del MSPI)
Acciones correctivas.
Mejoramiento
Continuo
Mejora continua
4 El contenido de la figura 6 fue tomada de la Norma ISO IEC 27001 Captulo 10, que permite orientar como se desarrolla la
fase de Mejoramiento Continuo del MSPI.
En esta fase es importante que la entidad defina y ejecute el plan de mejora
continua con base en los resultados de la fase de evaluacin del desempeo.
Este plan incluye:
Utilizando los insumos anteriores, la entidad puede efectuar los ajustes a los
entregables, controles y procedimientos dentro del MSPI. Estos insumos tendrn
como resultado un plan de mejoramiento y un plan de comunicaciones de mejora
continua, revisados y aprobados por la Alta Direccin de la entidad. La revisin por
la Alta Direccin hace referencia a las decisiones, cambios, prioridades etc.
tomadas en sus comits y que impacten el MSPI.
A continuacin la figura 7, muestra los diferentes niveles que hacen parte del
modelo de madurez.
El esquema que muestra los niveles de madurez del MSPI, busca establecer unos
criterios de valoracin a travs de los cuales se determina el estado actual de la
seguridad de la informacin en una entidad del Estado.
Para que los servidores pblicos entiendan mejor el concepto de privacidad, hay
que tener claro que diferentes procesos relacionados con la recoleccin y uso de
informacin son susceptibles de ser objeto de implementacin de medidas de
privacidad, como puede ser:
Evaluacion de
Desempeo
Diligenciamiento de la herramienta.
Para ello deben ajustarse las polticas, los procesos y procedimientos ya definidos
en el modelo de seguridad con el fin de incorporar la privacidad con el alcance
mencionado.
Procedimientos de privacidad.
Una vez se tengan los resultados del componente de evaluacin del desempeo
se toman los resultados obtenidos y se preparan los correctivos necesarios que
permitan a la misma crecer en el nivel de responsabilidad demostrada.
Pruebas de Planeacin
funcionalidad
Implementacin
Entidades A (%)
2015
2016
2017
2018
2019
2020
Componente/Ao
Entidades B (%)
2015
2016
2017
2018
2019
2020
Componente/Ao
Entidades C (%)
2015
2016
2017
2018
2019
2020
Componente/Ao