Professional Documents
Culture Documents
Gua No. 4
HISTORIA
PG
HISTORIA.......................................................................................................................... 2
TABLA DE CONTENIDO ................................................................................................... 3
1 DERECHOS DE AUTOR ............................................................................................ 4
3 INTRODUCCIN ........................................................................................................ 6
4 PROPSITO .............................................................................................................. 8
5 GLOSARIO ................................................................................................................. 9
6 DEFINICIN DE ROLES Y RESPONSABILIDADES ................................................ 11
6.1 IDENTIFICACIN DE LOS RESPONSABLES ...................................................... 11
6.2 EQUIPO DE GESTIN AL INTERIOR DE CADA UNA DE LAS ENTIDADES ...... 11
6.3 PERFILES Y RESPONSABILIDADES .................................................................. 12
6.3.1 Responsable de Seguridad de la Informacin para la entidad: ................... 12
6.3.2 Equipo del Proyecto: .................................................................................. 15
6.3.3 Comit de seguridad:.................................................................................. 17
1 DERECHOS DE AUTOR
Este documento est elaborado para las entidades pblicas de orden nacional,
entidades pblicas del orden territorial y entidades privadas que deseen una gua
para implementar las polticas planteadas en el Modelo de Seguridad y Privacidad
de la Informacin, as como proveedores de servicios para la estrategia de
Gobierno en Lnea y terceros que deseen adoptar el Modelo de Seguridad y
Privacidad de la Informacin en el marco de la estrategia Gobierno en Lnea.
3 INTRODUCCIN
El siguiente documento puede ser utilizado como gua para la definicin del equipo
responsable de seguridad y privacidad de informacin dentro de las entidades
pblicas, como parte del Modelo de Seguridad y Privacidad de la Informacin de la
estrategia de Gobierno en Lnea, segn lo establecido en el Decreto 1078 de 2015.
5 GLOSARIO
1 Extrado de la RAE
6 DEFINICIN DE ROLES Y RESPONSABILIDADES
El mayor aporte que genera una definicin de roles es que se tendrn establecidas
las tareas que realizar cada uno de los miembros del equipo del MSPI, dejando un
campo muy pequeo a que se presenten imprecisiones en referencia a las
responsabilidades que cada personaje tiene.
Partiendo de este punto, las entidades tendrn asegurado que cada actividad
establecida dentro de la etapa de planeacin del MSPI, tenga un responsable claro
y de igual forma que cada uno de los miembros del equipo responsable de la
ejecucin entiendan claramente sus roles y responsabilidades.
Teniendo en cuenta lo anterior, al final del ejercicio el equipo directivo que lidera la
implementacin del MSPI, debe dar a conocer el perfil y responsabilidades de los
responsables.
DOMINIO RESPONSABILIDADES
* Liderar la gestin de riesgos de seguridad sobre la
gestin de TI y de informacin de la institucin.
* Gestionar el desarrollo e implementacin de
polticas, normas, directrices y procedimientos de
seguridad de gestin de TI e informacin.
* Definir mecanismos de control y seguimiento que
permitan medir el nivel de cumplimiento de
implantacin de las medidas de seguridad.
* Supervisar la respuesta a incidentes, as como la
investigacin de violaciones de la seguridad,
SERVICIOS TECNOLGICOS
ayudando con las cuestiones disciplinarias y legales
necesarias.
* Trabajar con la alta direccin y los dueos de los
procesos misionales dentro de la entidad en el
desarrollo de los planes de recuperacin de
desastres y los planes de continuidad del negocio.
* Realizar y/o supervisar pruebas de vulnerabilidad
sobre los diferentes servicios tecnolgicos para
detectar vulnerabilidades y oportunidades de mejora
a nivel de seguridad de la informacin.
* Definir la estrategia informtica que permita lograr
los objetivos y minimizar de los riesgos de la
institucin. Es el encargado de guiar la prestacin
ESTRATEGIA TI
del servicio y la adquisicin de bienes y servicios
relacionados y requeridos para garantizar la
seguridad de la informacin.
* Seguir y controlar la estrategia de TI, que permita
el logro de los objetivos y la minimizacin de los
riesgos del componente de TI. Encargado
GOBIERNO TI monitorear y gestionar la prestacin del servicio y la
adquisicin de bienes y/o servicios relacionados y
requeridos para garantizar la seguridad de
informacin.
* Establecer los requerimientos mnimos de
seguridad que debern cumplir los sistemas de
informacin a desarrollar, actualizar o adquirir dentro
de la entidad.
* Apoyar la implementacin segura de los sistemas
de informacin, de acuerdo con el modelo de
seguridad y privacidad de la informacin del estado
colombiano.
* Desarrollar pruebas peridicas de vulnerabilidad
sobre los diferentes sistemas de informacin para
SISTEMAS DE INFORMACIN detectar vulnerabilidades y oportunidades de mejora
a nivel de seguridad de la informacin.
* Liderar el proceso de gestin de incidentes de
seguridad as como la posterior investigacin de
dichos eventos para determinar causas, posibles
responsables y recomendaciones de mejora para los
sistemas afectados.
* Trabajar con la alta direccin y los dueos de los
procesos misionales dentro de la entidad en el
desarrollo de los planes de recuperacin de
desastres y los planes de continuidad del negocio.
* Supervisar que se garantice la confidencialidad,
integridad y disponibilidad de la informacin a travs
de los distintos componentes de informacin
DE INFORMACIN implementados.
* Verificar el cumplimiento de las obligaciones
legales y regulatorias del estado relacionadas con la
seguridad de la informacin.
* Desarrollar el plan de formacin y sensibilizacin
de la entidad incorporando el componente de
seguridad de la informacin en diferentes niveles.
* Supervisar los resultados del plan de formacin y
sensibilizacin establecido para la entidad, con el fin
de identificar oportunidades de mejora.
USO Y APROPIACIN
* Participar en la elaboracin de los planes de
gestin de cambio, garantizando la inclusin del
componente de seguridad de la informacin en la
implementacin de los proyectos de TI.
6.3.2 Equipo del Proyecto:
Teniendo en cuenta la naturaleza de la entidad, debe conformarse un equipo para
el desarrollo del proyecto al cual deben pertenecer miembros directivos y
representantes de las reas misionales, con el propsito de asegurar que toda la
informacin ms relevante de la entidad est disponible oportunamente. De esta
forma se busca asegurar que sea una iniciativa de carcter transversal a la entidad,
y que no dependa exclusivamente de la oficina o rea de TI.
Una de las tareas principales del lder del proyecto es entregar y dar a conocer los
perfiles y responsabilidades de cada personaje al grupo de trabajo e identificar las
personas idneas para tomar cada rol. De esta forma, y de manera general se pone
a consideracin el siguiente listado para que las entidades analicen de acuerdo a
su composicin orgnica cuales deben ser los miembros del equipo de seguridad y
privacidad de la informacin, de acuerdo a los siguientes perfiles:
Responsable de Seguridad de la
Tctico entidad
A continuacin se presenta un ejemplo de plantilla que podra servir como base para
la generacin de la resolucin para la creacin del comit de seguridad de la
informacin para las entidades, se reitera que est sujeta a las condiciones
orgnicas y misionales de cada entidad.
RESOLUCIN XX DE XXXX
CONSIDERANDO
Que.
Que en mrito de lo expuesto,
RESUELVE:
3. El Directivo del rea Jurdica (segn corresponda por distribucin Orgnica de la entidad) o su
delegado.
Pargrafo 1.El Comit podr invitar a cada sesin, con voz y sin voto, a aquellas personas que
considere necesarias por la naturaleza de los temas a tratar.
Pargrafo. Una vez conformado el Comit de Seguridad de la Informacin, este podr expedir su
reglamento, en el cual fijar el alcance de cada una de las funciones operativas sealas en el
presente artculo.
Artculo 5. Secretaria Tcnica: La Secretara Tcnica del Comit se definir al interior del
Comit y el secretario elegido ser remplazado cada XXXX (X) meses.
1. Elaborar las actas de las reuniones del Comit y verificar su formalizacin por parte de
sus miembros.
2. Citar a los integrantes del Comit a las sesiones ordinarias o extraordinarias
3. Remitir oportunamente a los miembros la agenda de cada comit.
4. Llevar la custodia y archivo de las actas y dems documentos soportes.
5. Servir de interlocutor entre terceros y el Comit.
6. Realizar seguimiento a los compromisos y tareas pendientes del Comit.
7. Presentar los informes que requiera el Comit.
8. Las dems que le sean asignadas por el Comit.
PUBLQUESE Y CMPLASE
Cargo