Introducing 

Prezi AI.

Your new presentation assistant.

Refine, enhance, and tailor your content, source relevant images, and edit visuals quicker than ever before.

Loading…
Transcript

SEGURIDAD Y

PRIVACIDAD DE LA INFORMACIÓN

INTRODUCCIÓN

Este documento se elaboró con la recopilación de las mejores prácticas, nacionales e internacionales, para suministrar requisitos para el diagnóstico, planificación, implementación, gestión y mejoramiento continuo, del Modelo de Seguridad y Privacidad de la Información - MSPI de la Estrategia de Gobierno en Línea – GEL.

El Modelo de Seguridad y Privacidad de la Información – MSPI, conduce a la preservación de la confidencialidad, integridad, disponibilidad de la información, permitiendo garantizar la privacidad de los datos, mediante la aplicación de un proceso de gestión del riesgo, brindando confianza a las partes interesadas acerca de la adecuada gestión de riesgos.

El Modelo de Seguridad y Privacidad de la Información se encuentra alineado con el Marco de Referencia de Arquitectura TI y soporta transversalmente los otros componentes de la Estrategia GEL: TIC para Servicios, TIC para Gobierno Abierto y TIC para Gestión.

El presente modelo pretende facilitar la comprensión del proceso de construcción de una política de privacidad por parte de la entidad, que permita fijar los criterios que seguirán para proteger la privacidad de la información y los datos, así como de los procesos y las personas vinculadas con dicha información.

JUSTIFICACIÓN.

El Ministerio TIC a través de la Dirección de Estándares y Arquitectura de TI y la Subdirección de Seguridad y Privacidad de TI, dando cumplimiento a sus funciones, a través de las cuales contribuye a la construcción de un Estado más eficiente, más transparente y participativo, publica El Modelo de Seguridad y Privacidad de la Información, para dar cumplimiento a lo establecido en el componente de seguridad y privacidad de la información de la estrategia de gobierno en línea.

OBJETIVOS

GENERAL: Generar un documento de lineamientos de buenas prácticas en Seguridad y Privacidad para las entidades del Estado.

ESPECÍFICOS

Mediante la utilización del Modelo de Seguridad y Privacidad para las Entidades del Estado, se busca contribuir al incremento de la transparencia en la gestión pública.

OBJETIVO

OBJETIVOS ESPECÍFICOS

  • Promover el uso de mejores prácticas de seguridad de la información, para ser la base de aplicación del concepto de Seguridad Digital.

  • Contribuir a mejorar los procesos de intercambio de información pública.
  • Orientar a las entidades en las mejores prácticas en seguridad y privacidad
  • Orientar a las entidades en la adopción de la legislación relacionada con la protección de datos personales.
  • Contribuir en el desarrollo del plan estratégico institucional y la elaboración del plan estratégico de tecnologías de la información y de las comunicaciones.

MODELO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

La seguridad y privacidad de la información, como componente transversal a la Estrategia de Gobierno en línea, permite alinearse al componente de TIC para la Gestión al aportar en el uso estratégico de las tecnologías de la información con la formulación e implementación del modelo de seguridad enfocado a preservar la confidencialidad, integridad y disponibilidad de la información, lo que contribuye al cumplimiento de la misión y los objetivos estratégicos de la entidad.

El modelo de seguridad y privacidad de la información contempla un ciclo de operación que consta de cinco (5) fases, las cuales permiten que las entidades puedan gestionar adecuadamente la seguridad y privacidad de sus activos de información.

El componente de TIC para Gobierno Abierto se alinea con el componente de Seguridad y Privacidad de la Información que permite la construcción de un estado más transparente, colaborativo y participativo al garantizar que la información que se provee tenga controles de seguridad y privacidad de tal forma que los ejercicios de interacción de información con el ciudadano, otras entidades y la empresa privada sean confiables.

DESCRIPCIÓN DEL CICLO DE OPERACIÓN

FASE DE DIAGNÓSTICO - ETAPAS PREVIAS A LA IMPLEMENTACIÓN

Metas, Resultados e Instrumentos de la fase etapas previas a la implementación

METAS A ALCANZAR EN LA FASE MSPI

  • Determinar el estado actual de la gestión de seguridad y privacidad de la información al interior de la Entidad.

  • Determinar el nivel de madurez de los controles de seguridad de la información.

  • Identificar el avance de la implementación del ciclo de operación al interior de la entidad.

  • Identificar el nivel de cumplimiento con la legislación vigente relacionada con protección de datos personales.

  • Identificación del uso de buenas prácticas en ciberseguridad.

FASE DE PLANIFICACIÓN.

Para el desarrollo de esta fase la entidad debe utilizar los resultados de la etapa anterior y proceder a elaborar el plan de seguridad y privacidad de la información alineado con el objetivo misional de la entidad, con el propósito de definir las acciones a implementar a nivel de seguridad y privacidad de la información, a través de una metodología de gestión del riesgo.

METAS, RESULTADOS E INSTRUMENTOS DE LA FASE DE PLANIFICACIÓN

FASE DE PLANIFICACIÓN DEL MODELO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

  • Política de seguridad y privacidad de la información.
  • Políticas de Seguridad y Privacidad de la Información.
  • Procedimientos de Seguridad de la Información.
  • Roles y Responsabilidades de Seguridad y Privacidad de la Información.
  • Inventario de activos de información.
  • Integración del MSPI con el Sistema de Gestión documental.
  • Identificación, Valoración Y Tratamiento de Riesgos.
  • Plan de Comunicaciones.
  • Plan de transición de IPv4 a IPv6.

FASE DE IMPLEMENTACIÓN

Metas, Resultados e Instrumentos de la Fase de Implementación

Con base a los resultados de la fase de planeación, en la fase de implementación deberá ejecutarse las siguientes actividades:

  • Planificación y Control Operacional.
  • Implementación del plan de tratamiento de riesgos.
  • Indicadores De Gestión.
  • Plan de Transición de IPv4 a IPv6.

FASE DE EVALUACIÓN

DE DESEMPEÑO

Metas, Resultados e Instrumentos de la Fase de Evaluación de Desempeño

PLAN DE REVISIÓN Y SEGUIMIENTO A LA IMPLEMENTACIÓN DEL MSPI.

  • Revisión de la efectividad de los controles establecidos y su apoyo al cumplimiento de los objetivos de seguridad.
  • Revisión de la evaluación de los niveles de riesgo y riesgo residual después de la aplicación de controles y medidas administrativas.
  • Seguimiento a la programación y ejecución de las actividades de autorías internas y externas del MSPI.
  • Seguimiento al alcance y a la implementación del MSPI.
  • Seguimiento a los registros de acciones y eventos / incidentes que podrían tener impacto en la eficacia o desempeño de la seguridad de la información al interior de la entidad.
  • Medición de los indicadores de gestión del MSPI
  • Revisiones de acciones o planes de mejora (solo aplica en la segunda revisión del MSPI)

PLAN DE EJECUCIÓN DE AUDITORIAS.

La entidad debe generar un documento donde se especifique el plan de auditorías para el MSPI, donde especifique la frecuencia, los métodos, las responsabilidades, los requisitos de planificación y la elaboración de informes.

Se debe llevar a cabo auditorías y revisiones independientes a intervalos planificados que permitan identificar si el MSPI es conforme con los requisitos de la organización, está implementado adecuadamente y se mantiene de forma eficaz; así mismo es necesario difundir a las partes interesadas, los resultados de la ejecución de las auditorías.

FASE DE MEJORA

CONTINUA

Metas, Resultados e Instrumentos de la Fase de Mejora Continua

En esta fase es importante que la entidad defina y ejecute el plan de mejora continua con base en los resultados de la fase de evaluación del desempeño.

Este plan incluye:

  • Resultados de la ejecución del plan de seguimiento, evaluación y análisis para el MSPI.
  • Resultados del plan de ejecución de auditorías y revisiones independientes al MSPI.

MODELO DE MADUREZ

Este esquema permite identificar el nivel de madurez del MSPI en el que se

encuentran las entidades, midiendo la brecha entre el nivel actual de la entidad y

el nivel optimizado.

MADUREZ

MODELO DE MADUREZ

PRIVACIDAD DE LA INFORMACIÓN

Uno de los objetivos del modelo de seguridad y privacidad de la Información es el de garantizar un adecuado manejo de la información pública en poder de las entidades destinatarias, la cual es uno de los activos más valiosos para la toma de decisiones

PRIVACIDAD DE LA INFORMACIÓN

Nivel de seguridad: marcan un derrotero para que las entidades destinatarias construyan políticas de seguridad sobre la información a fin de salvaguardar la misma a nivel físico y lógico, de manera que se pueda en todo momento garantizar su integridad, disponibilidad y autenticidad.

Para que los servidores públicos entiendan mejor el concepto de privacidad, hay que tener claro que diferentes procesos relacionados con la recolección y uso de información son susceptibles de ser objeto de implementación de medidas de privacidad, como puede ser:

  • La Implementación de un sistema de información que tenga la posibilidad de recolectar datos personales, tal como un sistema de seguridad a través de video vigilancia que capture imágenes, datos biométricos, etc
  • El Diseño y ejecución de un sistema de gestión documental
  • El Desarrollo de políticas que impliquen la necesidad de recolectar y usar información personal, como por ejemplo políticas de atención de PQR´s
  • La Transferencia de información a terceros (otras entidades o países)

Para solucionar lo anterior se debe contar con:

CONTAR CON UNA HERRAMIENTA DE ANÁLISIS SOBRE IMPACTO EN LA PRIVACIDAD

DESCRIPCIÓN DE LOS FLUJOS DE INFORMACIÓN

IDENTIFICAR LOS RIESGO DE PRIVACIDAD:

  • En relación con la información personal de los individuos
  • En relación con la información de usuarios institucionales
  • En relación con los sistemas de información y programas usados o los procedimientos y procesos relacionados con la gestión administrativa a cargo.

FASE DIAGNÓSTICO

En esta fase es necesario que las entidades identifiquen cómo se está garantizando la privacidad sobre todo el ciclo de la información que tienen en su poder verificando la implantación o no de medidas que den cumplimiento a los requerimientos de las normas sobre protección de datos personales y que, adicionalmente contribuya a identificar la información pública sometida a reserva o clasificada en los términos de la Ley.

FASE DE PLANIFICACIÓN

En esta segunda etapa se debe trazar la estrategia con el objetivo de organizar el trabajo adelantado por la entidad a partir de las características recogidas en la fase de diagnóstico, para acercarlas a un nivel de cumplimiento adecuado para salvaguardar la información privada y de manera concomitante responder a los retos de disponibilidad a la información pública por parte de la ciudadanía, así como para ajustar los roles del personal designado para cumplir con las responsabilidades de seguridad y privacidad de la información.

FASE DE IMPLEMENTACIÓN

En esta fase se deben ejecutar las acciones trazadas en la etapa previa de planeación de manera que la entidad diseñe un modelo de privacidad que le permita cumplir con los mínimos legales y generar una política privacidad que le permita la correcta gestión de la información.

FASE DE EVALUACIÓN DEL DESEMPEÑO

Una vez implementadas las anteriores actividades el modelo de privacidad se evalúa, para medir la efectividad de las acciones tomadas a través de los indicadores definidos en la fase de implementación que debe incluir la correcta interacción entre el MSPI y la aplicación de la Ley de Transparencia y Acceso a la Información Pública.

FASE DE MEJORA CONTINUA

Una vez se tengan los resultados del componente de evaluación del desempeño se toman los resultados obtenidos y se preparan los correctivos necesarios que permitan a la misma crecer en el nivel de responsabilidad demostrada.

ADOPCIÓN DEL PROTOCOLO IPv6

FASE DE PLANEACIÓN

En esta fase, se debe definir el plan y la estrategia de transición de IPv4 a IPv6, en procura de los resultados que permitan dar cumplimiento con la adopción del nuevo protocolo.

PLANEACIÓN

FASE DE IMPLEMENTACIÓN

En esta fase se realizan actividades tales como habilitación del direccionamiento de IPv6, montaje, ejecución y corrección de configuraciones para pruebas piloto, activar las políticas de seguridad de IPv6, validar la funcionalidad de los servicios y aplicaciones de las entidades, entre otras.

IMPLEMENTACIÓN

FASE- PRUEBAS DE FUNCIONALIDAD

En esta fase se hacen pruebas de funcionalidad y/o monitoreo de IPv6, en sistemas de información, de almacenamiento, de comunicaciones y servicios; frente a las políticas de seguridad perimetral, de servidores de cómputo, equipos de comunicaciones, de almacenamiento, entre otros. Tener en cuenta que se debe elaborar un inventario final de servicios y sistemas de comunicaciones, bajo el nuevo esquema de funcionamiento de IPv6.

PRUEBAS DE FUNCIONALIDAD

PLAZOS

Sujetos Obligados del Orden Nacional

SUJETOS OBLIGADOS DEL ORDEN TERRITORIAL

A. Gobernaciones de categoría Especial y Primera; alcaldías de categoría Especial, y demás sujetos obligados de la administración publica en el mismo nivel.

B. Gobernaciones de categoría segunda, tercera y cuarta; alcaldías de categoría primera, segunda y tercera y demás sujetos obligados de la Administración Pública en el mismo nivel.

C. Alcaldías de categoría cuarta, quinta y sexta y demás sujetos obligados de la Administración Pública en el mismo nivel

Algunas Guías Modelo de Seguridad y Privacidad de la Información

Algunas guías de marco de referencia de arquitectura empresarial

MUCHAS GRACIAS

Learn more about creating dynamic, engaging presentations with Prezi