compartidos... · Web viewEstablecer el plan de acción 2019 - 2022, para la implementación,...

PLAN ESTRATÉGICO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION - PESI

AGENCIA NACIONAL DEL ESPECTRO

2019 - 2022

Grupo de Gestión TIC y Seguridad de la Información

Diciembre 2018

Elaborado por: Hugo Alejandro Casallas Larrotta, Profesional Especializado

Revisado por: Juan Francisco Díaz Torres, Coordinador Grupo de Gestión TIC

Aprobado por: Comité Operativo de TI

TABLA DE CONTENIDO

1.Objetivo31.1.Objetivos Específicos32.Alcance33.Termino y Definiciones34.Documentos de Referencia45.Marco Normativo46.Análisis de Situación Actual57.Alienación Estratégica98.Portafolio de Proyectos119.Plan de ejecución de actividad y proyectos – PESI1710.Costo aproximado de ejecución de inciativas por año1811.Alineación estratégica del PESI con el PETI de la organización1912.Comunicación19

1. Objetivo

Establecer el plan de acción 2019 - 2022, para la implementación, gestión y mejora del Sistema Integrado de Gestión de Seguridad de la Información (SIGSI) de la Agencia Nacional del Espectro alineados con la Política de Gobierno Digital y Plan Estratégico de la Organización mediante la implementación de proyectos y actividades para la gestión de riesgos, optimización de recursos y entrega de valor en un entorno de confianza digital seguro.

1.1. Objetivos Específicos

· Realizar diagnóstico inicial de implementación del SIGSI de la organización.

· Priorizar las necesidades para la implementación y mejora continua del SIGSI.

· Realizar ejercicios de arquitectura empresarial para definición, planificación y disposición de recursos para los proyectos.

· Priorizar los proyectos a implementar para la correcta implementación del SIGSI.

· Elaborar Plan estratégico de seguridad de la información.

2. Alcance

El presente plan contempla la implementación y mejora continua del Sistema Integrado de Gestión de Seguridad de la Información (SIGSI) en todos los procesos de la Entidad acorde al Modelo de Seguridad y Privacidad de la Información definida por el MINTIC y la norma NTC ISO 27001 – Sistema de Gestión de Seguridad de la Información.

3. Termino y Definiciones

Riesgo de seguridad de la información: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias.

Confidencialidad: Propiedad de la información de no ponerse a disposición o ser revelada a individuos, entidades o procesos no autorizados.

Integridad: Propiedad de la información relativa a su exactitud y completitud.

Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad autorizada.

Seguridad de la Información: Preservación de la confidencialidad, integridad y disponibilidad de la información.

MSPI: Modelo de seguridad y privacidad de información

SGSI: Sistema de gestión de seguridad de la información

Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas.

Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización.

4. Documentos de Referencia

· Manual de Gobierno Digital – MinTIC.

· Norma NTC ISO 27001:2013 Sistema de Gestión de Seguridad de la Información - ICONTEC.

· Modelo de Seguridad y Privacidad de la Información – MINTIC

· Modelo Integrado de Planeación y Gestión – MIPG - DAFP

· Documento CONPES 3854 - Política Nacional de Seguridad Digital

· Marco de Referencia – Arquitectura de TI Colombia - G.ES.06 Guía Cómo Estructurar el Plan Estratégico de Tecnologías de la Información – PETI - MINTIC

· Plan estratégico Agencia Nacional del Espectro 2019 – 2022

5. Marco Normativo

La normatividad que soporta este documento se encuentra fundamentada en el marco de creación de la Entidad y en las recientes políticas para el uso de la tecnología y la seguridad de la información.

Que la Ley 1341 de 2009, artículo 31, numeral 5, establece que el Fondo de Tecnologías de la Información y las Comunicaciones, destinará los recursos necesarios para el desarrollo de actividades relacionadas con el cumplimiento de las funciones de la Agencia Nacional del Espectro (ANE).

Que al otorgarle personería jurídica y asignarle un patrimonio propio a la Agencia Nacional del Espectro (ANE), con fundamento en el literal e), del artículo 18 de la Ley 1444 de 2011, se fortalece la entidad y se obtiene una mayor independencia técnica, administrativa y financiera, permitiendo una mayor eficiencia en la prestación del servicio público.

En el Normograma de la Entidad se encontrará el detalle normativo. A continuación, se presentan las normas y regulaciones más relevantes en el tema de tecnológico:

Decreto 415 de 2016, por el cual se adiciona el Decreto Único Reglamentario del sector de la Función Pública, Decreto Numero 1083 de 2015, en lo relacionado con la definición de los lineamientos para el fortalecimiento institucional en materia de tecnologías de la información y las comunicaciones

Ley 1341 de 2009, por la cual se definen Principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones -TIC-, se crea la Agencia Nacional del Espectro y se dictan otras disposiciones.

Ley 1273 de 2009, de la protección de la información y de los datos"- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones “.

Decreto 1499 de 2017 Artículo 2.2.22.3.1. Actualiza el Modelo Integrado de Planeación y Gestión - MIPG.

Decreto 1008 de 2018, Por el cual se establecen los lineamientos generales de la política de Gobierno Digital y se subroga el capítulo 1 del título 9 de la parte 2 del libro 2 del Decreto 1078 de 2015, Decreto Único Reglamentario del sector de Tecnologías de la Información y las Comunicaciones

6. Análisis de Situación Actual

La situación actual de las Tecnologías de la Información en la Agencia Nacional del Espectro se determina a partir del informe de Gestión y Desempeño Institucional emitido por la función pública.

A continuación, se muestran los resultados con respecto a Gobierno Digital y Política de Seguridad de la información los cuales involucran el Sistema de Gestión de Seguridad de la Información.

El quintil es una medida de ubicación que le permitirá a la entidad conocer que tan lejos está del puntaje máximo obtenido dentro del grupo par. Una entidad con buen desempeño estará ubicada en los quintiles más altos (4 y 5), mientras que una entidad con bajo desempeño se ubicará en los quintiles más bajos (1, 2 y 3).

Así se observa que la Agencia Nacional del Espectro en los ámbitos digitales dirigidos al cumplimiento de Gobierno Digital y Política de Seguridad Digital se encuentra en un desempeño bajo.

Con el objetivo de fortalecer estos componentes de la organización, se realiza análisis de la situación actual y situación deseada de la entidad con respecto a su sistema de seguridad de la información en los siguientes aspectos:

Aspecto

Situación Actual

Situación deseada

Sistema de Gestión de Seguridad de la Información – SGSI

El SGSI se encuentra documentado de acuerdo con los lineamientos de la norma ISO 27001:2013 y el modelo de seguridad y privacidad de la información.

Sin embargo, La entidad se encuentra en proceso de liberación formal e implementación de los diferentes lineamientos, procedimientos y formatos parte del SIGSI.

Documentos que componen el SGSI liberados y divulgados.

Indicadores para el proceso de Gestión de tecnología y seguridad de la información para medición del desempeño del proceso y sistema.

Sistema de seguridad acreditado y certificado.

Lineamientos de Seguridad de la Información

La Política General de Seguridad y Privacidad de la Información ya fue aprobada por el Comité de Institucional de Gestión, pero aún no se encuentra formalmente liberada en el sistema.

Política general y políticas del sistema divulgadas y aplicadas por toda la entidad.

Riesgos de Seguridad de la Información

Se tiene implementada una metodología de riesgos de gestión. Sin embargo, no han involucrado el tratamiento de riesgos de seguridad digital para todos los procesos de la organización conforme a las mejores prácticas.

Sistema de Gestión de riesgos integrada conforme a MIPG con enfoque a los activos de información, para gestión detallada de riesgos de seguridad digital.

Acceso a la Información

Se cuenta con un índice de información clasificada y reservada. Sin embargo, se requiere realizar una clasificación adecuada de los activos de información en cada uno de los procesos de la entidad conforme al Modelo de Seguridad y Privacidad de la Información.

lineamiento y procedimiento de control de acceso lógico implementados.

Dueños de proceso concientizados para la definición de segregación de funciones.

Sistemas de información protegidos contra la divulgación no autorizada prevención de fuga de información.

Seguridad Perimetral Lógica

La entidad tiene UTM en redundancia (2) para la protección de la red LAN y DMZ de las amenazas externas y módulos de protección perimetral.

Pero en la actualidad esta solución presenta limitaciones de capacidad, de acuerdo con el crecimiento continuo de la entidad.

Sistemas de protección perimetral lógica robusta y con la capacidad necesaria para atender las nuevas necesidades de la entidad.

Seguridad Perimetral Física

La organización cuenta con un CCTV que cubre varias áreas de la organización, pero se requiere adquirir más cámaras para aseguramiento de las áreas seguras, así mismo se cuenta con un sistema de acceso por medio de tarjetas HID, pero este no es compatible con IPV6 por lo cual se requiere la renovación de este.

Sistema de CCTV con cobertura de áreas seguras y diferentes zonas de la entidad.

Sistemas actualizados y con soporte vigente que permita prever y mitigar incidentes de seguridad.

Infraestructura Física Data Center

La organización cuenta con centro de cómputo, pero este no cuenta con ningún estándar o condición lo cual expones a los activos de información de la organización y aumentan la probabilidad de incidentes.

Centro de computo de la entidad con las condiciones ambientales adecuadas y estándares internacionales.

Transferencia Segura de Información

La Entidad en la actualidad no cuenta con ningún herramienta o esquema para el cifrado de para los equipos portátiles, unidades de almacenamiento externo o la información que es transportada o compartida con terceros.

Información almacenada o transportada fuera de la organización protegida contra acceso no autorizado.

Monitoreo de eventos de Seguridad

La Entidad no cuenta con una solución de monitoreo de eventos de seguridad en la plataforma tecnológica.

Sistemas de información con análisis y correlación de logs que permita identificar posibles eventos o brechas de seguridad y prevenir incidentes.

Seguridad en redes y comunicaciones

La Entidad implemento certificados de navegación segura SSL para que las aplicaciones web funcionen sobre HTTPS.

Renovación de los certificados SSL para los aplicativos de la Entidad.

solución de control de acceso a la red (NAC – Network Access Control) para blindar de mejor manera la información y servicios de red.

Seguridad en proyectos TI

A partir de la vigencia 2018, la entidad ha considerado incluir dentro de los proyectos de la entidad los aspectos relacionados con la seguridad de la información, a través de RFI.

Políticas de relación con proveedores y gestión de proyectos acorde al SGSI.

Gestión de Vulnerabilidades

Se realizan pruebas de Ethical Hacking anualmente para análisis de vulnerabilidades de la entidad.

Sistemas de información con vulnerabilidades conocidas mitigadas.

Continuidad de Negocio

La entidad cuanta un Análisis de Impacto de Negocio (BIA) el cual se encuentra en proceso de actualización. Y definición de DRP acorde a las estrategias de implementación de infraestructura que selección la organización.

Procesos de la organización con análisis de impacto y estrategia de recuperación ante desastres.

Capacitación y sensibilización en Seguridad de la Información

Se han llevado a cabo jornadas de sensibilización a los funcionarios de la Entidad en buenas prácticas de Seguridad de la Información. Pero se requiere seguir trabajando en concientización de los dueños de proceso y divulgación de los lineamientos de seguridad de la información.

Personal concientizado en las política y lineamientos de seguridad de la información que permita un adecuado uso y gestión de los activos de la organización.

Para lo anterior se requiere seguir liberando e implementando los lineamientos en la organización y emprender proyectos para fortalecer la infraestructura física del centro de datos principal de la organización, renovación de servidores y de seguridad física y lógica de la Entidad.

7. Alienación Estratégica

El planteamiento de la Estrategia del PESI, está orientada a la protección y conservación de los activos de información; alineada con el plan estrategico 2019 – 2022 con la finalidad de optimizar los recursos y promover la transformación de la organización mediante el uso de los medios tecnológicos visionando las necesidades actuales conforme a la demanda de protección y salvaguarda de la información de la Entidad.

A continuación, se observa el modelo de despliegue estrategico de la entidad y su descenso a nivel de iniciativas y proyectos para fortalecer el Sistema Integrado de Seguridad de la Información:

Nivel 1. Iniciativas Estratégicas

Nivel 2. Objetivos Estratégicos de la entidad

Nivel 3. Alineación a nivel Táctico

Nivel 4. Alineación táctica y de proyectos

Para el logro de las iniciativas y objetivo estratégicos se definen varios macro proyectos globales en los cuales se encuentra “Implementar el plan estratégico de TI” el cual involucra la ejecución del PESI para actualizar los servicios tecnológicos por medio de la adopción de las últimas tendencias tecnologías en seguridad digital y de la información, apoyando el desarrollo de las estrategias del manual de Gobierno Digital y del programa seguridad y privacidad de la información en el marco de arquitectura empresarial TI Colombia.

8. Portafolio de Proyectos

Conforme a la alineación estrategita para el cumplimiento de las iniciativas y macroproyectos, se plantea el siguiente catálogo de proyectos y se califican teniendo en cuenta su impacto a nivel de Apoyo a los procesos de la Entidad y Gobierno Digital con base en la siguiente tabla:

Apoyo estratégico

 

Apoyo táctico

 

Apoyo tangencial

 

Apoyo nulo

 

Proyectos

Motivación u origen

Priorización

Procesos Impactados

Gobierno Digital

Modernización centro de datos y monitoreo

La organización cuenta con centro de cómputo y monitoreo, pero estos no cuentan con ningún estándar o condición lo cual expones a los activos de información de la organización y aumentan la probabilidad de incidentes comprometiendo la operación del negocio.

3

1

0

0

0

2

2

0

Definir e implementar la estrategia de respaldo y retención de información integral

La organización cuenta con estrategias para respaldo de información. Sin embargo, no cuenta con una estrategia de retención de la información digital.

2

1

3

0

1

2

1

0

Aseguramiento de la disponibilidad 7x24 de la infraestructura remota

La Entidad cuenta con estaciones remotas que permite en gran parte el cumplimiento de sus funciones. Sin embargo, estas estaciones actualmente no cuentan con redundancias que mitigue la probabilidad de caída o no disponibilidad de estas, lo anterior puede impedir una correcta operación del negocio y sus funciones encargadas por el MINTIC

2

1

1

0

0

2

3

0

Implementar el BCP de la entidad

En la actualidad la Entidad cuenta con un BIA y un DRP los cuales se encuentran en actualización teniendo en cuenta los cambios en infraestructura. Sin embargo, teniendo en cuenta los riesgos que no pueden ser mitigados, se requiere la implementación de un BCP, que le permita a la entidad no únicamente restaurar sus procesos de tecnología, si no sus procesos a nivel general.

1

5

0

0

1

2

0

0

Implementación y certificación del SGSI fase I (Gestión de TI)

El SGSI se encuentra documentado de acuerdo con los lineamientos de la norma ISO 27001:2013 y el modelo de seguridad y privacidad de la información.

Sin embargo, La entidad se encuentra en proceso de liberación formal e implementación de los diferentes lineamientos, procedimientos y formatos parte del SIGSI, con el objetivo de medir la efectividad y los más altos estándares de calidad del SGSI, se requiere que el proceso anterior los realice organizaciones internacionales que acrediten la madurez del sistema.

1

0

15

0

1

1

0

0

Implementar escritorios y aplicaciones virtuales

Teniendo en cuenta las iniciativas del MINTIC en las cuales se ha promovido el teletrabajo y la movilidad, la Entidad ha adoptado esta modalidad. Sin embargo, para una protección adecuada de la información y brindar mejores servicios de movilidad se requiere que la entidad implemente esta tecnología.

1

0

15

0

2

0

0

0

Implementación de sistema de protección de amenazas avanzadas y ataques de día cero

La entidad tiene UTM en redundancia para la protección de la red LAN y DMZ de las amenazas externas y módulos de protección perimetral.

Pero en la actualidad esta solución presenta limitaciones de capacidad, de acuerdo con el crecimiento continuo de la entidad, requiriendo una modernización acorde a las necesidades de la entidad y fortalecimiento de la seguridad en la prevención de amenazas cibernéticas.

1

0

0

0

1

1

0

0

Programa de protección contra la fuga de información DLP

La entidad cuenta actualmente con algunas herramientas que mitigan parcialmente la probabilidad de fuga de información. Sin embargo, para una mitigación adecuada de este riesgo, se requiere de la implementación de una solución especializada.

1

0

0

0

0

0

0

0

Implementación de PAM (Herramienta para monitoreo de usuarios privilegiados)

Conforme a la norma ISO 27001:2013 y buenas prácticas, los sistemas deben ser monitoreados de tal forma que se pueda prevenir situaciones no deseadas o riesgos relacionados son abuso de derechos o mal uso de los recursos de la Entidad, lo anterior incluye el personal con permisos privilegiados, con lo anterior se requiere la implementación de sistemas de monitoreo que permita evidenciar las acciones ejecutadas en los diferentes sistemas de información.

1

0

0

0

0

0

0

0

Implementación de herramienta de cifrado de equipos y archivos

La Entidad en la actualidad no cuenta con ningún herramienta o esquema para el cifrado de los equipos portátiles, unidades de almacenamiento externo o la información que es transportada o compartida con terceros.

0

1

1

0

0

1

0

0

Implementación de sistema de análisis de vulnerabilidades y firewall en estaciones de trabajo

Con el objetivo de fortalecer la seguridad en los sistemas de información de la entidad con respecto a amenazas avanzadas, en la actualidad ya no es suficiente con que los equipos cuenten con un software Antivirus, se requiere que tengan una solución integral de protección, en la cual se cuenta con sistemas de análisis de vulnerabilidades y prevención de eventos

0

1

0

0

0

0

0

0

Implementar el DRP

La entidad cuanta un Análisis de Impacto de Negocio (BIA) el cual se encuentra en proceso de actualización.

Así mismo la organización está próxima a tener un cambio en su infraestructura de TI por lo cual se requiere la nueva definición de una nueva estrategia de Plan de Recuperación Tecnológica.

0

1

0

0

0

0

0

0

Actualización de controles para la seguridad física de las instalaciones

La organización cuenta con un CCTV que cubre varias áreas de la organización, pero se requiere adquirir más cámaras para aseguramiento de las áreas seguras, así mismo se cuenta con un sistema de acceso por medio de tarjetas HID, pero este no es compatible con IPV6 por lo cual se requiere la renovación de este.

0

1

0

0

0

0

0

0

Renovación de infraestructura tecnológica local

La organización cuenta con centro de cómputo, pero este no cuenta con ningún estándar o condición lo cual expones a los activos de información de la organización a múltiples riesgos y aumentan la probabilidad de incidentes.

0

1

0

0

0

2

0

0

Implementar correlacionador de eventos

La organización realiza análisis de eventos de forma independiente en sus sistemas de información, lo cual no garantiza una correcta interpretación de estos o la detección de posibles brechas, eventos o vulnerabilidades.

Conforme a lo anterior, se requiere la implementación de un sistema centralizado para la gestión de logs y correlación de estos, de tal forma que se puedan detectar eventos o situaciones y prevenir posibles brechas en la seguridad.

0

1

0

0

0

1

1

0

Para el proyecto Modernización de centro de datos y monitoreo, la Agencia Nacional del Espectro definió realizar un proyecto total de renovación y adecuación de las instalaciones físicas donde dentro del alcance se incluye el centro de datos.

Conforme a lo anterior los proyectos u actividades relacionadas o que puedan ser afectados con la Modernización de centro de datos y monitoreo, estarán sujetos a variaciones según los tiempos definidos por la entidad para el estudio y ejecución del macroproyecto de renovación y adecuación de sus instalaciones físicas.

9. Plan de ejecución de actividad y proyectos – PESI

Con base en los proyectos propuestos y ruta crítica para la ejecución de los mismos, se planifica la ejecución de los mismos con una proyección a cuatro años como se muestra a continuación:

2019

2020

2021

2022

I - Semestre

II - Semestre

I - Semestre

II - Semestre

I - Semestre

II - Semestre

I - Semestre

II - Semestre

Contratación de consultoría para diseño de instalaciones y estructuración de estudios previos para renovación y adecuación de las instalaciones físicas de la entidad.

(Proyecto - Modernización centro de datos y monitoreo)

Renovación y adecuación de las instalaciones físicas de la entidad


Preauditoria NTC ISO 27001:2013 Sistema de Gestión de Seguridad de la Información

(Proceso Gestión de Tecnologías y seguridad de la información)

Certificación NTC ISO 27001:2013 Sistema de Gestión de Seguridad de la Información (SGSI)

(Proceso Gestión de Tecnologías y seguridad de la información)

Extensión del alcance del SGSI a los procesos misionales de la entidad


(Procesos misionales y Proceso Gestión de Tecnologías y seguridad de la información)


(Procesos misionales y Proceso Gestión de Tecnologías y seguridad de la información)

Aplicación de instrumento MINTIC para medición del estado de implementación del sistema

Aplicación de modelo para medición de madurez del SGSI



Implementación de guía para la administración del riesgo definida por el DAFP para la gestión de riesgos de seguridad digital

Acompañamiento y seguimiento de riesgos de seguridad digital

Mejora continua de la gestión y metodología de riesgos

Implementación de los lineamientos, procesos y procedimientos que componen el SGSI.

Mantenimiento y mejora continua del SGSI












Actualización de BIA - Análisis de Impacto al Negocio

(Procesos misionales)

Diseño y actualización DRP

- Plan de recuperación de desastres

Diseño y actualización DRP


Ejecución de pruebas DRP


Mantenimiento y actualización BIA y DRP

Ejecución de pruebas anual de DRP

Diseño de BCP

(Plan de continuidad de negocio)



Ejecución anual de pruebas de Ethical Hacking (Contratadas e internas)

Remediación anual de vulnerabilidades (Contratadas e internas)

Renovación anual de certificados SSL (3 años)

Ethical Hacking e implementación de sistemas de firma digital para tramite documental

Ejecutar plan de concientización y comunicación anual del SGSI

10. Costo aproximado de ejecución de iniciativas por año

2019

2020

2021

2022

Iniciativa

Valor

Iniciativa

Valor

Iniciativa

Valor

Iniciativa

Valor

Consultoría


$150.000.000

Renovación y adecuación de las instalaciones físicas de la entidad

$350.000.000


$20.000.000


20.000.000


$300.000.000


$40.000.000


40.000.000


$80.000.000


$20.000.000


-


-


$200.000.000


$ 20.000.000


60.000.000


$100.000.000


100.000.000


200.000.000

Pruebas de Ethical Hacking anual (Contratada)

$30.000.000

-

$30.000.000

-

$30.000.000

-

$30.000.000

Remediación anual de vulnerabilidades (Contratada)

$20.000.000

-

$20.000.000

-

$20.000.000

-

$20.000.000

Renovación de firmas digitales y SSL

$60.000.000

-

$60.000.000

-

$60.000.000

-

$60.000.000

Total

$1.030.000.000

Total

$1.280.000.000

Total

$290.000.000

Total

$430.000.000

Total $ 2.230’000.000

11. Alineación estratégica del PESI con el PETI de la organización

El PESI se encuentra subordinado pajo el PETI de la Agencia Nacional del Espectro, apoyando los lineamientos y principios de calidad, servicio y mejora continua establecidos en el plan estrategico de seguridad le información, y apoyando el desarrollo tecnológico de la organización bajo la premisa de salvaguardar la integridad, confidencialidad y disponibilidad de la información a través de sistema seguros que brinden confianza a la ciudadanía y demás partes interesadas de la organización.

Con lo anterior el objetivo estrategico en el que se apoya el presente documento de apoyar la implementación del Plan estrategico de Tecnología de la Información de la organización.

12. Comunicación

El presente documento será comunicado a las partes interesadas por medio de la página web de Agencia Nacional del Espectro como documento de conocimiento general de la organización. Adicionalmente se realizarán las actividades de divulgación en conjunto con las del Plan Estratégico de TIC.

compartidos... · Web viewEstablecer el plan de acción 2019 - 2022, para la implementación,...

Documents

Transcript of compartidos... · Web viewEstablecer el plan de acción 2019 - 2022, para la implementación,...