INSTITUTO NACIONAL DE CANCEROLOGÍA ESE … · (iso/iec 27000). Activo de Información: En...

INSTITUTO NACIONAL DE CANCEROLOGÍA ESE CÓDIGO:

GESTION DE LA TECNOLOGÍA VERSIÓN: 1.0

PLAN DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

VIGENCIA: 04-07-2018

Página 1 de 31

Este documento impreso se considera como una copia no controlada


GESTION DE LA TECNOLOGIA

GRUPO ÁREA DE SISTEMAS

INSTITUTO NACIONAL DE CANCEROLOGÍA ESE

2018





Página 2 de 31


TABLA DE CONTENIDO

1. OBJETIVO .......................................................................................................... 3

2. OBJETIVOS ESPECIFICOS .................................................................................. 3

3. ALCANCE ............................................................................................................ 3

4. JUSTIFICACION ................................................................................................. 3

5. NORMATIVIDAD ................................................................................................. 4

6. GLOSARIO ............................................................................................................ 5

7. SITUACION ACTUAL .............................................................................................. 8

8. METODOLOGIA DE PROYECTO ............................................................................ 11

9. RECURSOS DEL PLAN DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION ...... 17

10. CUMPLIMIENTO DE IMPLEMENTACIÓN ............................................................. 22

11. HOJA DE RUTA ................................................................................................. 23

12. CRONOGRAMA DE PROYECTO ........................................................................... 24

13. ENTREGABLES .................................................................................................. 28

14. IDENTIFICACIÓN DE RIESGOS DE PROYECTO .................................................. 30

15. CONTROL DE CAMBIOS .................................................................................... 31





Página 3 de 31


1. OBJETIVO

El presente documento se enmarca dentro de la política establecida por el Gobierno Nacional que pretende la inclusión social y la competitividad a través de la apropiación y el usos de las Tecnologías de la Información y las Comunicaciones (TIC), tanto en la vida cotidiana como productiva de los ciudadanos, empresas, academia y estado. Su desarrollo se ha enmarcado dentro de la Estrategia de Gobierno en Línea que contribuye a la construcción de un Estado eficiente, transparente, participativo y que preste mejores servicios a los ciudadanos.

El Plan de seguridad y privacidad de la información define las estrategias del Instituto nacional de Cancerología que conducen a la preservación de la confidencialidad, integridad, y disponibilidad de sus activos de información, por medio de la implantación, operación, monitoreo y optimización de su sistema de gestión de seguridad de la información SGSI fundamentado en la norma ISO27001:2013 y en la metodología MSPI de MINTIC

2. OBJETIVOS ESPECIFICOS

• Identificar las necesidades y requerimientos del Instituto Nacional de Cancerología ESE a tener en cuenta en la implantación del SGSI.

• Establecer el estado actual y nivel de madurez de los procesos de seguridad y privacidad de la información. identificando vulnerabilidades, amenazas, y riesgos

• Actualizar los controles, las políticas, y definir los planes de mejoramiento necesarios para realizar un adecuado tratamiento del riesgo de seguridad y privacidad en los proceso de tecnología y procesos estratégicos, misionales y de apoyo del INC.

• Establecer y documentar el gobierno de gestión de seguridad de la información, alineado con el gobierno de TI

• Evaluar y alinear el SGSI para dar cumplimiento a los marcos regulatorios identificados.

• Planear programas y planes de auditoria para el monitoreo y mejora continua del SGSI.

3. ALCANCE

Establecimiento del sistema de gestión de seguridad de la información (SGSI) para las áreas de tecnología de información y las comunicaciones, utilizando como guía la norma ISO-IEC- 27001:2013 y la metodología MSPI de MINTIC, en un periodo de 2 años 4. JUSTIFICACION

El montaje del Sistema de gestión de seguridad de la información permite validar que los controles desplegados sobre los activos de información del INC sean los adecuados de acuerdo a atributos claves de seguridad y privacidad de la información (disponibilidad, integridad, confidencialidad, autenticidad, no repudio)

A través de SGSI se gestionaran los riesgos de Seguridad de la Información de manera eficiente, permitiendo una armonización entre operatividad de los procesos del INC, la seguridad y la privacidad de la información, alineados con las mejores prácticas del estándar ISO27001:2013 y MSPI de MINTIC.





Página 4 de 31


5. NORMATIVIDAD Decreto 612 de 2018: Por el cual se fijan las directrices para la integración de los planes institucionales y estratégicos al plan de acción por parte de las entidades del estado. Ley 1712 de 2014: Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones. Ley Estatutaria 1581 de 2012 y Reglamentada Parcialmente por el Decreto Nacional 1377 De 2013: Por la cual se dictan disposiciones generales para la protección de datos personales Decreto 2693 de 2012: Lineamientos generales de la Estrategia de Gobierno en línea de la República de Colombia que lidera el Ministerio de las Tecnologías de Información y las Comunicaciones, se reglamentan parcialmente las Leyes 1341 de 2009 y 1450 de 2011, y se dictan otras disposiciones. Decreto 2578 de 2012: Por medio del cual se reglamenta el Sistema Nacional de Archivos. Incluye “El deber de entregar inventario de los documentos de archivo a cargo del servidor público, se circunscribe tanto a los documentos físicos en archivos tradicionales, como a los documentos electrónicos que se encuentren en equipos de cómputo, sistemas de información, medios portátiles” entre otras disposiciones. Decreto 2609 de 2012: Por medio del cual se reglamenta el Título V de la Ley General de Archivo del año 2000. Incluye aspectos que se deben considerar para la adecuada gestión de los documentos electrónicos. Ley 1437 de 2011: Por la cual se expide el Código de Procedimiento Administrativo y de lo Contencioso Administrativo. Ley 1273 DE 2009: Por medio de la cual se modifica el Código Penal, se crea un nuevo bien tutelado denominado “de la protección de la información y los datos” y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones. Ley 1341 DE 2009: Por medio de la cual se definen principios y conceptos sobre la sociedad de la información y la organización de las tecnologías de la información y comunicaciones - TIC, se crea la Agencia Nacional de Espectro y se dictan otras disposiciones. Ley 1150 DE 2007: Por medio de la cual se introducen medidas para la eficiencia y la transparencia en la Ley 80 de 1993 y se dictan otras disposiciones generales sobre la contratación con Recursos Públicos contenidos de la norma ISO/IEC 27001:2013: Es la evolución certificable del código de buenas prácticas ISO 17799. Define cómo organizar la seguridad de la información en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Es posible afirmar que esta norma constituye la base para la gestión de la seguridad de la información Ley 962 DE 2005: Por la cual se dictan disposiciones sobre racionalización de trámites y procedimientos administrativos de los organismos y entidades del Estado y de los particulares que ejercen funciones públicas o prestan servicios La elaboración de la política de seguridad informática, está fundamentado bajo las normas: ISO/IEC 27001:2005. Information technology - Security techniques - Information security management systems - Requirements





Página 5 de 31


Ley Estatutaria 1581 De 2012: Por la cual se dictan disposiciones generales para la protección de datos personales. Circular externa 007 de 2018 Superfinaciera: Por la cual se Imparten instrucciones relacionadas con los requerimientos mínimos para la gestión del riesgo de ciberseguridad. 6. GLOSARIO Acceso a la Información Pública: Derecho fundamental consistente en la facultad que tienen todas las personas de conocer sobre la existencia y acceder a la información pública en posesión o bajo control de sujetos obligados. (Ley 1712 de 2014, art 4). Activo: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas…) que tenga valor para la organización. (ISO/IEC 27000). Activo de Información: En relación con la privacidad de la información, se refiere al activo que contiene información pública que el sujeto obligado genere, obtenga, adquiera, transforme o controlar en su calidad de tal. Archivo: Conjunto de documentos, sea cual fuere su fecha, forma y soporte material, acumulados en un proceso natural por una persona o entidad pública o privada, en el transcurso de su gestión, conservados respetando aquel orden para servir como testimonio e información a la persona o institución que los produce y a los ciudadanos, o como fuentes de la historia. También se puede entender como la institución que está al servicio de la gestión administrativa, la información, la investigación y la cultura. (Ley 594 de 2000, art 3). Amenazas: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización. (ISO/IEC 27000). Análisis de riesgo: Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo. (ISO/IEC 27000). Auditoría: Proceso sistemático, independiente y documentado para obtener evidencias de auditoria y obviamente para determinar el grado en el que se cumplen los criterios de auditoria. (ISO/IEC 27000). Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales (Ley 1581 de 2012, art 3). Bases de Datos Personales: Conjunto organizado de datos personales que sea objeto de Tratamiento (Ley 1581 de 2012, art 3). Ciberseguridad: Capacidad del Estado para minimizar el nivel de riesgo al que están expuestos los ciudadanos, ante amenazas o incidentes de naturaleza cibernética. (CONPES 3701). Ciberespacio: Es el ambiente tanto físico como virtual compuesto por computadores, sistemas computacionales, programas computacionales (software), redes de telecomunicaciones, datos e información que es utilizado para la interacción entre usuarios. (Resolución CRC 2258 de 2009).





Página 6 de 31


Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. Control es también utilizado como sinónimo de salvaguarda o contramedida. En una definición más simple, es una medida que modifica el riesgo. Datos Abiertos: Son todos aquellos datos primarios o sin procesar, que se encuentran en formatos estándar e interoperables que facilitan su acceso y reutilización, los cuales están bajo la custodia de las entidades públicas o privadas que cumplen con funciones públicas y que son puestos a disposición de cualquier ciudadano, de forma libre y sin restricciones, con el fin de que terceros puedan reutilizarlos y crear servicios derivados de los mismos (Ley 1712 de 2014, art 6). Datos Personales: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. (Ley 1581 de 2012, art 3). Datos Personales Públicos: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. (Decreto 1377 de 2013, art 3). Datos Personales Privados: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular. (Ley 1581 de 2012, art 3 literal h). Datos Personales Mixtos: Para efectos de esta guía es la información que contiene datos personales públicos junto con datos privados o sensibles. Datos Personales Sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos. (Decreto 1377 de 2013, art 3). Declaración de aplicabilidad: Documento que enumera los controles aplicados por el Sistema de Gestión de Seguridad de la Información – SGSI, de la organización tras el resultado de los procesos de evaluación y tratamiento de riesgos y su justificación, así como la justificación de las exclusiones de controles del anexo A de ISO 27001. (ISO/IEC 27000). Derecho a la Intimidad: Derecho fundamental cuyo núcleo esencial lo constituye la existencia y goce de una órbita reservada en cada persona, exenta de la intervención del poder del Estado o de las intromisiones arbitrarias de la sociedad, que le permite a dicho individuo el pleno desarrollo de su vida personal, espiritual y cultural (Jurisprudencia Corte Constitucional). Encargado del Tratamiento de Datos: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. (Ley 1581 de 2012, art 3) Gestión de incidentes de seguridad de la información: Procesos para detectar, reportar, evaluar, responder, tratar y aprender de los incidentes de seguridad de la información. (ISO/IEC 27000).





Página 7 de 31


Información Pública Clasificada: Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado, siempre que se trate de las circunstancias legítimas y necesarias y los derechos particulares o privados consagrados en el artículo 18 de la Ley 1712 de 2014. (Ley 1712 de 2014, art 6). Información Pública Reservada: Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso a la ciudadanía por daño a intereses públicos y bajo cumplimiento de la totalidad de los requisitos consagrados en el artículo 19 de la Ley 1712 de 2014. (Ley 1712 de 2014, art 6) Plan de continuidad del negocio: Plan orientado a permitir la continuación de las principales funciones misionales o del negocio en el caso de un evento imprevisto que las ponga en peligro. (ISO/IEC 27000). Plan de tratamiento de riesgos: Documento que define las acciones para gestionar los riesgos de seguridad de la información inaceptables e implantar los controles necesarios para proteger la misma. (ISO/IEC 27000). Privacidad: En el contexto de este documento, por privacidad se entiende el derecho que tienen todos los titulares de la información en relación con la información que involucre datos personales y la información clasificada que estos hayan entregado o esté en poder de la entidad en el marco de las funciones que a ella le compete realizar y que generan en las entidades destinatarias del Manual de GEL la correlativa obligación de proteger dicha información en observancia del marco legal vigente. Responsabilidad Demostrada: Conducta desplegada por los Responsables o Encargados del tratamiento de datos personales bajo la cual a petición de la Superintendencia de Industria y Comercio deben estar en capacidad de demostrarle a dicho organismo de control que han implementado medidas apropiadas y efectivas para cumplir lo establecido en la Ley 1581 de 2012 y sus normas reglamentarias. Responsable del Tratamiento de Datos: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. (Ley 1581 de 2012, art 3). Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias. (ISO/IEC 27000). Seguridad de la información: Preservación de la confidencialidad, integridad, y disponibilidad de la información. (ISO/IEC 27000). Sistema de Gestión de Seguridad de la Información SGSI: Conjunto de elementos interrelacionados o interactuantes (estructura organizativa, políticas, planificación de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza una organización para establecer una política y unos objetivos de seguridad de la información y alcanzar dichos objetivos, basándose en un enfoque de gestión y de mejora continua. (ISO/IEC 27000). Titulares de la información: Personas naturales cuyos datos personales sean objeto de Tratamiento. (Ley 1581 de 2012, art 3). Trazabilidad: Cualidad que permite que todas las acciones realizadas sobre la información o un sistema de tratamiento de la información sean asociadas de modo inequívoco a un individuo o entidad. (ISO/IEC 27000).





Página 8 de 31


7. SITUACION ACTUAL

El Instituto Nacional de Cancerología se encuentra en etapa de planeación para la implementación del Sistema de gestión de seguridad de la información SGSI, que es uno de los lineamientos estratégicos claves que el INC debe adoptar teniendo en cuenta su visión como un proceso, ya que se realiza de manera transversal a varios procesos por su impacto en los mismos. Para apoyar este objetivo el INC realizo en junio de 2018 la contratación del Oficial de seguridad de la información, con el fin de tener el recurso humano adecuado con el conocimiento, la experiencia y la disponibilidad para logar el éxito del proyecto. EL INC en octubre de 2017 realizo un diagnóstico inicial utilizando la metodología e instrumentos del MSPI de MINTIC, obteniendo los siguientes resultados.

Imagen 1. Resultados de herramienta de diagnóstico MSPI - octubre 2017

Análisis de resultados diagnóstico inicial MSPI Aunque el instituto cuenta La política de seguridad de la información fue publicada mediante resolución 0192 -23-03-2016 - POLÍTICA DE SEGURIDAD INFORMATICA INC-ESE V1 0-2015, y con un manual de política de seguridad de la información y los controles para mitigación de riesgo identificados dentro del proceso de apoyo de tecnología, estos fueron determinados e implantados de acuerdo a la norma ISO 27001:2005 por lo que se requiere una actualización a la norma ISO-27001:2013 y guía del MSPI de MINTIC.

0

20

40

60

80

100

POLITICAS DE SEGURIDAD DE LAINFORMACIÓN

ORGANIZACIÓN DE LASEGURIDAD DE LA INFORMACIÓN

SEGURIDAD DE LOS RECURSOSHUMANOS

GESTIÓN DE ACTIVOS

CONTROL DE ACCESO

CRIPTOGRAFÍA

SEGURIDAD FÍSICA Y DELENTORNO

SEGURIDAD DE LASOPERACIONES

SEGURIDAD DE LASCOMUNICACIONES

ADQUISICIÓN, DESARROLLO YMANTENIMIENTO DE SISTEMAS

RELACIONES CON LOSPROVEEDORES

GESTIÓN DE INCIDENTES DESEGURIDAD DE LA INFORMACIÓN

ASPECTOS DE SEGURIDAD DE LAINFORMACIÓN DE LA GESTIÓN

DE LA CONTINUIDAD DEL…

CUMPLIMIENTO

BRECHA ANEXO A ISO 27001:2013

Calificación Actual Calificación Objetivo





Página 9 de 31


El gobierno de TI se encuentra parcialmente determinado en el Manual de gestión de tecnologías de la información, pero este no incluye la formalización de la estructura organizativa, planificación de actividades, responsabilidades, procesos, procedimientos y recursos, sobre la gestión de seguridad y privacidad de la información. El INC tiene definida y operativa la metodología de gestión del riesgo emitida por el DAFP, por lo que la integración con MSPI (SGSI) se podrá realizar de manera natural y adecuada. Los ejercicios de identificación y tratamiento de riesgo se encuentran liderados por el área de calidad, mientras que la identificación y activos de información se encuentra liderados por el área de gestión Documental. EL INC realizo su último ejercicio de identificación y clasificación de activos de información, y análisis de riesgos para todos sus procesos estratégicos, misionales y de apoyo en diciembre de 2017, el cual tiene una frecuencia de revisión anual. Como resultado se cuentan con 14 matrices de identificación de riesgo, una por cada proceso del instituto.

Imagen2. Mapa de procesos del INC

Las matrices de riesgo actualmente no incluyen riesgos de seguridad y privacidad de la información para los procesos operativos misionales, pero si para los principales sistemas de información misionales. Se evidencia análisis de riesgos operativos, de corrupción y solo en algunos casos de tipo tecnológico. Los controles implantados para seguridad de red y comunicaciones locales son soluciones de software virtualizadas tipo opensource Linux, para los cuales se realiza un monitoreo diario sobre los eventos que ocurren sobre los mismos, pero no se identifican tecnologías de tipo IDS, IPS y SIEM para el examen y análisis proactivo





Página 10 de 31


del tráfico, en busca de datos sospechosos, generación de alertas, y para poder dar visibilidad y ejecutar acciones automáticas oportunas sobre las amenazas a los sistemas. No se encuentran formalizadas las debidas contingencias para dichas maquinas virtualizadas Linux dentro del instituto. Existen controles tipo portal captivo y una correcta segmentación del tráfico vlans para redes, para para los sistemas WIFI libres para pacientes y visitantes, y controles de acceso con validación MAC para las WIFI institucionales. Se debe formalizar políticas de buen uso de WIFI, buen uso de dispositivos de almacenamiento externo, y políticas de BYOT (Uso de su propia tecnología y/o dispositivo) En el INC se encuentran implantadas el uso de técnicas criptográficas y de ciframiento para uso de conexiones remotas, vpn y protección de archivos, pero no se encuentran definidas ni formalizadas en procedimientos o políticas. Tampoco se observa unificación y cumplimiento estricto de las políticas de manejo de contraseñas fuertes, y en expiración de claves El front end del portal web y portal infantil del instituto en su desarrollo y diseño se encuentra administrado por un tercero (BISA), cuenta con una seguridad básica para la plataforma Drupal, donde se identifican debilidades sobre la administración en el manejo de contraseñas, en el monitoreo de links y páginas del portal, y en la protección de archivos de configuración, las cuales deben trabajarse con el proveedor. El portal WEB y el portal infantil se encuentra alojados en un hosting contratado con la empresa TIVIT, en un esquema de redundancia en 2 nodos tipo activo pasivo para asegurar una disponibilidad del servicio el 99,99%, y se cuenta servicos de seguridad de appliance (Firewall y antivirus) y con un servicio WAF (Web Access Firewall) para proteger el sitio de ataques maliciosos. El portal de campus virtual se encuentra alojado en hosting de la empresa IFX, con un esquema de disponibilidad de servicio contratado del 99,99%. Sobre este portal registrado como un subdominio del portal principal se encuentran contratados servicios de appliance (Firewall y antivirus perimetral y WAF para protección del sitio. La configuración de firewall y WAF debe ser revisada con ambos proveedores, para que las alarmas y vulnerabilidades detectadas y gestionadas sean incluidas en los alcances de los reportes mensuales de ambos proveedores. También se cuenta por un servicio portal de Donaciones contratado con la empresa de pagos virtuales Safetypay, el cual tiene un certificado digital valido instalado para protección de ataques de phishing y suplantación. Sobre este servicio de donaciones debe realizarse una revisión de Circular Externa 008 de 2018 al establecer el cumplimiento de los requerimientos mínimos de seguridad y calidad para la realización de operaciones a través de pasarelas de pago. La gestión de incidentes de seguridad se realiza sobre la misma herramienta de gestión de incidentes del Outsourcing de Helpdesk, y existen formatos para la recolección de información de incidentes eventos pero estos no se encuentran registrados en el sistema documental. Se hace necesario la constitución de una base de conocimiento especializada para seguridad de la información, en la cual se pueda tener la información aplicada de los incidentes para realizar identificación de vulnerabilidades y análisis de problemas. No se cuenta con procedimientos formalizados para la recolección de pruebas de incidentes y eventos y cadena de custodia. Sobre seguridad física y entorno, la gestión en el INC se encuentra distribuida entre el grupo área sistemas para datacenter, grupo área de infraestructura, y grupo área de gestión hotelera y ambiental. La ausencia de un coordinador de redes e infraestructura dentro del área de sistemas trae como consecuencia que los controles sobre acceso y gestión del datacenter local no tengan un responsable específico y no sean monitoreados adecuadamente. Se observan medidas de control correctas y suficientes sobre sistemas de control ambiental, energía, disponibilidad y mantenimiento de datacenter para garantizar sustentabilidad operacional, sin alcanzar los requisitos de un estándar TIER en continuidad eléctrica y ambiental. El cubrimiento de sistemas de detección y extinción de incendio en el instituto tiene un cubrimiento de aproximadamente el 30% del área total del instituto, y un cubrimiento solo en zonas críticas del sistema de CCTV debido a la extensión de las instalaciones de INC.





Página 11 de 31


En cuanto a la gestión de privacidad de datos personales de acuerdo la ley 1581 de 2012 y el decreto regulatorio 1377 de 2017, el INC no ha formalizado el registro de bases de datos de información personal ante la SIC la cual tiene plazo perentorio en enero 31 de 2019, pero la entidad es consciente de la importancia del tratamiento de privacidad de sus activos de información, por lo cual contrató la ejecución de una consultoría sobre manejo de datos personales con una empresa externa con experticia en tratamiento de información en el sector salud. La consultoría se encuentra en etapa de planeación. INC cuenta con procesos formalizados de contingencia tecnológica crítica (DRP) para el sistema de información principal SAP utilizando un modelo de contingencia Activo-Pasivo y tecnologías de virtualización entre datacenter primario (local) y datacenter tercerizado en TIVIT. Esta contingencia del sistema de información crítico SAP es probada de forma regular, cuyo último informe de ensayo se evidencia el 02/03/2018. Para los demás sistemas de información críticos no se encuentran contingencias formalizadas, y su operación se encuentra cubierta únicamente por medidas de sistemas de backup. Los procesos de backup si se encuentran debidamente formalizados, se ejecutan y se registran oportunamente, y se resguardan de manera adecuada fuera del INC con la empresa Tandem. Para los backup de servidores, compartidas, y demás plataformas y sistemas de información solo se cuentan con evidencias de pruebas de recuperaciones parciales y recuperación de tipo correctivo, pero no con planes y pruebas programadas de restore de forma periódica. En los datacenter tercerizados y servicios de hosting externos se tienen contratados y controlados los servicios de backup y resguardo de la información El INC no tiene un plan de continuidad de negocio establecido, ni se realizan periódicamente análisis de impacto de negocio (BIA), que cubran los aspectos de continuidad las operaciones de los procesos críticos del INC. Existen planes de contingencia operativos para algunas áreas críticas pero no se encuentran debidamente articulados en un Plan de continuidad de Negocio. Los entrenamientos y capacitación en seguridad de la información no se encuentran debidamente formalizados, aunque se registran esfuerzos del grupo área sistemas a través de boletines, correos y medios institucionales para generar concienciación sobre seguridad informática para todo el personal del INC. Se deben fortalecer los contratos de trabajo de los empleados contratistas y proveedores para actualizar las responsabilidades sobre privacidad y manejo de seguridad de la información. 8. METODOLOGIA DE PROYECTO El modelo de implementación e inicio de operación del SGSI basado en ISO 27001:2013 consta de 5 pasos, y está basado en el ciclo PHVA lo que permite que el sistema de gestión sea sostenible en el tiempo.

Imagen 3 – Ciclo de operación del Modelo de Seguridad y Privacidad de la Información

DIAGNÓSTICO

Planificacion

Mejora Continua Implementación

Evaluación de Desempeño





Página 12 de 31


1era Fase: Diagnostico En fecha 13/10/2017 el INC aplico parcialmente el diagnóstico, usando los instrumentos y herramientas del MSPI determinando el estado actual de seguridad en la entidad, cuyos resultados se relacionan en los numerales 5. Situación actual y 5.1 Análisis de resultados diagnóstico inicial MSPI, del presente documento. De acuerdo a este diagnóstico MSPI, el estado actual de la entidad en cuanto a la implantación del sistema de gestión de seguridad de la información se presenta a continuación

Año

AVANCE PHVA

COMPONENTE % de Avance

Actual % Avance Esperado

2015 Planificación 34% 40%

2016 Implementación 15% 20%

2017 Evaluación de desempeño 7% 20%

2018 Mejora continua 2% 20%

TOTAL 58% 100% En la fase de diagnóstico falta realizar una identificación de vulnerabilidades técnicas y administrativas, y la programación de pruebas de efectividad de los controles actuales que sirvan como insumo para ajustar la fase de planificación. 2da Fase: Planificación. Para el desarrollo de esta fase, el INC debe utilizar los resultados de la etapa anterior y proceder a elaborar el plan de seguridad y privacidad de la información alineado con el objetivo misional de la entidad, con el propósito de definir las acciones a implementar a nivel de seguridad y privacidad de la información, a través de una metodología de gestión del riesgo. El avance de la etapa de planeación de la entidad que se deben publicar a MINTIC a fecha corte 31 de Julio de 2018:

Año 2018 Estado de

planeación

Responsable

Plan de tratamiento de Riesgo de seguridad y privacidad de la información

95% Oficial de seguridad de la información

Plan de seguridad y privacidad de la información (SGSI)

95 % Oficial de seguridad de la información





Página 13 de 31


A continuación se relaciona el estado de los principales entregables de etapa de planeación

Entregables Etapa Planeación Estado de

planeación

Estado

Políticas de seguridad y privacidad de la información

100% - Formalizado Sin iniciar – Actualización de norma y revisión

Política formalizada en año 2015, bajo la norma ISO 27001:2015. Requiere Actualización a norma ISO 27001:2018, incluyendo nuevos dominios.

Procedimientos de seguridad de la información.

10% Existe limitada documentación formalizadas de procedimientos de proceso de seguridad

Roles y responsabilidades de seguridad y privacidad de la información.

30% Existen formalizados 3 procesos independientes sobre roles y responsabilidades sobre aplicativos misionales críticos

Inventario de activos de información.

100% Metodología del INC ya está alineada a DAFP. Último ejercicio dic 2017. Matices de activos publicadas en SIAPINC. Programación de próximo Ejercicio nov 2017

Integración del MSPI con el Sistema de Gestión documental

70% El sistema de gestión documental es el responsable de levantamiento y actualización de activos de información. Matrices de riesgo por proceso se encuentran a custodia el sistema de gestión de calidad. Falta registrar en sistema de gestión documental formatos de reporte de incidentes y bases de datos de conocimiento de seguridad de la información

Identificación, Valoración y tratamiento de riesgo.

5%

El ejercicio se realizó identificando riesgos de proceso tecnológico para el área grupo de sistemas, pero no se valoraron riesgos de seguridad y privacidad sobre los 13 procesos restantes de operación. Se elaboró Plan de tratamiento de riesgo de seguridad y privacidad de la información. Se contrató Consultoría de Habeas data

Plan de Comunicaciones de seguridad de la información.

Sin Iniciar Documento formalizando el plan de comunicación, sensibilización y capacitación para la entidad.

Plan de diagnóstico de IPv4 a IPv6

5% Responsable : Coordinador de grupo área sistemas Se realizó un levantamiento de información previo al interior del INC, en el cual se determinó que se realizara un estudio con un consultor externo para diagnosticar la red y la infraestructura adecuada para IPV6, y se planee e implemente el proyecto de migración de Ipv4 a Ipv6. El plan de diagnóstico incluyendo la seguridad IPV6 está en etapa de selección del proveedor que se encargara del diagnóstico e implantación.





Página 14 de 31


Medición de nivel de madurez de tratamiento de datos personales

2% Supervisión de consultoría externa, para evaluar el estado actual del instituto en protección de datos, y actualizar los manuales, clausulas y contratos requeridos por la institución, y registro de bases de datos ante la SIC.

3ra Fase: Implementación Esta fase le permitirá al Instituto llevar acabo la implementación de la planificación realizada en la fase de planeación del SGSI

.

Imagen 4 – Subprocesos de fase de implementación del SGSI

Los criterios de evaluación de riesgo, criterios de impacto y criterios de aceptación del riesgo del Instituto Nacional de Cancerología están definidos en la guía GSI-P07-I-01 INSTRUCTIVO PARA LA IDENTIFICACIÓN, ANÁLISIS, EVALUACIÓN, TRATAMIENTO, MONITOREO Y SEGUIMIENTO DE RIESGOS EN EL INSTITUTO NACIONAL DE CANCEROLOGÍA y en la guía GSI-P07-I-02 INSTRUCTIVO DE DILIGENCIAMIENTO DE LA MATRIZ PARA EL LEVANTAMIENTO DEL MAPA DE RIESGOS POR PROCESO Y DE CORRUPCIÓN. Las guías para la administración del riesgo del DAFP (Departamento Administrativo de la Función Pública) y la guía para la Gestión del Riesgos de Corrupción 2015, son las normas de referencia adoptadas por el Instituto La metodología de valoración de riesgos de seguridad y privacidad en INC se definió en el documento PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN del INC.





Página 15 de 31


Los siguientes se identifican como los principales entregables de la fase de implementación del SGSI Entregables Estado de

implementación

Responsable

Documento con la estrategia de planificación y control operacional en seguridad y privacidad de la información, revisado y aprobado por la alta Dirección.

Sin iniciar Oficial de seguridad de la información, Coordinador de Grupo área sistemas, Dirección

Informe de la ejecución del plan de tratamiento de riesgos de seguridad y privacidad de la información, aprobado por el dueño de cada proceso.

Sin iniciar Oficial de seguridad de la información, Gestor de Calidad, Lideres de Proceso

Documento con la descripción de los indicadores de gestión de seguridad y privacidad de la información. (Reevaluación de los indicadores actuales)

Sin iniciar Oficial de seguridad de la información, Gestor de Calidad

Documento con las estrategias del plan de implementación de IPv6 en la entidad, aprobado por la Oficina de TI.

Sin iniciar Coordinador grupo área sistemas, Líder de infraestructura y redes, Consultor externo

. 4ta Fase: Evaluación de desempeño El proceso de seguimiento y monitoreo del SGSI se hace con base a los resultados que arrojan los indicadores de la seguridad de la información propuestos en la etapa de implementación para verificación de la efectividad, la eficiencia y la eficacia de las acciones implantadas.

Imagen 5 – Subprocesos de fase de evaluación de desempeño del SGSI





Página 16 de 31


En esta fase se incluyen las siguientes actividades: • Revisión de la efectividad de los controles establecidos y su apoyo al cumplimiento de los objetivos de

seguridad. • Revisión de la evaluación de los niveles de riesgo y riesgo residual después de la aplicación de

controles y medidas administrativas. • Seguimiento a la programación y ejecución de las actividades de autorías internas y externas del SGSI. • Seguimiento al alcance y a la implementación del SGSI. • Seguimiento a los registros de acciones y eventos / incidentes que podrían tener impacto en la eficacia

o desempeño de la seguridad de la información al interior de la entidad. • Medición de los indicadores de gestión del SGSI • Revisiones de acciones o planes de mejora (solo aplica en la segunda revisión del SGSI)

Entregables Estado de Ev.

desempeño

Responsable

Documento con el plan de seguimiento y revisión del SGSI revisado y aprobado por la alta Dirección.

Sin iniciar Oficial de seguridad de la información, Coordinador de Grupo área sistemas, Lideres de Áreas, Dirección

Documento con el plan de ejecución de auditorías y revisiones independientes al SGSI, revisado y aprobado por la Alta Dirección.

Sin iniciar Oficial de seguridad de la información, Gestor Control Interno.

5ta Fase: Mejora Continua En esta fase el INC debe consolidar los resultados obtenidos de la fase de evaluación de desempeño, para diseñar el plan de mejoramiento continuo de seguridad y privacidad de la información, tomando las acciones oportunas para mitigar las debilidades identificadas

Imagen 6 – Subprocesos de fase de gestión de mejora continua del SGSI En esta fase se definirá el plan de mejora continua del SGSI del INC que debe incluir:

• Resultados de la ejecución del plan de seguimiento, evaluación y análisis para el SGSI

• Resultados del plan de ejecución de auditorías y revisiones independientes al SGSI. •

A continuación se relaciona el estado de los principales entregables de etapa de gestión de la Mejora continua del SGSI:





Página 17 de 31


Entregables Estado de

Mejora Continua

Responsable

Documento con el plan de mejoramiento, con los resultados de la ejecución del plan de mejoramiento

Sin iniciar Oficial de seguridad de la información, Gestor de Calidad,

Documento con el plan de comunicación de resultados de auditorías internas y revisiones independientes del SGSI.

Sin iniciar Oficial de seguridad de la información, Gestor Control Interno.

9. RECURSOS DEL PLAN DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION Identificación de Stakeholders Se identifican los siguientes stakeholders para el plan de seguridad y privacidad de la información

Imagen 7. Identificación de stakeholders para plan de seguridad y privacidad de la información.





Página 18 de 31


Identificación de Recurso Humano Para la ejecución de dicho plan se requieren los siguientes Recursos Humanos por fase de proyecto:

Imagen 8. Recursos Humano necesario para plan de seguridad y privacidad de la información. Es importante contar con la inclusión de un Especialista de Continuidad de negocio gobernado por el grupo área de planeación, o por el área que lidere la administración de riesgo operativo SARO. Esta especialista en Continuidad se encargara de la prevención y atención de emergencia, la administración de la crisis, los planes de contingencia, y la gestión de capacidad de retorno a la operación normal, para los procesos operativos del INC, mientras que el oficial de seguridad de la información tendrá a su responsabilidad el proceso de continuidad de negocio tecnológico e informático. También es importante la inclusión del recurso faltante en el área de Sistemas encargado de liderar los servicios de infraestructura de redes y comunicaciones, ya que este funcionario se debe responsabilizar por los controles y activos de información de datacenters, servidores, redes y comunicaciones en cuanto a la gestión de disponibilidad, continuidad, capacidad, integridad, seguridad, monitoreo y mejora continua.





Página 19 de 31


Recursos Físicos Para la ejecución del plan de seguridad y privacidad de la información se requieren los siguientes Recursos Físicos y documentales por fase de proyecto:

Imagen 9. Recursos Físicos y documentales necesarios para plan de seguridad o privacidad de la información

De acuerdo a la identificación de recursos físicos para el SGSI se desprende la identificación de una arquitectura de seguridad mínima adicional a la actual (Firewalls, Consola Antivirus, Portal Captivo y VPN) para poder dar visibilidad a los eventos que ocurren sobre los activos de información del Instituto, sin los cuales los procesos de identificación y detección de vulnerabilidades y amenazas, análisis de logs y correlación de evento se tendrían que seguir realizando de manera semi-manual, de forma reactiva, espaciada en el tiempo, y con recursos





Página 20 de 31


humanos limitados y asignados a otras tareas que limitan la ventana de oportunidad y respuesta ante incidentes y eventos de seguridad y privacidad del INC. Además esta arquitectura mínima proporciona un valor añadido al permitir crear informes reales, ajustados y con oportunidad sobre cumplimiento normativo de seguridad de la información del INC.

El diseño de esta arquitectura mínima se constituye uno de las actividades a ejecutar dentro del plan de seguridad y privacidad de la información, la cual evaluara y determinara la implantación de las siguientes herramientas básicas: IDS o IPS: Sistemas de Detección y/o bloqueo de eventos preventivos automáticos aumentando la seguridad de la red, vigilando el tráfico, examinando y analizando los paquetes en busca de datos y actividades sospechosas. Ambos sistemas basan sus detecciones principalmente en firmas ya detectadas y reconocidas. El sistema IDS (Intrusion Detection System) consigue este objetivo a través de alertas anticipadas dirigidas a los administradores de sistemas. Sin embargo, a diferencia del sistema IPS, no está diseñado para detener ataques. El sistema IPS (Intrusion Prevention System está diseñado para analizar los datos del ataque y actuar en consecuencia, deteniéndolo en el mismo momento en que se está gestando y antes de que tenga éxito creando, por ejemplo, una serie de reglas en el firewall corporativo WAF: (Web Application Firewall) es un sistema de hardware o software que permite proteger los servidores de aplicaciones web de determinados ataques específicos en Internet. Con él se controlaran las transacciones al servidor web de nuestro negocio, y se monitorean los eventos y cambios que ocurren sobre cada uno de las paginas, links, bases de datos y demás componentes de del portal. Básicamente nos permite evitar y alertar de forma constante, los siguientes ataques:

• Cross-site scripting que consiste en la inclusión de código script malicioso en el cliente que consulta el servidor web

• SQL injection que consiste en introducir un código SQL que vulnere la Base de Datos de nuestro servidor.

• Denial-of-service que consiste en que el servidor de aplicación sea incapaz de servir peticiones correctas de usuarios

Actualmente se tiene contratados servicios WAF con las empresas TIVIT e IFX para la protección de portal web, portal infantil, intranet y campus virtual. Se debe solicitar a estos proveedores de servicio dar mayor visibilidad de la gestión de estas herramientas dentro de los informes mensuales de acuerdos marco, y se debe hacer una revisión del alcance y configuración de alertas y reglas de las misas.

SIEM (Security Información and Event Management): Sistema de análisis y correlación de información, que permite centralizar y analizar los logs y registros de eventos, otorgando un repositorio central para el análisis de incidentes y eventos que ocurren en las redes y sistemas. Permite la correlación de eventos en tiempo real para una gestión proactiva de amenazas basada en reglas, señalando los intentos de acceso, amenazas internas, violaciones de políticas, etc. de manera automatizada. Realiza también la monitorización y auditoria sobre la integridad de archivos, afectando mínimamente el desempeño los recursos de los servidores, bases de datos o sistemas de información a controlar.





Página 21 de 31


Recursos Financieros Para la ejecución de dicho plan se requieren inicialmente los siguientes Recursos Financieros para funcionamiento:

ITEM Capacidad Tipo de

Soporte Valor Mensual Valor Anual

Oficial seguridad de la información N/A N/A $ 5.200.000,00 $ 96.096.000,00

Especialista en continuidad de negocio N/A N/A $ 5.200.000,00 $ 96.096.000,00

Appliance de Seguridad datacenter Tivit (Firewall y antivirus) Media Oro $ 630.065,00 $ 7.560.780,00

Web application Firewall Tivit Media Oro $ 660.000,00 $ 7.920.000,00

Appliance de Seguridad IFX (Firewall y antivirus) Media Oro $ 1.454.460,00 $ 17.453.520,00

Web application Firewall IFX Media Oro $ 471.640,00 $ 5.659.680,00

Ethical Hacking y Retesting Caja Negra / Caja gris - - $ 80.000.000,00

Servicios adicionales de IPS y DDos para appliance TIVIT Media Oro $ 1.454.460,00 $ 17.453.520,00

Servicios adicionales de IPS y DDoS para appliance TIVIT

Media Oro $ 630.065,00 $ 7.560.780,00

Certificado Digital Dominio y Subdominos - - $ 18.065.951,00

Appliance y servicios de seguridad para datacenter local (servicio tercerizado Firewall, Antivirus Perimetral, IPS, DDOS)

Media Oro $ 3.500.000 $ 42.000.000,00

Analizador de Eventos Mcafee On cloud, CSIRT Gobierno (3 a 6 logs criticos) Media Oro $ 0 $ 0

SUBTOTAL FUNCIONAMIENTO $ 395.866.231,00

ITEM (OPCIONAL) Capacidad Tipo de

Soporte Valor Mensual Valor Anual

Firewall base de datos On Cloud (Opcional) Media Oro $ 32.868.000,00 $ 394.416.000

SUBTOTAL FUNCIONAMIENTO (OPCIONALES) $ 394.416.000,00

TOTAL FUNCIONAMIENTO (OPCIONALES INCLUIDOS) $ 790.282.231,00

En la fase de implementación del plan de tratamiento de riesgos el comité de riesgo puede determinar la asignación de un presupuesto adicional para la mitigación de riesgo en el caso de que sean necesarias herramientas adicionales de seguridad, nuevos controles o cambios en los controles actuales que requieran inversión. El resultado de la tercera fase justamente consiste en el documento de aprobación de los riesgos de seguridad de la información y privacidad a ser tratados junto con el presupuesto aprobado que se requiere para alcanzar este objetivo. La construcción del plan de continuidad de negocio requiere de un recurso adicional especialista en continuidad operacional que dependa del área que tenga a su cargo el sistema de administración de riesgo operacional





Página 22 de 31


SARO, o se requiere la creación de un área independiente de continuidad de negocio que reporte a la oficna asesora de planeación y sistemas. El oficial de seguridad de la información tendrá a su cargo únicamente la continuidad de tecnologías informáticas y sistemas de información. El resultado de la construcción del PCN en conjunto determinara otro presupuesto adicional para establecimiento y cumplimiento del plan de continuidad. El resultado del ejercicio de arquitectura tecnológica determinará si se requieren recursos adicionales o de tipo propietario para poder dar visibilidad a los eventos y vulnerabilidades con un mayor grado de oportunidad, o si se sigue apoyando con el uso de herramientas tipo opensource, y con la gestión manual a automática de los proveedores de tecnología. El ejercicio de Hacking Ético se realizaría con un alcance de caja gris o caja negra, realizando pruebas de intrusión a sistemas misionales críticos, pruebas de WIFI, pruebas a firewall, pruebas a plataforma de correo electrónico pruebas a los portales web e intranet, y ataques simulados de ingeniería social. La implantación de firewall de base datos se deja como un ítem opcional y se determinara su pertinencia una vez que se conozca el estudio del proyecto para la migración de la versión de base de datos de SAP. El presupuesto para el capítulo seguridad IPV6 sugerido por MSPI se incluye en el estudio y proyecto liderado por el área grupo sistemas, por lo que no se incluye en el presupuesto del SGSI. En cuanto al Analizador de Eventos de seguridad, se utilizara en la primera fase del SGSI el recurso gratuito que pone a disposición el CSIRT gobierno para las entidades gubernamentales y nacionales, limitando el alcance a la cantidad de logs que el CSIRT determine. Para establecer comunicación con el CSIRT GOBIERNO se requiere implementar una VPN punto apunto hacia un concentrador Fortinet, por lo que se podría requerir de un presupuesto adicional si el sistema de VPN actual configurado con productos opensource no es soportado por dicho sistema. En este caso se requeriría la adquisición de un appliance o router para establecer esta VPN.

10. CUMPLIMIENTO DE IMPLEMENTACIÓN Se identifican a continuación los dominios seleccionados de ISO 27001 que se deben desarrollar para la implementación del SGSI en INC y para dar cumplimiento al plan de seguridad y privacidad de seguridad de la información exigida por MSPI de MINTIC:

• GESTIÓN DE GOBIERNO DE SEGURIDAD

• GESTION DE RIESGOS

• GESTION DE CONTINUIDAD DE NEGOCIO

• GESTIÓN DE CUMPLIMIENTO INTERNO Y REGULATORIO

• GESTIÓN DE PROYECTOS

• PRIVACIDAD DE DATOS PERSONALES





Página 23 de 31


11. HOJA DE RUTA A continuación se presenta la hoja de ruta de proyecto para la ejecución del plan de seguridad y privacidad de la información para el periodo comprendido entre 1 de julio de 2018 y diciembre 31 de 2019

Imagen 10. Hoja de ruta del plan de SGSI





Página 24 de 31


El detalle de fechas del grafico de hoja de ruta se presenta en la siguiente tabla, asociando los items a los controles y dominio de la norma ISO 27001:2013

12. CRONOGRAMAS DE PROYECTO El cronograma detallado de actividades y responsables de proyecto del plan de seguridad y privacidad de la información se presenta a continuación, por cada uno de los subprocesos definidos en la hoja de ruta Haz o Muere – Consultoría de datos personales y revisión servicio pagos virtuales donaciones (2018)





Página 25 de 31


Gestión de Riesgos de la Información (2018)





Página 26 de 31


Gestión de Gobierno de SGSI (2018 -2019)

Gestión de Continuidad de Negocio Informático (2019)

Programación de Pruebas Continuidad de Negocio Informático (2019)





Página 27 de 31


Gestión de cumplimiento normativo y regulatorio del SGSI (2019)

Gestión de proyectos (2019)





Página 28 de 31


13. ENTREGABLES

Entregables obligatorios SGSI Los siguientes documentos se constituyen en entregables obligatorios para el funcionamiento del SGSI bajo ISO27001:2013 y para el plan de seguridad y privacidad de la información





Página 29 de 31


Entregables no obligatorios SGSI (Opcionales) Los siguientes documentos se constituyen en entregables opcionales para el funcionamiento del SGSI bajo ISO27001:2013 y para el plan de seguridad y privacidad de la información.

Divulgación del SGSI La divulgación de la Implementación del Sistema de Gestión de Seguridad de la Información se desarrolla inicialmente en el Comité de Tecnologías de la Información del instituto, dando a conocer el avance y el cumplimiento del mismo en el marco de la Norma ISO27001:2013 y el instrumento de valoración dispuesto por la metodología MSPI del Ministerio de tecnologías de la información y las comunicaciones.





Página 30 de 31


En segundo lugar la divulgación se realiza mediante el portal institucional y la herramienta de gestión documental calidad y planeación SIAPINC donde se publica toda la información (manuales, instructivos, procedimientos y formatos) creados dentro de la gestión de seguridad y privacidad de la información, a su vez a través del correo electrónico y en las pantallas de CCTV para todos los funcionarios del Instituto. Se realiza capacitación y divulgación a todos los funcionarios y contratistas en las jornadas de capacitación realizadas por el Área Grupo de sistemas.

14. IDENTIFICACIÓN DE RIESGOS DE PROYECTO

• Ocupación de recursos claves Impacto: Alto La no disponibilidad u ocupación de recursos claves, y la ocupación del día a día con prioridad sobre las tareas del proyecto impacta el tiempo y cronograma del plan.

• Rotación de personal de proyecto Impacto: Medio La rotación de personal del personal clave impacta el tiempo de proyecto, ya que se requiere un tiempo prudencial para el entrenamiento y conocimiento de los procesos completos del cargo. El sistema de gestión de calidad mitiga pérdida de conocimiento ya que se observa un árbol documental y de procesos maduro

• Cambios de proveedores de tecnología Impacto: Medio Los cambios de proveedores de tecnología por política de sector gobierno se constituye en un riesgo que impacta el tiempo de proyecto debido a la necesidad de capacitación y adaptación de personal externo en los procesos del instituto, y requiere reproceso y revisión de los controles, la documentación de SGSI y entregables del plan.

• Cambios de tecnología: Impacto: Medio Aunque se observa una tendencia estable sobre los sistemas de información críticos, los cambios de tecnología debido a los cambios de proveedores por política de sector gobierno se constituye en un riesgo que impacta el recurso humano y tiempos de proyecto, ya que se requieren nuevos procesos de adopción y curva de aprendizaje del personal interno, contratistas y proveedores del INC a estos cambios, y se requiere revisión de los controles, la documentación de SGSI y entregables del plan.

• Resistencia al cambio y al control Impacto: Medio El cambio y fortalecimiento de controles puede representar una ruptura en la cultura para algunos empleados que se pueden negar a seguir los nuevos lineamientos, retrasando las labores y obstaculizando el trabajo seguro de los demás. Se requiere el apoyo de la dirección y el uso de mecanismos como resoluciones y seguimiento de control interno para asegurar el cumplimiento de política y controles.

• Gestión de Transparencia de Gobierno vs seguridad Impacto: Alto





Página 31 de 31


La publicación de información de contratación debido a la obligación de cumplimiento de normatividad de transparencia en sector gobierno se identifica como un riesgo de seguridad ya que los atacantes tienen disponible la información sobre las herramientas implementadas y el conocimiento sobre los módulos y requerimientos de configuración estándar realizados por Colombia Compra para sistemas relacionados con seguridad.

15. CONTROL DE CAMBIOS

ELABORÓ REVISÓ APROBÓ

Cargo: Profesional especializado I Cargo: Coordinador Cargo: MIPG - Comité institucional de gestión y desempeño

Comité Carlos Andres Guerrero Nombre Luis Eduardo Martínez Cargo: Coordinador Grupo Área Sistemas

Dependencia: Grupo Área de Sistemas Dependencia: Grupo Área de Sistemas Dependencia:

Comité institucional de gestión y desempeño con acta No 09 de 12 de julio de 2018

Fecha: 09-07-2018 Fecha: 10-07-2018 Fecha: 12-07-2018

INDICE DE MODIFICACIONES

Versión

Responsable

Cargo

Fecha

Descripción

1.0 Carlos Andres Guerrero

Profesional especializado I – oficial

de seguridad de la información 09/07/2016

Creación del documento

INSTITUTO NACIONAL DE CANCEROLOGÍA ESE … · (iso/iec 27000). Activo de Información: En...

Documents

Transcript of INSTITUTO NACIONAL DE CANCEROLOGÍA ESE … · (iso/iec 27000). Activo de Información: En...