Taller 1. Seguridad y Privacidad de la Información

Diciembre 2017

Políticas Roles y Responsabilidades

Diciembre 2017

Agenda

1.  Modelo de Seguridad y Privacidad de la

Información

2.  Política General de Seguridad

3.  Política de Privacidad

4.  Políticas Específicas

5.  Roles y Responsabilidades

6.  Taller

http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html

Seguridad y privacidad de la

información

Documento Maestro

21 GUÍAS INSTRUMENTOS

Modelo de Seguridad y Privacidad de la información Composición

http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html

Modelo de Seguridad y Privacidad de la información EnfoqueatravésdelcicloD+PHVA

Metodológica de pruebas de efectividad

Política general MSPI v1

Procedimientos de Seguridad y

Privacidad de la Información.

Roles y responsabilidades de

seguridad y privacidad de la

información

Gestión De Activos Gestión Documental

Gestión del riesgo

Controles de Seguridad

Indicadores de Gestión SI

Continuidad de TI Análisis de Impacto de Negocios (BIA)

Seguridad en la nube

Evidencia digital

Plan de comunicación,

sensibilización y capacitación

Auditoría Evaluación desempeño

Mejora continúa

Lineamientos: Terminales de áreas financieras entidades

públicas

Aseguramiento del protocolo IPv6

Transición de IPV4 a IPv6 para Colombia Gestión de incidentes

21 Documentos

Modelo de Seguridad y Privacidad de la información Guíasdetrabajo

Política General de Seguridad de la Información

Proteger activos

Software

Físicos

Servicios

Personas

Información

Reputación

Política General de Seguridad de la información ¿Quéhace?

Servidores públicos

Terceros

Ciudadanía

¿Quién?

Política General de Seguridad de la información

Cumplimiento

Misión

Visión

Objetivos Estratégicos

Normas

¿Porqué?

Política General de Seguridad de la información

Desarrollo de las políticas Cumplimiento Comunicación Monitoreo Mantenimiento Retiro

FasesdelaimplementacióndelaPolítica

Política General de Seguridad de la información

• La Política aplica al proceso de XXX (ejm: Tecnología)

• A funcionarios, terceros, practicantes, ciudadanía

Alcance

Política General de Seguridad de la información Alcance

Objetivos

Mantener confianza

Proteger activos

Cumplir principios seguridad

Minimizar riesgo

Garantizar continuidad

Objetivos

Política General de Seguridad de la información

Principios de seguridad

Integridad

Confidencialidad

Disponibilidad

Objetivos

Política General de Seguridad de la información

Riesgo

Control

Riesgo residual

Minimizar el riesgo

Objetivos

Política General de Seguridad de la información

1. ENCABEZADO (MISION) 2. OBJETIVOS 3. ALCANCE/APLICABILIDAD 4. NIVEL DE CUMPLIMIENTO 5. DECLARACION DE LOS PRINCIPIOS DE

SEGURIDAD 6. INCUMPLIMIENTO

Estructuradeldocumento

Política General de Seguridad de la información

Política de Privacidad de la información

Política – Privacidad de la información MarcoLegalyNormativo

•  Ley 1581 de 2012: Tratamiento de datos personales •  Ley 1712 de 2014: Información pública •  Decreto 1074 de 2015: (antiguo Decreto 1377 de 2013)

Capítulo 25 - Reglamenta •  parcialmente la Ley 1581 de 2012 •  Decreto 1081 de 2015 (antiguo Decreto 103 de 2015):

Título 1. Disposiciones generales en materia de transparencia y del derecho de acceso a la información pública nacional.

Proteger datos

personales

Legalidad

Finalidad

Libertad

Veracidad o calidad

Transparencia

Accesoy circulaci

ón restringi

da

Seguridad

Política – Privacidad de la información Principios

Proteger datos

personales

Conocer

Actualizar

Rectificar

Oponerse

Política – Privacidad de la información Derechos de los titulares

Consentimiento

Libre

Previo

Expreso

Informado

Política – Privacidad de la información Autorización

Canales Presenciales

Canales virtuales

Política - Privacidad de la información

¿Dónde?

Cumplimiento

Normatividad

Tratamiento de datos

Derechos de los

ciudadanos

Política - Privacidad de la información ¿Porqué?

Política - Privacidad de la información

1. Ambito de aplicación 2. Excepción al ámbito de aplicación. 3. Principios del tratamiento de datos personales: 4. Derechos de los titulares 5. Autorización del titular 6. Deberes de los responsables del Tratamiento 7. Política de controles criptográficos 8. La política de confidencialidad

Estructuradeldocumento

Políticas Especificas

Políticas específicas de SPI Textodeldocumentomaestro

Estructura de las políticas específicas •  Qué se debe cumplir –regla de conducta / criterio de aceptación-. •  Cuáles objetivos de seguridad se buscan lograr apoyados en el

cumplimiento de la política. •  Cuáles principios de seguridad se relacionan directamente con la

política. •  Quiénes deben cumplir con la política. •  Quién hace seguimiento al cumplimiento de la política. •  Cuál es la vigencia de la política. •  Identificación de las partes interesadas que deben conocer la

política. •  Cuáles son las consecuencias/sanciones por el incumplimiento de la

política. •  Debe tener un alcance claro y sin ambigüedades.

Organización de la Seguridad de la

información Gestión de activos Control de acceso No repudio

Privacidad y confidencialidad Integridad

Disponibilidad del servicio e

información

Registro y auditoría

Gestión de incidentes de

Seguridad de la Información

Capacitación y sensibilización en seguridad de la

información

Política- Seguridad de la Información

¿Cuáles aspectos o dominios requieren políticas específicas como mínimo?

Roles y Responsabilidades

Propósito Definir funciones y asignar responsables en la gestión de la seguridad y privacidad de información dentro de las entidades públicas.

Establecer tareas específicas

Actividades/Funciones Vs Rol/Cargo

•  Evitar imprecisiones en responsabilidades

•  Garantizar el apoyo desde el inicio

•  Establecer una adecuada segregación de funciones

•  Asignar responsabilidades a p e r s o n a l c o n l a s competencias requeridas

Alta Dirección comprometida y participando

Equipo de implementación Responsables de adm

inistración y sostenibilidad del M

SPI

GuÍa 4: "INTRODUCCIÓN ... De esta forma, es necesario que las responsabilidades asignadas en el desarrollo del proyecto del MSPI para cada perfil, sean incorporadas a los manuales de funciones de cada entidad de acuerdo al cargo que desempeñan."

ARTÍCULO 2.2.22.1.5. Articulación y complementariedad con otros sistemas de gestión. El Sistema de Gestión se complementa y articula, entre otros, con los Sistemas Nacional de Servicio al Ciudadano, de Gestión de la Seguridad y Salud en el Trabajo, de Gestión Ambiental y de Seguridad de la Información. ARTÍCULO 2.2.22.3.8. Comités Institucionales de Gestión y Desempeño. En cada una de las entidades se integrará un Comité Institucional de Gestión y Desempeño encargado de orientar la implementación y operación del Modelo Integrado de Planeación y Gestión - MIPG, el cual sustituirá los demás comités que tengan relación con el Modelo y que no sean obligatorios por mandato legal… En el orden territorial el representante legal de cada entidad definirá la conformación del Comité Institucional, el cual será presidido por un servidor del más alto nivel jerárquico, e integrado por servidores públicos del nivel directivo o asesor…. 6. Asegurar la implementación y desarrollo de las políticas de gestión y directrices en materia de seguridad digital y de la información…. Parágrafo 1. La secretaría técnica será ejercida por el Jefe de la oficina de planeación, o por quien haga sus veces, en la entidad. Parágrafo 3. La Oficina de control Interno o quien haga sus veces será invitada permanente con voz, pero sin voto. Dado en Bogotá, D.C., a los 11 días del mes de septiembre del año 2017

Decreto 1499/2017 (DAFP)

Estratégico

C o m i t é d e seguridad C o m i t é Institucional de G e s t i ó n y Desempeño

Táctico

Responsable de S e g u r i d a d y privacidad de la información

Participantes – Población

Todos los Funcionarios

Todos los Ciudadanos

Todos los proveedores

Operativo

E q u i p o d e l proyecto

Perfiles y responsabilidades Equipo de trabajo

Taller

Taller 1 Seguridad y Privacidad de la Informacion

•  Responder las preguntas del cuestionario https://goo.gl/nvGQYn

Instrucciones

Taller 1 Seguridad y Privacidad de la Informacion