Este documento contiene comentarios de varias partes interesadas sobre una propuesta de Política Nacional de Seguridad Digital en Colombia. Los comentarios abordan temas como la necesidad de definir mejor los roles de los actores involucrados, establecer mecanismos de coordinación entre entidades, y asegurar que la política respete los derechos humanos y la privacidad. También se hacen sugerencias para mejorar aspectos como la metodología de gestión de riesgos y el marco normativo de la política.
Día Mundial de la Seguridad y Salud en el Trabajo 2024, 28 de abril - Cambio ...
Socialización de la Política Nacional de Ciencia, Tecnología e Innovación
1. COMENTARIOS A LA PROPUESTA DE
POLÍTICA NACIONAL DE SEGURIDAD
DIGITAL
Febrero 2016
2. COMENTARIO PARTE INTERESADA
PARTE: COMENTARIOS GENERALES
1
En algunas partes del documento se hace referencia a los actores de interés y se puntualiza en
algunos. Porque se excluye a los gobiernos territoriales?.
ACDTIC -05/02/2016
2 El concepto de seguridad digital no se encuentra definido en el glosario.
ACDTIC -05/02/2016
29/01/2016
3 Se debería unificar los mecanismos de socialización y concientización en una sola meta. ACDTIC -05/02/2016
4
Se debería unificar las metas que corresponden al diseño de contenido educativo, capacitación
de funcionarios para el fortalecimiento de la política de seguridad digital.
ACDTIC -05/02/2016
5 No se aprecia en el documento como se articulan las policías Judiciales
ASOBANCARIA
05/02/2016
6
Consideran que la seguridad digital podría limitar el alcance, sugieren cambiar a seguridad de
la información o definir mejor el alcance.
ASOBANCARIA
05/02/2016
7 La metodología de gestión de riesgos debe definir estándares por sector.
ASOBANCARIA
05/02/2016
3. 8
No es claro qué medidas se adoptaran para prevenir el delito en los equipos terminales ( PC,
MÓVIL, Smart TV, etc.)-
ASOBANCARIA
05/02/2016
9
Las acciones previamente definidas en el CONPES 3701 y adelantadas por el sector privado
como se incorporarán en esta nueva propuesta?
ASOBANCARIA
05/02/2016
10 La implementación de CSIRT sectoriales como se integraran con organismos del estado
ASOBANCARIA
05/02/2016
11 Como se articula el nuevo papel del estado en materia del posconflicto con esta política?
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
12
Es necesario que el documento establezca claros organismos y mecanismos de control y
supervisión al cumplimiento de la política y compromiso con los derechos humanos que ella
establece.
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas -
05/02/2016
4. 13
Es necesario que el principio de protección a los derechos humanos que rige al documento
CONPES sea desarrollado en el resto del documento, especialmente en las acciones
concretas.
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
14
Dar una competencia a las instituciones como la Delegatura de Protección de Datos de la SIC,
para que pueda realizar mayores controles a las empresas que almacenan,
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016gestionan, datos personales fuera de Colombia
15
El documento CONPES de 2011 y el actual carecen totalmente de un análisis de género (… ),
Propuesta: Generar una nueva acción que recoja el compromiso del Estado en adelantar la
equidad de género en sus políticas, en este caso, en la de seguridad digital.
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
16
Para el sector de las TIC se encuentran vigentes normas jurídicas que consagran las reglas y
obligaciones en materia de protección de los usuarios y sus datos personales (…) Sugieren
que el análisis y la consolidación del documento CONPES así como de la normatividad que se
expida en el marco de esta política pública cuente con la participación de la totalidad de los
actores de interés
COMCEL / TELMEX
05/02/2016
17 El documento no establece roles y alcances de las múltiples partes interesadas: COMCEL / TELMEX
5. 05/02/2016
Se propone adoptar cuanto descrito en el documento de la UIT: “National Cyber Security
Strategy” – definiciones de rol y alcance de:
- Gobierno Nacional
- Propietarios y operadores de Infraestructura
- Agencias de Inteligencia
- Fabricantes y proveedores de
infraestructura de seguridad
- Academia
- Socios Internacionales
- Ciudadanos
18
(…) Como punto de partida es necesario entrar a definir si quiera a titulo enunciativo los
intereses de orden nacional (…) una vez se tena una definición y/0 identificación de los
intereses nacionales es necesario entrar a establecer prioridades y sectores económicos y de
gobierno involucrados.
COMCEL / TELMEX
05/02/2016
Proponen tabla con 4 variables para Infraestructuras críticas:
- Perdidas económicas
- Afectación a personas
- Consecuencias medioambientales
- Correlación con otros sectores
6. 29/01/2016
29/01/2016
29/01/2016
29/01/2016
29/01/2016
29/01/2016
25
¿Qué se entiende por seguridad digital? Pareciese que fuese algo distinto que la seguridad de
la información y de la ciber seguridad. ¿El concepto de ciber defensa queda incluido o se trata
por aparte?
GECTI
05/02/2016
26 ¿Por qué se cambia a Política Nacional de Seguridad Digital?
GECTI
05/02/2016
27
Para el desarrollo de la Política Nacional de Seguridad Digital se establecen unos principios
fundamentales, que deben ser inquebrantables (…) – ¿No se pueden cambiar o modificar si es
del caso?
GECTI
05/02/2016
28
Al hacer revisión de diferentes políticas o estrategias nacionales en torno al tema, se puede
concluir que las estrategias nacionales de ciberseguridad y ciberdefensa han evolucionado hacia
estrategias nacionales de seguridad digital.
GECTI
¿Basado en qué argumento? 05/02/2016
29
queda sin armonizar los elementos de ciber defensa y las labores de monitoreo proactivo de
los observatorios de ciber seguridad y ciber delincuencia, los cuales se han venido
consolidando en el país.
GECTI
05/02/2016
30 figura 3.3 Lo que ilustra es un sistema de gestión y no de gobierno de la seguridad digital.
GECTI
05/02/2016
31 No se habla de la rendición de cuentas del avance del programa a nivel general.
GECTI
05/02/2016
32
Establecer un control y normatividad para que ninguna entidad, organización o persona que capta datos
personales no pueda traficar con ellos, ej: las entidades se apropian de los datos por defecto, cuando se
Presidencia
05/02/2016
7. realiza un trámite aprovechando la letra menuda y la firma de la solicitud, Eso debe ser eliminado de los
formularios por los riesgos que esto genera. Algunas compañías de vigilancia para ingresar a conjuntos
toman hasta datos biométricos para permitir el ingreso, quien autorizo eso y peor quien responde.
Crear un mecanismo de formación o carrera en ciberseguridad más formal para los funcionarios de las
entidades públicas y su debida estructura en la organización con recursos. Actualmente, en algunas
entidades no pasa de ser una buena intención u otra tarea de algún todero.
Presidencia
05/02/2016
33
Establecer los estándares mínimos de seguridad y ciberseguridad que debe implementar cualquier
Entidad de Gobierno (roadmap), que conduzca por ejemplo a tareas, como mínimo para proteger la
infraestructura, los servicios y los datos. Pensemos en un municipio.
Presidencia
05/02/2016
34
Establecer un mecanismo de comunicación y colaboración más eficiente entre entidades y
especialmente entre los equipos de seguridad, algunas cosas se están tratando superficialmente y no se
ve un plan articulado en algunos momentos no vamos más allá de una presentación.
Presidencia
05/02/2016
35
Hay que definir políticas de ciberseguridad para compra y contratación de tecnología y desarrollo de
software, como criterios de selección y calificación. Las entidades estamos comprando si este tipo de
criterios.
Presidencia
05/02/2016
36 Revisar la política del monitoreo para infraestructura a través de sistemas SCADA
Presidencia
05/02/2016
PARTE: MARCO INSTITUCIONAL
37 ¿Cuáles son las funciones de las instancias que se pretenden crear o modificar? ACDTIC -05/02/2016
8. 38
M1.1 Es necesario determinar con claridad las diferentes funciones de los organismos que
pueden hacer de una u otra forma vigilancia de las comunicaciones. En este sentido, debe
establecerse la prohibición de usar herramientas tecnológicas que afecten la privacidad de
comunicaciones por parte de organismos no facultados para hacerlo.
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
39
A.1.1.1 Consejero Presidencial - ¿Se necesita un nuevo cargo? ¿Qué funciones tendrá? La
figura de Consejero no es viable sin antes no darle un marco jurídico para que pueda integrar
las distintas entidades.
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
40
A.1.1.4 Para la creación de esta figura, se requiere la participación del Departamento Administrativo de
la Función Pública, quien es el ente competente para estos casos. Por lo tanto, se sugiere que se
incorpore al DAFP en este proceso. Por otro lado, para no aumentar más la burocracia, se sugiere que
se incorpore que esta figura, la puede desempeñar el Director de TI de las entidades públicas, debido
que actualmente son ellos quien están a cargo de estos temas
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
9. 41 A1.1.5. Centro Criptológico Nacional¿Qué hará este nuevo organismo?
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
42
A 1.2.5 Fortalecer COLCERT – El enfoque social de la nueva política debería considerar independizar
colCERT del Ministerio de Defensa para que pueda responder mejor a las tareas de corte civil que tiene
a su cargo. Esto no debe verse como un detrimento del aspecto defensivo de la seguridad digital pues
aún se cuenta con el Comando Conjunto Cibernético. En la actualidad no existe una correcta integración
del Colcert con otras entidades es el caso de la policía, la Delegatura de Protección de Datos, la rama
judicial, entre otras.
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
PARTE: MECANISMO/ INSTANCIA DE COORDINACIÓN
45
¿Si se realiza el proceso de creación de estas, como es el mecanismo de coordinación?
ACDTIC -05/02/2016- Comisión Nacional Digital y de la Información Pública
- Grupo de Respuestas Cibernéticas de Colombia
- Figura de enlace sectorial en cada ministerio
10. - Centro Criptográfico Nacional
- Centro de Excelencia Nacional de Seguridad Digital
46
- Con el fin de fortalecer la capacidad institucional a nivel territorial, se debe crear un mecanismo
de articulación con el fin de coadyuvar en las acciones emitidas a nivel nacional en torno al tema
de seguridad digital.
ACDTIC -05/02/2016
47
- Se debe evaluar la coordinación con un ente territorial (Ej. Alta Consejería Distrital de TIC para
Bogotá), el cual sea un agente dinamizador de la política de seguridad digital y sea encargado
de armonizar lo definido por el Gobierno Nacional respecto a la misma.
ACDTIC -05/02/2016
48
En el modelo dinámico a crear por el Gobierno Nacional, como se evidenciaría la articulación
con los Gobiernos Territoriales, cuál sería el mecanismo de coordinación?
49
¿Cómo se integraría el ColCert con el CCP? ASOBANCARIA
05/02/2016¿Cómo se integraría la fiscalía con el CCP?
PARTE: METODOLOGÍA DE GESTIÓN DE RIESGOS .
11. 53
Consideran necesario que la metodología haga parte de un estándar , que tenga componentes
adicionales, deben existir exigencias mínimas de seguridad en un estándar aplicado por sector
y del cual haga parte la metodología de riesgos
ASOBANCARIA
05/02/2016
54
Sugieren incluir tiempos de aplicación específicos para la aplicación de la metodología, y
criterios para el seguimiento de la implementación
ASOBANCARIA
05/02/2016
55
M1.3 Sobre este aspecto la metodología de riesgo debería partir sobre el enfoque dado en la
norma ISO 31000, de acuerdo a riesgos estratégicos y operativos. La metodología ISO 31000,
permite en la práctica establecer objetivos, riesgos y controles que pueden ser de mayor
aplicación en los distintos actores del gobierno nacional.
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
56
La propuesta metodológica consiste en que a los sectores que cuenten con infraestructura
critica se apliquen una misma metodología de riegos que definirá el Gobierno Nacional ( por
ejemplo Octave) (…)
COMCEL / TELMEX
05/02/2016
29/01/2016
29/01/2016
PARTE: PROGRAMAS Y PROYECTOS DE EDUCACIÓN
59 Se deberían unificar las Metas 1.4 y 1.5 ACDTIC -05/02/2016
12. 60
Como es la articulación o mediante que mecanismo se coordina el gobierno nacional con los
territoriales en estos programas (…)
ACDTIC -05/02/2016
PARTE: MARCO REGULATORIO / NORMATIVO
61
Para los territorios: Teniendo en cuenta que a los Gobiernos Territoriales lo norma lo expedido
por el ente Nacional, se deben formalizar estos en decretos distritales?
ACDTIC -05/02/2016
62
Proponen redacción para M2.1 “(..) y actualizar la ley de inteligencia con aspectos relacionados
con la seguridad digital, así como la definición de estándares obligatorios para que sean
cumplidos por los actores de interés y ajuste a las leyes existentes o promulgación de nuevas
para combatir efectivamente el delito informático”
ASOBANCARIA
05/02/2016
63 M 2.1 Es preocupante que en este punto se proponga considerar “el cibercrimen
Fundación Karisma,
Fundación para la
13. como una amenaza contra la estabilidad del Estado”, ya que de este modo se estaría
desconociendo el principio básico de separación de poderes. En efecto, la propuesta atentaría
contra la división funcional entre la Policía Nacional y las autoridades judiciales, de un lado, y
los organismos de inteligencia y seguridad y las fuerzas armadas (dependientes del Ejecutivo),
de otro. La declaración citada autorizaría el tratamiento del crimen y las amenazas a la
seguridad nacional como una misma cosa. Por tanto, ese aparte debe desaparecer. Así mismo,
debe incluirse la mención al principio fundamental Nº 1 del CONPES.
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
14. 64
Propuesta Texto M 2.1 -“El Gobierno nacional, en todo caso cumpliendo con el principio
fundamental n° 1 (PF1), consistente en “salvaguardar los derechos humanos y los valores
fundamentales de los individuos, incluyendo la libertad de expresión, el libre flujo de
información, la confidencialidad de la información y las comunicaciones, la protección de los
datos personales y la privacidad, así como los principios fundamentales consagrados en la
Constitución Política de Colombia” y la ley 1581 de 2012, debe compilar y actualizar la
regulación en el sector de TIC teniendo en cuenta aspectos necesarios para la gestión de
riesgos de seguridad digital, armonizar la normatividad que permita realizar eficientemente el
almacenamiento, la retención y los procedimientos del suministro de información por parte de
los proveedores de servicio de Internet en Colombia, y actualizar la ley de inteligencia con
aspectos relacionados con la seguridad digital, incluyendo la participación de la comunidad de
inteligencia y contrainteligencia.”
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
15. 65
Propuesta de texto A2.1.2. “Armonizar con los estándares nacionales e internacionales de
protección de Derechos Humanos la normatividad que permite realizar el almacenamiento, la
retención y los procedimientos del suministro de información por parte de los proveedores de
servicio de comunicación en Colombia.”
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
66
Propuestas para los textos de las acciones A 2.1.3, A 2.1.4, A 2.1.5 - sería recomendable tener
en cuenta que no basta con hacer los estudios. Debe ser claro que ellos deben informar las
decisiones de reforma de los marcos institucionales y legales para que efectivamente éstos
sean compatibles con las exigencias de la protección de la privacidad y de los datos
personales así como con los derechos fundamentales
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
67
A2.1 y A 4.1 – Sobre el marco legal y regulatorio, se recomienda aplicar la metodología de
Análisis de Impacto Normativo AIN o RIA
CLARO / TELMEX
02/02/2016
68
Respecto al punto A 2.1.4 Sugieren no adelantar esta actividad por que ya existe normatividad
vigente en esta materia.
CLARO / TELMEX
02/02/2016
29/01/2016
16. La actualización de la ley de inteligencia implica realizar una reforma a la ley estatuaria (…)
podría llevar a que el tiempo del CONPES no sea el suficiente para este objetivo (La creación de
la ley de inteligencia fue aprobada después de 12 años de procedimiento legal.
PARTE: Concientización y Socialización
70
M3.4 - La seguridad nacional como un valor deseable para toda la ciudadanía no puede
limitarse a la seguridad nacional, debe ser redactado nuevamente esto
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas -
05/02/2016
71
Propuesta Texto M3.4 – “Mecanismos de socialización y concientización tanto de tipologías
comunes que afecten la seguridad digital y gestión de riesgos, como del análisis y
cumplimiento integral de la política de seguridad digital por parte de las múltiples partes
interesadas”
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
72
17. Se valora la decisión plasmada en el documento con respecto a fortalecer el conocimiento (…)
consideramos pertinente que se formalicen Alianzas Público – Privadas que tengan por objeto la
sensibilización y capacitación a la comunidad (…) las entidades privadas que cumplen funciones
públicas deberían estar más involucradas en cuanto a la seguridad de la información.
CERTICAMARA –
05/02/2016
PARTE: Diagnostico
73
Necesario mencionar las vulnerabilidades que el ciudadano y las amenazas a las que se
enfrenta.
ASOBANCARIA
05/02/2016
Es necesario integrar la forma de investigación de los delitos informáticos en fiscalía y
Dijin/Sijin, mediante la creación de grupos especiales que aborden estos casos.
ASOBANCARIA
05/02/2016
18. 74
PROPUESTA DE TEXTO: “Las revelaciones de posibles abusos de las facultades de vigilancia
que se habrían realizado contra negociadores del proceso de paz en la Habana (tanto del
gobierno como de la guerrilla de las FARC, periodistas y opositores políticos) en una operación
fachada de inteligencia militar llamada “Andrómeda” y la filtración de correos personales del
Presidente Juan Manuel Santos, fruto de una intrusión abusiva en su cuenta de correo, fueron
el detonante y confirmaron el incremento en incidentes de seguridad digital. Es por eso que, en
el mes de febrero de 2014, el Presidente Juan Manuel Santos solicitara la creación de una
Comisión de Expertos nacionales de alto nivel liderada por los ministerios de Defensa
Nacional, de Justicia y de Tecnologías de la Información y las Comunicaciones, que fueran
apoyados por una comisión internacional, con el fin de trabajar en el fortalecimiento de las
políticas de Ciberseguridad y Ciberdefensa para el país.”
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas -
05/02/2016
75
Se propone agregar tres problemas en el diagnóstico:
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
1. Colombia necesita balancear los poderes excepcionales de las diferentes
autoridades con controles democráticos adecuados a dichas capacidades (…)
19. 2. La realidad del posconflicto impone el reconocimiento de sujetos y sectores
particularmente vulnerables.
3. (…) Plantear una figura asimilable a la de infraestructura crítica para pensar en
la protección de estructuras comunicacionales de sectores como el de medios y defensores/as
de derechos humanos.
() incentivar el uso de la red de internet e incrementar la confianza en la misma, necesita
además de los servicios que prestan las instituciones públicas especializadas en este campo,
como el CAI VIRTUAL, CCOC, CCP, entre otras, los de las entidades privadas que desarrollan
productos y servicios que mitigan los riesgos en los medios electrónicos, como es el caso de
las Entidades Certificadoras Abiertas, que claramente no pertenecen a las instituciones de
seguridad (…)
CERTICAMARA –
05/02/2016
76
3 Respecto al punto 4.3.1., en el cual se pone en evidencia el marco legal y regulatorio de los
diversos temas de seguridad digital, se identifican tres errores (…) estos son:
CERTICAMARA –
05/02/2016
• Ley 1453 de 2011
• Decreto 2364 de 2012
• Decreto 333 de 2014
20. 77
Tabla 4.1. Marco Normativo Nacional: resulta necesario incluir otras normas que no fueron
enunciadas y que son determinantes a la hora de garantizar la seguridad digital en el entorno
del país
CERTICAMARA –
05/02/2016
SE SUGIEREN ADICIONES A LA TABLA -
Ley 594 de 2000
Ley 962 de 2005
Ley 1437 de 2011
Ley 1474 de 2011
Ley 1564 de 2011
Ley 1712 de 2014
Ley 527 de 1999
Decreto 2364 de 2012
Decreto 333 de 2014
Decreto 1074 de 2015
Decreto ley 019 de 2012
78
Punto 3.4.4 – Infraestructuras críticas: Se recomienda trazar la hoja de ruta de esta actividad
identificando las fases. Consideran necesario que
CLARO / TELMEX
05/02/2016
79
En tabla 4.1 haría falta la Ley 1712 de 2014 Sobre transparencia y acceso a la información que
impacta las directrices de seguridad de la información y que contrasta con los estándares
reconocidos de seguridad de la información, esto es:
GECTI
21. Para la 1712 – El principio fundamental es la publicidad y mientras para el 27001 es la
confidencialidad.
05/02/2016
80
En el diagnostico no queda claro por qué es necesaria una modificación al marco normativo
actual, consideran que la protección del derecho fundamental de privacidad de datos
personales se encuentra suficientemente enmarcado.
LEVEL 3
05/02/2016
CCIT
05/02/2016
PARTE: FORTALECIMIENTO DE CAPACIDADES
29/01/2016
29/01/2016
83
Proponen incluir al sector privado que hace parte de la infraestructura critica como
responsables de garantizar la seguridad nacional en el entorno digital y por tanto su debida
capacitación
ASOBANCARIA
05/02/2016
22. 84
A 3.2.1. – A 4.2.1. - El fortalecimiento de las capacidades de organismos de seguridad e
inteligencia necesariamente tiene que venir acompañado del fortalecimiento de los controles a
esas entidades para prevenir los abusos cuya ausencia fue notada en la parte de Antecedentes
y con la obligación de que las facultades o acciones con que se fortalezcan se acompañen de
un análisis de riesgo que permita establecer las posibles afectaciones a derechos humanos
con el fin de mitigarlas apropiadamente (mediante disposiciones equivalentes como controles)
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
PARTE: INTRODUCCIÓN
85 Propuesta de Texto para el resumen ejecutivo: INTEL
23. “El crecimiento del uso masivo de las Tecnologías de la Información y las Comunicaciones
(TIC) en Colombia, así como el incremento de los servicios disponibles en línea y la creciente
participación de la sociedad en actividades económicas y sociales en el entorno digital han
transformado la vida de todos y cada uno de los Colombianos, sin embargo el uso del entorno
digital acarrea riesgos inherentes de seguridad digital que deben ser gestionados. En tan sólo
un mes (con corte al 5 de Febrero de 2016), la unidad de servicios de consultoría para la
respuesta a incidentes de Intel Security conocida como Foundstone monitoreó un total de 47
incidentes críticos de seguridad digital en Colombia, ubicándose en el cuarto lugar entre los
países de Latinoamérica durante este periodo de tiempo”
05/02/2016
86 Actualizar el texto que acompaña la figura 2.20 asi: INTEL
24. “ a partir de información provista por Foundstone, unidad de servicios de consultoría agnóstica
en seguridad de Intel Security, y con base en sus servicios de Ciber Inteligencia, indica que
desde la puesta en operación de los mismos en el año 2000 y hasta el día 5 de Febrero de
2016 en los Estados Unidos se han detectado un total de 604.608 incidentes y en Brasil
77.522, mientras que en Colombia se detectaron 8.136 incidentes de seguridad.”
05/02/2015
87
Sugieren incluir más documentación de referencia: PROPUESTA DE REFERENCIAS A
INCLUIR:
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
● Relator Especial para la Libertad de Expresión de la Comisión Interamericana de Derechos
Humanos de la OEA. Comunicado de prensa sobre la adquisición e implementación de
programas de vigilancia por parte de Estados del hemisferio (21 de julio de 2015).
● Declaración conjunta de las relatorías para Libertad de Expresión de la ONU y la OEA sobre
programas de vigilancia y su impacto en la libertad de expresión.
● CIDH. Informe sobre Terrorismo y Derechos Humanos de la Comisión Interamericana de
Derechos Humanos. OEA/Ser.L/V/ll.116 Doc. 5 rev. 1 corr. 22 de octubre de 2002.
25. ● Naciones Unidas. Asamblea General. Informe del Relator Especial sobre la promoción y
protección del derecho a la libertad de opinión y expresión, Frank La Rue. A/HRC/23/40. 17 de
abril de 2013.
● CIDH. Informe Anual 2013. Informe de la Relatoría Especial para la Libertad de Expresión.
Capítulo IV (Libertad de Expresión e Internet). OEA/Ser.L/V/II.149. Doc. 50. 31 de diciembre de
2013
● Declaración conjunta sobre libertad de expresión e internet de las relatorías para la
libertad de expresión de la ONU, OSCE, OEA y CADHP. Ver.
● Naciones Unidas. Informe del Alto Comisionado de las Naciones Unidas para los
Derechos Humanos El Derecho a la Privacidad en la Era Digital. A/HRC/27/37. 30 de junio de
2014.
● Naciones Unidas, Consejo de Derechos Humanos. Principios Rectores Sobre las
Empresas y los Derechos Humanos. 2011.
● European Union Agency for Network and
Information Security (ENISA). (2014, 27 de noviembre). An evaluation framework for
cybersecurity strategies4.
26. PARTE: INFRAESTRUCTURAS CRITICAS
88
Modificar A4.2.2: Crear el Centro Nacional de Protección y Defensa de Infraestructura Critica
Nacional liderado por el CCOC y los Centros de Operaciones cibernéticas de las Fuerzas
Militares, quienes en ejercicio de sus funciones ejecutarán acciones con base en las
recomendaciones de los comités sectoriales para infraestructura crítica.
INTEL
89
Modificar A4.2.3 así: Conformar comités sectoriales con representantes de gobierno y sector
privado, para identificar, revisar y realizar recomendaciones sobre la Infraestructura Crítica
Nacional con un enfoque de gestión de riesgos de seguridad digital y actualizarlo
periódicamente. Por lo menos, los sectores que deben trabajarse son: Acueducto, Defensa,
Energía, Financiero, Transporte y Telecomunicaciones.
INTEL
27. 90
Colombiadebe adoptarunmarco de referenciaenCiberseguridadsólidoybasadoenmarcosde
referenciainternacionalesbienconocidosymaduros,estaadopciónnose puede verdesde unpuntode
vistade estrictocumplimiento, yaque se deberáadaptara la culturay necesidadesnacionalestantode
gobiernocomode lasentidadespúblicasyprivadasque sonactoresencada unode lossectoresde
infraestructurascríticas,unexcelentemarcode referenciaaadoptarpuede serel Cybersecurity
Frameworkdel NIST, el cual estábasadoenCOBIT v5 y esutilizadoporel Gobiernode EstadosUnidos,
Intel mismoparticipoensudesarrolloyutilizaestemarcode referenciaparalaprotecciónde sus
infraestructurascriticashttp://www.intel.com/content/www/us/en/government/cybersecurity-
framework-in-action-use-case-brief.html,estemarcose alineacondiferentesestándaresde seguridad
internacionalesporsectorque aplique anuestropaís,comopor ejemplo:
INTEL
Chemical Sector, Dams Sector, Financial Services Sector, Commercial Facilities Sector, Defense
Industrial Base Sector, Food and Agriculture Sector,
Communications Sector, Emergency Services Sector,
28. Government Facilities Sector, Critical Infrastructuring Sector, Energy Sector, Healthcare and Public
Health (HPH) Sector, Water and Wastewater Systems Sector, Nuclear Reactors, Materials, and Waste
Sector, Education Sector, Transportation Systems Sector.
PARTE: ANTECEDENTES YJUSTIFICACIÓN
91
Incluir reportes sobre los casos de
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
ataques y constantes violaciones a la seguridad digital de sectores de la sociedad
colombiana, casos de interceptaciones indebidas, hurto de dispositivos a periodistas (…),
según cifras de la Fundación para la Libertad de Prensa, tanto en 2015 como en 2014 se
registraron 6 casos de agresiones contra periodistas en entornos digitales. Por otro lado, según
esa misma organización, en el 2014 se presentaron 15 reportes de duplicaciones de cuentas
en redes sociales con el fin de atacar la reputación de personas que ejercen el oficio
periodístico.
29. 92
Incluir en antecedentes la necesidad de actualizar la ley 1273 de 2009 pues no es suficiente
para el hurto informático y la transferencia no consentida de activos.
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
93
Dentro de los antecedentes se debe reflejar que algunos estamentos del Estado han tenido
injerencias ilegítimas en la intimidad de las comunicaciones de algunos sectores de la sociedad
en particular con los periodistas.
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
94
es prioritario asignar responsabilidades claras a las empresas, debido al manejo de grandes
cantidades de información personal de las personas consumidoras (la ciudadanía) (…) Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
las medidas combativas para reducir el riesgo de ocurrencia de un delito, no sea el
menoscabo de derechos y libertades de las personas.
PARTE: DEFINICIÓN DE LA POLÍTICA, OBJETIVOS, PRINCIPIOS, DIMENSIONES
29/01/2016
29/01/2016
30. 97
El numeral 5.1.1 PF3 – Menciona las responsabilidades compartidas mas no menciona quienes
deben compartir dicha responsabilidad ni cuál es la responsabilidad compartida, sugieren
eliminar este principio fundamental
CLARO /TELMEX
05/02/2016
98
Más que un objetivo general, pareciera uno instrumental (específico) (…). El texto parece
sugerir que la política es de aplicación exclusiva a las personas nacionales colombianas,
dejando de lado a sinnúmero de personas extranjeras que residen y trabajan, inclusive
comercian, en el territorio nacional. Por lo tanto, se sugiere que a lo largo del documento, en
lugar de hablar de colombianos, se utilice una acepción más amplia como ciudadanía.
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
31. 99
Propuesta de texto Objetivo Central: “La política nacional de seguridad digital tiene como
objetivo lograr un entorno digital colombiano libre, abierto, seguro, confiable e inclusivo con el
concurso de todas las partes interesadas: el Gobierno Nacional y los territoriales, las
organizaciones públicas y privadas, la academia, la comunidad técnica, y la sociedad civil.
Internet en Colombia deberá ser un espacio para el libre ejercicio de los derechos de la
ciudadanía y para el crecimiento de la economía nacional que maximice los beneficios
obtenidos de una mayor prosperidad económica, política y social del país a través del
fortalecimiento de las capacidades de todas las partes interesadas, según corresponda, para
identificar, gestionar y mitigar los riesgos de las actividades digitales.”
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
100
PF1 - No es claro lo que se entiende por “valores fundamentales”. Se debe enfocar la política
en los derechos humanos y si se desea, se deben describir los valores fundamentales a los
que se refieren, sobre todo, si estos se desarrollan en contextos y diagnóstico ya descritos.
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas -
05/02/2016
32. 101
Propuesta Texto PF1 - “Mantener un Internet libre, abierto, seguro e inclusivo salvaguardando
los derechos humanos de las personas, protegiendo especialmente la libertad de expresión, el
derecho a la información, el de la intimidad, el habeas data y la protección de datos, y
promoviendo los valores democráticos y del Estado de Derecho. En caso de limitación a estos
derechos, debe ser bajo medidas excepcionales y estar conforme con la Constitución Política y
los estándares internacionales aplicables. Estas medidas, deben ser proporcionales,
necesarias y en un marco de legalidad.”
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
102
PF2 - Proponemos ajustar el texto para corregir la traducción del inglés de “multistakeholder”
por el término “múltiples partes interesadas”, no “actores interesados” como aparece. Además,
se debe incluir a la comunidad técnica como una parte actora dentro de esta propuesta. En
general, en todos los apartes del documento en los que aparecen “actores de interés” debe
hablarse de “múltiples partes interesadas
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
33. 103
Propuesta Texto PF2 – “Adoptar un enfoque incluyente y colaborativo que involucre
activamente a todas las partes interesadas en la seguridad digital del país y de sus habitantes,
lo que incluye al Gobierno Nacional, los entes territoriales, las organizaciones públicas y
privadas, la academia, la comunidad técnica y la sociedad civil, y que permita establecer
condiciones para el desarrollo eficiente de alianzas, con el fin de promover la seguridad digital
en el país”
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
104
Texto DE2 - La gobernanza, como se desprende del documento CONPES, no tiene que ver
con el modelo multistakeholder –de múltiples partes interesadas– que viene funcionando en
Internet. La redacción debe reflejar el espíritu de este modelo.
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
105
Propuesta Texto DE2 – “Gobernanza del entorno digital: articulación y armonización de las
múltiples partes interesadas a través del estímulo a su participación, con el fin de gestionar la
seguridad digital.”
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
34. 106
Texto DE4 – Para desarrollar efectivamente la llamada “cultura ciudadana para la seguridad
digital”, el Estado debe contribuir a través de la construcción de capacidades entre todos las
partes interesadas, pero, sobre todo, en la sociedad civil, en la comunidad técnica que defienda
sus intereses y en los funcionarios del Estado que deben protegerlos.
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
107
Propuesta texto DE4 – “Cultura ciudadana para la seguridad digital: sensibilización y
construcción de capacidades de todas las partes interesadas, especialmente de la sociedad
civil, de la comunidad técnica y de los funcionarios públicos, para crear y fomentar una cultura
ciudadana responsable en la seguridad digital”
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
108
Objetivo Central: Esta es una declaración más administrativa y ejecutiva que una proposición
de acción sobre temáticas relevantes. Su lectura está hecha para los directivos y no para el
público en general que no espera discursos, sino acciones que le permitan creer en el ejercicio
de aseguramiento del contexto digital que el gobierno desea hacer.
GECTI
29/01/2016
109
Los principios fundamentales, carecen de una visión sistémica y holística. Están fundados en la
gestión y busque de certezas, mientras es claro que el entorno es volátil, incierto, complejo y
ambiguo
GECTI
29/01/2016
110 sugiere un quinto principio que verse de la siguiente forma: GECTI
35. Promover una vista sistémicade la seguridad digital, que, entendiendo el ecosistematecnológico
de la nación, permita asumir la inestabilidad e incertidumbre del entorno, como insumo
estratégico para aumentar la capacidad de resiliencia nacional frente a eventos no deseados o
imprevistos que comprometan la gobernabilidad del país.
29/01/2016
PARTE: GLOSARIO
111 Incluir: Dato personal, Titular:, Datos sensibles, Tratamiento de datos sensibles.
Fundación Karisma,
Fundación para la
Libertad de Prensa ,
Comisión Colombiana
de Juristas - 05/02/2016
112 No se define en el glosario Infraestructura Critica.
LEVEL 3
05/02/2016
113
“Propuesta definición IC: Corresponde a aquella infraestructura conformada por las redes,
sistemas y activos físicos o virtuales cuya afectación, corte o destrucción generaría
consecuencias negativas mayores en la seguridad, salud y bienestar económico de los
ciudadanos o la perdida de gobernabilidad en tan solo poco minutos.”
LEVEL 3
05/02/2016
CCIT
05/02/2016
36. A continuación hacemos una reconstrucción de los temas tratados en la las mesas de trabajo realizadas del 26 al 28
de enero de 2016, las cuales contaron con la participación del sector privado, gobierno, sociedad civil, industria y
academia, a continuación presentamos las conclusiones de cada una de las mesas de trabajo.
DESARROLLO DE LA REUNIÓN (AYUDAS DE MEMORIA)
1. SECTOR PRIVADO
Comentarios generales
Importante experiencia como sector: el sector financiero ofrece ayuda en temas de seguridad digital y
ser los gestores en la implementación del CONPES.
Financiación de grupos y capacitación: Asobancaria ofrece capacitación para fiscales y delegados en
delitos informáticos y educación en incidentes de seguridad.
Proporcionalidad: que las cargas sean por impacto del sector, lo anterior para que sea un equipo de
trabajo bajo alianzas público privadas, buscando equilibrar responsabilidades, obligaciones y acciones.
Plan educativo y de implementación: la política nacional se debe desarrollar bajo un plan para
seguimiento de la misma, que tenga una clasificación, caracterización y un modelo de plan educativo y
aplicación, por ejemplo con una certificación, para el sector privado
Apoyo del Gobierno: que haría el gobierno para apoyar el sector privado en la implementación de la política
pública en seguridad digital.
Normatividad: El gobierno tendrá implementación de regulación para fortalecer la judicialización del
cibercriminal?.
Incentivo tributario: tener incentivos para implementar seguridad y que sea
Cantidad de información y experiencia: Intercambio de capacidades entre los diferentes sectores –
garantizando que no implique más cargas para la entidad que comparte la información, así como
asegurando la no exposición de los mismos. Que la regulación no impacte al compartir experiencias. Pasar
de gestión de reportes a gestión del conocimiento
37. Tratamiento de información: Integración para el manejo del delito informático financiero. En el intercambio
de información se impide compartir datos de los clientes, en el momento de compartir datos entre entres
judiciales y sector financiero, pero ¿qué hace el ente judicial con esa información?.
Articular esfuerzos: convenios entre agremiaciones para articular esfuerzos con los gremios para crear
programas planes en temas de seguridad digital y sean implementados en los mismos.
Los medios de comunicación: el papel de los medio de comunicación para la construcción de la seguridad
digital. Los líderes de opinión deben ser capacitados para evitar la desinformación de los temas
relacionados con la seguridad digital.
Socialización: estrategias de marketing y mercadeo para informar el CONPES a la ciudadanía evitando la
desinformación o publicidad engañosa sobre el CONPES
Comentarios Específicos:
Comunicación de responsabilidades de cada sector: gran parte el sector privado desconoce el CONPES,
se solicita establecer qué se entiende por responsabilidad para el sector privado, en que se traduce dicha
responsabilidad. Hasta donde es el alcance regulatorio? Se debe establecer un punto de equilibrio.
Gestión del Riesgo:
o implica proveedores, normativa, educación; la gestión de riesgo sola genera desgastes por tiempo al
implementar planes de riesgos. En Caja Social, crearon un estándar y el principal punto es proveedor,
se hacen solicitudes al proveedor según su objetivo del negocio.
o Con la metodología de riesgos estandarizar temas para grupos o sectores.
o No se puede garantizar la seguridad en el dispositivo final innovación – se consideren estrategias para
proteger el dispositivo final del ciudadano - Estándar australiano. Para revisar
Posconflicto: después de la firma de la paz qué impacto tendrá en el entorno digital y que apoyo se puede
prestar (formación de nuevos ciudadanos, infraestructura de telecomunicaciones y acceder a todos los servicios
digitales y demostrar que se están educando para permitir la inclusión de los ciudadanos de los grupos armados
– seguimiento y evolución de integración a la sociedad)
38. 2. SECTOR GOBIERNO
Comentarios Generales:
Articulación hacia los territorios: Mecanismos de articulación desde lo nacional a lo territorial – guía clara,
para establecimiento de protocolos – actores – herramientas – recursos en referencia con el establecimiento
del oficial de seguridad en cada entidad.
Intercambio seguro de información: Definición concreta para la transferencia o intercambio seguro de
información nacional e información internacional
Protección de datos: Se resalta la importancia de lo señalado en la meta A2.1.4 que especifica la realización
de un estudio sobre el tema de Datos personales que permita generar recomendaciones al respecto.
Revisar el Decreto 886: Decreto reglamentario de la 1581, en cuanto al tema de reporte de incidentes,
establecido en la Ley 1581 en los artículos 17 y 18 como deberes de los Responsables y Encargados del
Tratamiento de Datos Personales. Tener en cuenta que Mediante la circular externa 02 de 2015 de la SIC se
habilitó el Registro Nacional de Bases de Datos y dentro de la información que en este se registra se incluyó el
reporte de incidentes.
Recursos para educación: Justificar recursos educativos sobre seguridad digital hacia la necesidad de la
misma.
Fomento de la Confianza: Cómo fomentar apropiación y recuperar la confianza del ciudadano a nivel de
seguridad en los medios electrónicos?
Seguridad y Continuidad: Mantener seguridad y continuidad del personal encargado de la seguridad en las
entidades, una persona que cumpla con ciertos requisitos, una persona independiente de las áreas de TI que
sea una figura estratégica de seguridad dependiente de la Dirección.
Revisar los cargos de oficiales: qué cargos ya se tienen establecidos (por ejemplo - oficial de cumplimiento,
antifraude, si existe un oficial de protección de datos personales) para que puedan hacerse cargo de los asuntos
estratégicos de seguridad de la información en las diferentes entidades.
Los compromisos: desde la Presidencia y el Distrito se comprometen a impulsar y articular como cabezas en
la Nación.
39. Protección de los datos personales: Desde la Superintendencia de Industria y Comercio – Delegatura para
la Protección de Datos Personales, la forma como puede impulsar la política, está relacionada con la función
de vigilancia del cumplimiento de la Normatividad – igualmente impulsar desde sus funciones todo lo
relacionado con protección de datos personales.
Budapest: Cancillería propone, avanzar más rápido en temas de Budapest, mayor apoyo de las entidades en
el desarrollo de la documentación necesaria.
Manejo efectivo del riesgo: Alineación de los riesgos para que sea un tema no solo de cumplimiento.
Figura interna de responsable - estructurarlo de una forma que sea adoptado de una manera adecuada.
Personal capacitado: Aportar más en temas de formación para poder tener personal calificado, no solo para
funcionarios, incluir contratistas.
Revisar la creación de Csirt sectoriales – con acciones más pequeñas se puede impulsar el tema de
seguridad para que haya apoyo en las entidades.
Los responsables de seguridad: No asignar actividades funcionales al responsable de seguridad.
Estrategias para las Entidades: Elaborar una estrategia para pruebas de vulnerabilidades a las entidades.
Comentarios Específicos:
En Cooperación: se debe ampliar hacia el tema político, tener en cuenta temas de la CELAC, participaciónen
escenarios internacionales, resaltar ese componente político desde cancillería. Revisar el término de
Ciberdiplomacia. – Cancillería ayudará a proponer un texto para completar el tema de cooperación y política.
Articulación en temas de gestión de riesgos: guía para riesgos de seguridad unificando temas de seguridad
informática, de información, digital, tecnológica. – orientando todo hacia la construcción de una guía nacional
de riesgos.
Un nuevo propósito: Dirigir el fortalecimiento “de propósito” de la estrategia en tic confío hacia el tema de
para qué proteger y porqué es importante.
Fortalecimiento de la institucionalidad: se remite a voluntad política para asignación de recursos. Crear la
necesidad de la institucionalidad y dar a conocer las capacidades que se tienen.
Se solicita: Revisar el documento cuando se habla del tema de “protección de datos” pues no se hace
referencia a datos personales, establecer dónde se refiere a estos en cada punto.
40. Capacitación especializada: Capacitación para jueces y fiscales.
Viabilidad Técnica: Análisis técnico de viabilidad de creación de centros de excelencia y observatorios.
Dirección Desarrollo del Derecho y del Ordenamiento Jurídico: Tener en cuenta la Dirección Desarrollo
del Derecho y del Ordenamiento Jurídico dirección de Minjusticia – para que sea el coordinador de los temas
de armonización normativa.
Establecer el framework o mapa de integración y de interacción de las entidades que hacen parte del nuevo
CONPES de seguridad digital, teniendo en cuenta roles y responsabilidades y funciones de cada una de las
entidades.
Fortalecimiento de capacidades: Todas las acciones que sean de fortalecimiento se deben especificar el
alcance y deben ser recogidas en una sola.
Creación de Observatorios: Todas aquellas actividades que sean de creación de centros y observatorios
deben estar soportadas con un estudio el cual permita establecer cuales centros y observatorios de los que
están creados tiene injerencia en los temas de ciberseguridad y ciberdefensa a través de un estudio técnico de
viabilidad de centros de capacidad especializada.
Derechos fundamentales: Se debe revisar la constitucionalidad de la norma para que no promueva los
conflictos entre la defensa nacional y el respeto de los derechos fundamentales.
Cambios de forma: se debe suprimir la capacidad normativa por marco normativo.
3. SECTOR SOCIEDAD CIVIL
Comentarios Generales:
Información de los operadores: Existe la preocupación respecto a la publicación de toda la red de datos de
comunicaciones de los operadores, teniendo en cuenta que esa información debe ser guardada con protocolos
de confidencialidad toda vez que ellos hacen parte de las infraestructuras criticas del país.
Terminales móviles: Luchar contra las bandas criminales que modifican los IMEI de los dispositivos móviles,
judicializando y fortaleciendo las penas por este tipo de delitos.
41. Los IXP: Importante lo que busca promover la CRC, permitir la conexión a los IXP, que no solo exista el NAP
Colombia. Armonía con las consultas de la CRC en el acceso a internet – que en Colombia existan más IXP
mas NAP.
Internet de las cosas: Debe ser de especial importancia la gestión de riesgos en el internet de las cosas,
teniendo en cuenta las tendencias tecnológicas y los riesgos que estas traen consigo.
Aseguramiento Dispositivos móviles y terminales de usuario: Realizar una política para el tema de
aseguramiento de dispositivos móviles y terminales de los usuarios.
Cadena de suministro: Los productos para la defensa de la soberanía debe ser desarrollados dentro del
territorio colombiano y no depender de los demás.
Tratamiento de datos: Los estados usan de forma abusiva los datos de los ciudadanos.
Diagnóstico de redes: para conocer la infraestructura crítica nacional entre mintic y crc. El riesgo de filtrado y
ex filtración de información en las redes de datos
Generación de confianza: No se generan confianzas para otras instancias, tener bien definidas las funciones
y límites de cada instancia creada.
Deep Web: El tema de gobernanza en la Deep web – responsabilidades de la industria al desmonte de
contenidos que ya son evidenciados como ilegales.
Mecanismos de denuncia: Fortalecer los mecanismo y rutas de denuncias ciudadanas permitiendo fortalecer
la denuncia.
Alfabetización: Incluir una acción de Alfabetización en seguridad digital y cifrado
Compartir documentación y Conocimiento en la red: se alerta sobre la preocupación por las personas que
comparten documentos y conocimiento.
Hacking Ético: Las personas que explotan vulnerabilidad para mostrar debilidades no deberían ser tratados
como delincuentes
Lenguaje del Conpes: Minimizar el lenguaje técnico en el desarrollo del conpes
Comentarios Específicos:
Derechos Humanos: Se debe tener el tema de derechos humanos dentro del contexto de la seguridad digital.
42. Capacitación para la administración de justicia: La capacitación en la administración de justicia debe ser
ejemplar y debe contemplarse en el marco del CONPES
Enfoque de privacidad de los datos personales –los temas de seguridad nacional están siendo invasivos
con la sociedad civil. Las poblaciones vulnerables deberían ser tenidas en cuenta, desmovilizados, victimas,
debería existir una diferenciación en las acciones con respecto a este tipo de personas.
Protección de los datos personales: se ve necesario que continúe el enfoque de protección de los datos
personales de los usuarios, pues por ejemplo, por ciberdefensa se siguen requiriendo los datos de los usuarios
como por ejemplo ubicación del celular y la altura.
No solo para Ciudadanos Colombianos en EEUU no se protege a los extranjeros el CONPES está
cometiendo el mismo error y debería contemplarse los intereses de todas las personas.
El termino multistakeholder: el mejor término de uso es múltiples partes interesadas.
Lo Social: Mejoras en el contexto de estadísticas colombianas, falta agregar y que sea más visible el tema de
social en el Conpes, temas de víctimas de la violencia,
Garantías: debe aparecer el estado y actores del estado que usan en forma abusiva las facultades que tienen
en el manejo de tecnología.
Análisis de uso de las TIC por los diferentes sectores: Falta de análisis de otros sectores sociales – como
fuente para el análisis de desconfianza para el uso de las TIC
Estadísticas -Colcert: La función del colcert coordinador de los csirt que existan en el país, no existen reportes
de agresiones a la sociedad civil ej: periodistas – crear una figura para denunciar el mal uso de las tic y que se
usan en contra de la sociedad civil
Disposición en la participación: para garantizar que la participación sea de múltiples partes interesadas
debería estar en igualdad de condiciones con el gobierno – pero el gobierno solo debería ser el encargado de
convocar – espacios más horizontales para el desarrollo de actividades de seguridad digital y el análisis de
necesidades
Observatorio del laboratorio de los derechos humanos
Capacitación Judicial: Capacitación a jueces no solo enfocada a lo técnico sino también a los derechos
fundamentales en el juzgamiento de un incidente digital.
Posconflicto: no se ven reflejados los ajustes institucionales para el periodo de pos conflicto.
43. Marco normativo: está muy enfocado a temas económicos, falta libertad de expresión, derecho a la privacidad.
Derechos humanos: falta un desarrollo más concreto de ese principio, libertad de expresión, acceso a la
información para que sea más claro y no sea tomado de manera ambigua
La libertad de expresión: en el entorno digital es clave, no se encontró temas de ley de 1581 y habeas data y
el compromiso de las empresas con respecto a la protección de los datos
Mayor robustez en el glosario: – para evitar ambigüedades faltan definiciones como ciberterrorismo,
incidente, cibercrimen,
Datos sensibles e Inteligencia: El tema de los datos sensibles por parte de inteligencia y los metadatos deben
ser protegidos
Marco legal internacional: es tener en cuente el informe de derecho a la privacidad en la era digital
Infancia y Adolescencia: Enfoque diferencial entre infancia y adolescencia mecanismos de protección,
modelo mundial de wiprotect para protección del menor – capacitación para los menores de edad, código de
infancia y adolescencia y las autoridades deben ser capacidades – no se cuenta con cifras adecuadas y
unificadas
Enfoque de género: Incluir el enfoque de género, buscando cifras que generen diferencia entre el uso de tic
por géneros.
Retención de datos: Acción concreta sobre el régimen de retención de datos en internet
Espacios de participación: Generar un espacio en el que puedan estar todos los sectores para la discusión
del Conpes.
Revisar: Se debe verificar si la palabra coordinado o coordinador esta explicita en alguna de las acciones
4. SECTOR INDUSTRIA TI
Comentarios Generales:
Teletrabajo: Establecer dentro del pacto de teletrabajo las condiciones mínimas para poder realizar las
actividades propias de este, que incluya los temas mínimos de seguridad digital, de igual manera se debe
44. regular a las TELCOS para que garanticen mínimos de seguridad en sus dispositivos como parte de
responsabilidad compartida.
Las TELCOS: no están garantizando en sus dispositivos de internet los requisitos mínimos de seguridad, de
igual forma se pueden utilizar como canal de difusión de buenas prácticas de cultura de seguridad para
ciudadanos.
Educación en la niñez: Fortalecer los temas de educación a la niñez.
Plazos de cumplimiento: Revisar muy bien los tiempos definidos como, cortos medianos y largos dentro del
plan de acción.
Obsolescencia tecnología: no se ve una referencia a políticas técnicas sobre los componentes tecnológicas
para que se tomen decisiones en conjunto y tener en cuenta los temas tecnológicos (ej. obsolescencia).
Metodología para la gestión de riesgo. – meta definir: rangos de obsolescencia tecnología a nivel país –
depreciación tecnológica.
Estudiar y evaluar mapa de riesgos: ¿Vale la pena volver a construir un marco metodológico? o ES MEJOR
hacer una revisión de lo que ya se tiene y buscar una integración, no diseñar adoptar y adaptar una metodología
par. Aportar una visión nacional, lineamientos para establecer el mapa de riesgos. Diseñar tomando como base
los casos que ya existen para poder adoptar mitigando. No se ve el tema de formalización cómo se materializa.
Enfoque incluyente: Empresas que ya están en marcha y los nuevos, se debe tener esa caracterización de la
definición de la metodología de riesgos, integrar antes de la etapa de diseñar para poder ver el panorama
completo en los diferentes sectores.
Cooperación: A nivel estratégico si queremos hablar de escenarios de cooperación Con sentido de
responsabilidad se debe exigir realimentación y se debe hablar de estadísticas en términos de incidentes y
seguridad digital.
Nuevos servicios: tener en cuenta nuevos operadores con nuevos servicios (OTT´s), buscar como armonizar
o si tiene la conveniencia de incluirlo dentro del documento. Sector TIC Establecer: Nodo de innovación de
ciberseguridad política publica
Impulso: Clusterizar a nivel nacional el tema de seguridad digital – que este en la línea de acción.
Estandarización: Estandarización de controles para implementar seguridad de la información en las entidades
del gobierno.
Ciudadano: los servicios de tecnología espacialmente TV todo tiende a ser APP- tener una plataforma de
gestor de seguridad en aplicaciones – sellos de seguridad en las entidades.
45. Actualización tecnológica: Política de actualización tecnológica para todas las entidades.
Alianzas público privadas: No es claro la promoción de alianzas público privadas para compartir información
para la gestión de riesgos digitales
Presupuesto: existe una etapa para tratar el presupuesto de inversión del Conpes y si el monto no es
suficiente?, como podrían aportar los demás sectores?.
Comentarios Específicos:
Infraestructuras críticas: el tema es demasiado tímido en la parte de redacción del documento, como acción
se debería crear la ley específica regulatoria de infraestructuras críticas que incluya un reporte obligatorio de
incidentes (Con las previsiones respectivas de confidencialidad, privacidad, entre otros aspectos).
o Se debe verificar si el reporte obligatorio de incidentes debe ser solo para las empresas de
infraestructuras críticas o se debe hacer extensivo a otros sectores o entidades.
Definición de funciones: Más que la creación de agencias, se debe propender por definir funciones claras
para las entidades que ya están creadas y de esto depende la creación de nuevos centros.
Consejero presidencial: Se ratifica la creación del cargo del consejero presidencial para la seguridad digital.
Modelo de evaluación: se debe establecer a nivel macro, para que permita tomar decisiones en tiempo real,
respecto a la seguridad digital.
Mecanismo de seguimiento: construir un instrumento, y definir quién haría la supervisión del plan ya que
dentro del cuerpo del instrumento no se refleja cómo se va a ejecutar y cómo se va a medir el mismo, esperando
encontrar una responsabilidad de quien va a hacer un seguimiento.
Guias metodologicas de gestion de riesgo: En todas las guías metodológicas se deben ingresar todos los
sectores (1.3.4), – redactar diseñar y tramitar una metodología de gestión del riesgo de seguridad Digital,
recogiendo varias guías dirigida a todos los actores de interés.
Infraestructuras críticas: Especificar los temas de cómo ha sido el trabajo para infraestructuras críticas
porque no todos los participantes conocen el trabajo de los últimos años. Ampliar la participacióny socialización
del trabajo realizado. Cuál sería la parte normativa para infraestructuras críticas. Participación evaluación del
mecanismo regulatorio que regulará la IC.
Socialización y concientización: integrar todo en un programa para la higiene digital, revisar la redacción
de ésta meta, así como la redacción de las acciones ya que se pueden recoger en el programa de socialización
con toda la infraestructura para que todo lo que se haga se socialice debidamente.
46. Regulación – Garantizar: se sugiere revisar si es el verbo correcto para usar en este caso
Panorama económico 2015: En el documento en el tema económico, revisar los estudios de referencia para
actualizarlos a lo que ha pasado en 2015 para revisar las proyecciones.
Gobernanza: - Institucionalización – finalidades en concreto de las instituciones para el manejo de la seguridad
digital en Colombia – hasta donde llegan los roles y responsabilidades de entidades.
Regulación: La exigencia de implementación de regulación para las entidades no debe ser una barrera para
el desarrollo de la economía digital.
5. Sector Academia
Comentarios Generales:
Se busca mantener el margen de discreción y privacidad de la información …
Capacitación: Tipos de convocatorias en capacitación en seguridad digital y caracterización de las personas
capacitadas.
Ministerio del Trabajo: no se incluye al ministerio de trabajo como sector principal en temas de capacitación
ya que este es vital para capacitar funcionarios.
Libertad de expresión: Una preocupación del sector de la academia es la libertad de expresión
Ley de Inteligencia: actualizar la ley de inteligencia y aclarar cómo se integran el Conpes para darle mayor
relevancia ya que se encuentra muy enfocado hacia la prosperidad económica
Principios Orientadores: Crear una política de Principios orientadores en seguridad digital para los
ciudadanos y que sean apropiados por la continua evolución de la tecnología.
Adaptación del lenguaje: Exploración de palabras en español adoptadas al lenguaje colombiano para generar
mayor apropiación
Entes de control: Armonizar los entes control con las entidades vigiladas en temas de seguridad digital (evitar
las cargar normativas y capacitación en las normas)
Estudio de necesidad: Identificar que estándares serán requeridos para crear programas de educación en
seguridad de la información (evitar la mercantilización).
47. Modelo de gestión de riesgos: Como se puede plantear el modelo de gestión de riesgos, teniendo en cuenta
la evolución tecnológica.
La cultura: La cultura de la seguridad es muy importante y se deben involucrar a las grandes superficies, que
se preocupen por formar a los directivos de las entidades, pues de la conciencia de ellos depende que se
realice una correcta implementación de seguridad.
Mecanismos para garantizar cumplimiento: Cuáles son los mecanismos con los que se cuentan para
garantizar que las instituciones cumplan con lo que se establezca en el documento CONPES.
Revisar el marco actual: teniendo en cuenta la parte de mercadeo y profiling, con un proceso de
autorregulación.
Comentarios específicos:
Derechos Fundamentales: Qué criterios darán la garantía que los derechos fundamentales serán protegidos
y tenidos en cuenta en el documento al momento de publicar la política y durante la implementación.
Derechos Fundamentales: A nivel de derechos y valores fundamentales se debe hacer explicita afectación
de la intimidad de los individuos.
Regulación transfronteriza: Falta Regulación para la información que se encuentran en bases de datos en
otros países
Protección de datos personales: La normatividad en protección de datos es muy joven y no es lo suficiente
madura para garantizar la protección de la información.
Gobernanza: Identificar quienes velan por la articulación de la seguridad digital del país ().
Apropiación: el Carácter pedagógico de la propuesta es muy tradicionalista se debe Incluir la palabra
apropiación que apoye la alfabetización y la capacitación ya que ya que la tecnología se debe apropiar y la
seguridad digital debe ser apropiada por los ciudadanos.
Uso de la tecnología: El termino de sociedad transformada a través de la tecnología, debe utilizarse para el
desarrollo del CONPES teniendo en cuenta que el impacto económico y social se puede materializar a través
del uso inadecuado de la tecnología.
Cursos de formación: Se debe corregir la forma de redacción en la parte de los programas de formación,
donde la parte de gestión de riesgos debe tenerse en cuenta en el diseño de los programas de formación. El
esquema cultural debe tener diseños dependiendo el público objetivo para el cual se va a diseñar los cursos
de formación.
48. EnTICconfio Corporativo: desarrollar una estrategia para llegar a los altos directivos, que sea impactante en
temas de seguridad.