Comentarios a la Propuesta de Política Nacional de Seguridad Digital
1. COMENTARIOS A LA PROPUESTA DE
POLÍTICA NACIONAL DE SEGURIDAD
DIGITAL
Febrero 2016
2. COMENTARIO PARTE INTERESADA
PARTE: COMENTARIOS GENERALES
1 En algunas partes del documento se hace referencia a los actores de interés y se
puntualiza en algunos. Porque se excluye a los gobiernos territoriales?.
ACDTIC -05/02/2016
2 El concepto de seguridad digital no se encuentra definido en el glosario. ACDTIC -05/02/2016
DNI
29/01/2016
3 Se debería unificar los mecanismos de socialización y concientización en una sola
meta.
ACDTIC -05/02/2016
4 Se debería unificar las metas que corresponden al diseño de contenido educativo,
capacitación de funcionarios para el fortalecimiento de la política de seguridad digital.
ACDTIC -05/02/2016
5 No se aprecia en el documento como se articulan las policías Judiciales ASOBANCARIA 05/02/2016
6 Consideran que la seguridad digital podría limitar el alcance, sugieren cambiar a
seguridad de la información o definir mejor el alcance.
ASOBANCARIA 05/02/2016
7 La metodología de gestión de riesgos debe definir estándares por sector. ASOBANCARIA 05/02/2016
8 No es claro qué medidas se adoptaran para prevenir el delito en los equipos
terminales ( PC, MÓVIL, Smart TV, etc.)-
ASOBANCARIA 05/02/2016
9 Las acciones previamente definidas en el CONPES 3701 y adelantadas por el sector
privado como se incorporarán en esta nueva propuesta?
ASOBANCARIA 05/02/2016
10 La implementación de CSIRT sectoriales como se integraran con organismos del
estado
ASOBANCARIA 05/02/2016
11 Como se articula el nuevo papel del estado en materia del posconflicto con esta
política?
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
12 Es necesario que el documento establezca claros organismos y mecanismos de
control y supervisión al cumplimiento de la política y compromiso con los derechos
humanos que ella establece.
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
13 Es necesario que el principio de protección a los derechos humanos que rige al
documento CONPES sea desarrollado en el resto del documento, especialmente en
las acciones concretas.
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
14 Dar una competencia a las instituciones como la Delegatura de Protección de Datos
de la SIC, para que pueda realizar mayores controles a las empresas que almacenan,
gestionan, datos personales fuera de Colombia
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
3. 15 El documento CONPES de 2011 y el actual carecen totalmente de un análisis de
género (… ), Propuesta: Generar una nueva acción que recoja el compromiso del
Estado en adelantar la equidad de género en sus políticas, en este caso, en la de
seguridad digital.
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
16 Para el sector de las TIC se encuentran vigentes normas jurídicas que consagran las
reglas y obligaciones en materia de protección de los usuarios y sus datos personales
(…) Sugieren que el análisis y la consolidación del documento CONPES así como de
la normatividad que se expida en el marco de esta política pública cuente con la
participación de la totalidad de los actores de interés
COMCEL / TELMEX
05/02/2016
17 El documento no establece roles y alcances de las múltiples partes interesadas:
Se propone adoptar cuanto descrito en el documento de la UIT: “National Cyber
Security Strategy” – definiciones de rol y alcance de:
- Gobierno Nacional
- Propietarios y operadores de Infraestructura
- Agencias de Inteligencia
- Fabricantes y proveedores de
infraestructura de seguridad
- Academia
- Socios Internacionales
- Ciudadanos
COMCEL / TELMEX
05/02/2016
18 (…) Como punto de partida es necesario entrar a definir si quiera a titulo enunciativo
los intereses de orden nacional (…) una vez se tena una definición y/0 identificación
de los intereses nacionales es necesario entrar a establecer prioridades y sectores
económicos y de gobierno involucrados.
Proponen tabla con 4 variables para Infraestructuras críticas:
- Perdidas económicas
- Afectación a personas
- Consecuencias medioambientales
- Correlación con otros sectores
COMCEL / TELMEX
05/02/2016
4. 19 Los términos, Seguridad digital, Ciberseguridad, Ciberdefensa pueden convivir armónicamente
en el documento de política pública.
DNI
29/01/2016
20 El documento no incluye a la DNI ni siquiera en los aspectos directamente relacionados con
inteligencia.
DNI
29/01/2016
21 Se da prioridad al fortalecimiento de capacidades administrativas y no operativas a las
entidades (..) COLCERT, CCOC
DNI
29/01/2016
22 Las actividades se concentran en un número reducido de entidades de gobierno, mayor
esfuerzo presupuestal.
DNI
29/01/2016
23 Proponen realizar mesas de trabajo adicionales que permitan fortalecer el documento con la
participación de DNI, Sector Defensa y JIC
DNI
29/01/2016
24 Plantear la necesidad de una agencia, organismo o Institución Nacional de ciberseguridad y
ciberdefensa que coordine los centros ya existentes y aquellos que se creerán .
DNI
29/01/2016
25 ¿Qué se entiende por seguridad digital? Pareciese que fuese algo distinto que la
seguridad de la información y de la ciber seguridad. ¿El concepto de ciber defensa
queda incluido o se trata por aparte?
GECTI
05/02/2016
26 ¿Por qué se cambia a Política Nacional de Seguridad Digital? GECTI
05/02/2016
27 Para el desarrollo de la Política Nacional de Seguridad Digital se establecen unos
principios fundamentales, que deben ser inquebrantables (…) – ¿No se pueden
cambiar o modificar si es del caso?
GECTI
05/02/2016
28 Al hacer revisión de diferentes políticas o estrategias nacionales en torno al tema, se
puede concluir que las estrategias nacionales de ciberseguridad y ciberdefensa han
evolucionado hacia estrategias nacionales de seguridad digital.
¿Basado en qué argumento?
GECTI
05/02/2016
29 queda sin armonizar los elementos de ciber defensa y las labores de monitoreo
proactivo de los observatorios de ciber seguridad y ciber delincuencia, los cuales se
han venido consolidando en el país.
GECTI
05/02/2016
30 figura 3.3 Lo que ilustra es un sistema de gestión y no de gobierno de la seguridad
digital.
GECTI
05/02/2016
31 No se habla de la rendición de cuentas del avance del programa a nivel general. GECTI
05/02/2016
32 Establecer un control y normatividad para que ninguna entidad, organización o persona que
capta datos personales no pueda traficar con ellos, ej: las entidades se apropian de los datos
Presidencia
05/02/2016
5. por defecto, cuando se realiza un trámite aprovechando la letra menuda y la firma de la
solicitud, Eso debe ser eliminado de los formularios por los riesgos que esto genera. Algunas
compañías de vigilancia para ingresar a conjuntos toman hasta datos biométricos para permitir
el ingreso, quien autorizo eso y peor quien responde.
Crear un mecanismo de formación o carrera en ciberseguridad más formal para los
funcionarios de las entidades públicas y su debida estructura en la organización con recursos.
Actualmente, en algunas entidades no pasa de ser una buena intención u otra tarea de algún
todero.
Presidencia
05/02/2016
33 Establecer los estándares mínimos de seguridad y ciberseguridad que debe implementar
cualquier Entidad de Gobierno (roadmap), que conduzca por ejemplo a tareas, como mínimo
para proteger la infraestructura, los servicios y los datos. Pensemos en un municipio.
Presidencia
05/02/2016
34 Establecer un mecanismo de comunicación y colaboración más eficiente entre entidades y
especialmente entre los equipos de seguridad, algunas cosas se están tratando
superficialmente y no se ve un plan articulado en algunos momentos no vamos más allá de
una presentación.
Presidencia
05/02/2016
35 Hay que definir políticas de ciberseguridad para compra y contratación de tecnología y
desarrollo de software, como criterios de selección y calificación. Las entidades estamos
comprando si este tipo de criterios.
Presidencia
05/02/2016
36 Revisar la política del monitoreo para infraestructura a través de sistemas SCADA Presidencia
05/02/2016
PARTE: MARCO INSTITUCIONAL
37 ¿Cuáles son las funciones de las instancias que se pretenden crear o modificar? ACDTIC -05/02/2016
38 M1.1 Es necesario determinar con claridad las diferentes funciones de los organismos
que pueden hacer de una u otra forma vigilancia de las comunicaciones. En este
sentido, debe establecerse la prohibición de usar herramientas tecnológicas que
afecten la privacidad de comunicaciones por parte de organismos no facultados para
hacerlo.
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
39 A.1.1.1 Consejero Presidencial - ¿Se necesita un nuevo cargo? ¿Qué funciones
tendrá? La figura de Consejero no es viable sin antes no darle un marco jurídico para
que pueda integrar las distintas entidades.
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
6. 40 A.1.1.4 Para la creación de esta figura, se requiere la participación del Departamento
Administrativo de la Función Pública, quien es el ente competente para estos casos. Por lo
tanto, se sugiere que se incorpore al DAFP en este proceso. Por otro lado, para no aumentar
más la burocracia, se sugiere que se incorpore que esta figura, la puede desempeñar el
Director de TI de las entidades públicas, debido que actualmente son ellos quien están a cargo
de estos temas
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
41 A1.1.5. Centro Criptológico Nacional¿Qué hará este nuevo organismo? Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
42 A 1.2.5 Fortalecer COLCERT – El enfoque social de la nueva política debería considerar
independizar colCERT del Ministerio de Defensa para que pueda responder mejor a las tareas
de corte civil que tiene a su cargo. Esto no debe verse como un detrimento del aspecto
defensivo de la seguridad digital pues aún se cuenta con el Comando Conjunto Cibernético.
En la actualidad no existe una correcta integración del Colcert con otras entidades es el caso
de la policía, la Delegatura de Protección de Datos, la rama judicial, entre otras.
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
43 OE1: No se entiende la figura de consejero presidencial, requeriría un organismo por
debajo para que realice la coordinación en otros niveles
DNI – 29/01/2016
44 OE1: Con base en el decreto 032 de 2013 se debería revisar las funciones de la comisión
Nacional Digital para lograr mayor articulación.
DNI – 29/01/2016
PARTE: MECANISMO/ INSTANCIA DE COORDINACIÓN
45 ¿Si se realiza el proceso de creación de estas, como es el mecanismo de coordinación?
- Comisión Nacional Digital y de la Información Pública
- Grupo de Respuestas Cibernéticas de Colombia
- Figura de enlace sectorial en cada ministerio
- Centro Criptográfico Nacional
- Centro de Excelencia Nacional de Seguridad Digital
ACDTIC -05/02/2016
46 - Con el fin de fortalecer la capacidad institucional a nivel territorial, se debe crear un
mecanismo de articulación con el fin de coadyuvar en las acciones emitidas a nivel
nacional en torno al tema de seguridad digital.
ACDTIC -05/02/2016
47 - Se debe evaluar la coordinación con un ente territorial (Ej. Alta Consejería Distrital de
TIC para Bogotá), el cual sea un agente dinamizador de la política de seguridad digital
y seaencargado de armonizar lo definido por el Gobierno Nacional respectoa la misma.
ACDTIC -05/02/2016
7. 48 En el modelo dinámico a crear por el Gobierno Nacional, como se evidenciaría la
articulación con los Gobiernos Territoriales, cuál sería el mecanismo de coordinación?
49 ¿Cómo se integraría el ColCert con el CCP?
¿Cómo se integraría la fiscalía con el CCP?
ASOBANCARIA 05/02/2016
50 A1.2.2 sugieren cambiar a una “ Agenda Nacional de Ciberseguridad y Ciberdefensa”,
debe incluir al sector de inteligencia DNI, MINDEFENSA, JIC.
DNI – 29/01/2016
51 Se redunda en la atribución de funciones a Entidades y Organismos que
normativamente ya cuentan con las mismas. Lo anterior, es muestra de la falta de
conocimiento sobre roles, funciones y misión que adelantan las diferentes Entidades,
lo cual se evidencia en los numerales A.1.2.3 y a 1.2.4 en virtud de que para estas
acciones ya están creados el COLCERT y la JIC respectivamente
DNI – 29/01/2016
52 El COLCERT no debería depender de MDN, debería depender de la Agencia de
Ciberseguridad y Ciberdefensa o en su defecto de la presidencia de la republica bajo
la coordinación del consejero presidencial
DNI – 29/01/2016
PARTE: METODOLOGÍA DE GESTIÓN DE RIESGOS .
53 Consideran necesario que la metodología haga parte de un estándar , que tenga
componentes adicionales, deben existir exigencias mínimas de seguridad en un
estándar aplicado por sector y del cual haga parte la metodología de riesgos
ASOBANCARIA 05/02/2016
54 Sugieren incluir tiempos de aplicación específicos para la aplicación de la
metodología, y criterios para el seguimiento de la implementación
ASOBANCARIA 05/02/2016
55 M1.3 Sobre este aspecto la metodología de riesgo debería partir sobre el enfoque
dado en la norma ISO 31000, de acuerdo a riesgos estratégicos y operativos. La
metodología ISO 31000, permite en la práctica establecer objetivos, riesgos y
controles que pueden ser de mayor aplicación en los distintos actores del gobierno
nacional.
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
56 La propuesta metodológica consiste en que a los sectores que cuenten con
infraestructura critica se apliquen una misma metodología de riegos que definirá el
Gobierno Nacional ( por ejemplo Octave) (…)
COMCEL / TELMEX
05/02/2016
8. 57 El M1 1.3 Plantea la creación de una metodología para la gestión de riesgos de
seguridad digital, no debería ser una metodología únicamente para le gestión de
riesgos. No debería limitarse a la deguridad digital si no estar centrada alrededor de la
Ciberseguridad y Ciberdefensa, se limita su nivel estratégico.
DNI
29/01/2016
58 Se sugiere unificar las acciones A1.3.1 y A 1.3.4, y acalrar si la metodología será
creada o adoptada pues ya existen muchas alternativas para la gestión de riesgos.
DNI
29/01/2016
PARTE: PROGRAMAS Y PROYECTOS DE EDUCACIÓN
59 Se deberían unificar las Metas 1.4 y 1.5 ACDTIC -05/02/2016
60 Como es la articulación o mediante que mecanismo se coordina el gobierno nacional
con los territoriales en estos programas (…)
ACDTIC -05/02/2016
PARTE: MARCO REGULATORIO / NORMATIVO
61 Para los territorios: Teniendo en cuenta que a los Gobiernos Territoriales lo norma lo
expedido por el ente Nacional, se deben formalizar estos en decretos distritales?
ACDTIC -05/02/2016
62 Proponen redacción para M2.1 “(..) y actualizar la ley de inteligencia con aspectos
relacionados con la seguridad digital, así como la definición de estándares
obligatorios para que sean cumplidos por los actores de interés y ajuste a las leyes
existentes o promulgación de nuevas para combatir efectivamente el delito
informático”
ASOBANCARIA 05/02/2016
63 M 2.1 Es preocupante que en este punto se proponga considerar “el cibercrimen
como una amenaza contra la estabilidad del Estado”, ya que de este modo se estaría
desconociendo el principio básico de separación de poderes. En efecto, la propuesta
atentaría contra la división funcional entre la Policía Nacional y las autoridades
judiciales, de un lado, y los organismos de inteligencia y seguridad y las fuerzas
armadas (dependientes del Ejecutivo), de otro. La declaración citada autorizaría el
tratamiento del crimen y las amenazas a la seguridad nacional como una misma cosa.
Por tanto, ese aparte debe desaparecer. Así mismo, debe incluirse la mención al
principio fundamental Nº 1 del CONPES.
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
9. 64 Propuesta Texto M 2.1 -“El Gobierno nacional, en todo caso cumpliendo con el
principio fundamental n° 1 (PF1), consistente en “salvaguardar los derechos humanos
y los valores fundamentales de los individuos, incluyendo la libertad de expresión, el
libre flujo de información, la confidencialidad de la información y las comunicaciones,
la protección de los datos personales y la privacidad, así como los principios
fundamentales consagrados en la Constitución Política de Colombia” y la ley 1581 de
2012, debe compilar y actualizar la regulación en el sector de TIC teniendo en cuenta
aspectos necesarios para la gestión de riesgos de seguridad digital, armonizar la
normatividad que permita realizar eficientemente el almacenamiento, la retención y
los procedimientos del suministro de información por parte de los proveedores de
servicio de Internet en Colombia, y actualizar la ley de inteligencia con aspectos
relacionados con la seguridad digital, incluyendo la participación de la comunidad de
inteligencia y contrainteligencia.”
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
65 Propuesta de texto A2.1.2. “Armonizar con los estándares nacionales e
internacionales de protección de Derechos Humanos la normatividad que permite
realizar el almacenamiento, la retención y los procedimientos del suministro de
información por parte de los proveedores de servicio de comunicación en Colombia.”
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
66 Propuestas para los textos de las acciones A 2.1.3, A 2.1.4, A 2.1.5 - sería
recomendable tener en cuenta que no basta con hacer los estudios. Debe ser claro
que ellos deben informar las decisiones de reforma de los marcos institucionales y
legales para que efectivamente éstos sean compatibles con las exigencias de la
protección de la privacidad y de los datos personales así como con los derechos
fundamentales
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
67 A2.1 y A 4.1 – Sobre el marco legal y regulatorio, se recomienda aplicar la
metodología de Análisis de Impacto Normativo AIN o RIA
CLARO / TELMEX
02/02/2016
68 Respecto al punto A 2.1.4 Sugieren no adelantar esta actividad por que ya existe
normatividad vigente en esta materia.
CLARO / TELMEX
02/02/2016
69 A2.1.3 Si se va actualizar la ley de inteligencia se debe tener en cuenta a la JIC como
parte de los responsables
La actualización de la ley de inteligencia implica realizar una reforma a la ley estatuaria
(…) podría llevar a que el tiempo del CONPES no sea el suficiente para este objetivo
(La creación de la ley de inteligencia fue aprobada después de 12 años de
procedimiento legal.
DNI
29/01/2016
10. PARTE: Concientización y Socialización
70 M3.4 - La seguridad nacional como un valor deseable para toda la ciudadanía no
puede limitarse a la seguridad nacional, debe ser redactado nuevamente esto
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
71 Propuesta Texto M3.4 – “Mecanismos de socialización y concientización tanto de
tipologías comunes que afecten la seguridad digital y gestión de riesgos, como del
análisis y cumplimiento integral de la política de seguridad digital por parte de las
múltiples partes interesadas”
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
72 Se valora la decisión plasmada en el documento con respecto a fortalecer el
conocimiento (…) consideramos pertinente que se formalicen Alianzas Público –
Privadas que tengan por objeto la sensibilización y capacitación a la comunidad (…) las
entidades privadas que cumplen funciones públicas deberían estar más involucradas
en cuanto a la seguridad de la información.
CERTICAMARA – 05/02/2016
PARTE: Diagnostico
73 Necesario mencionar las vulnerabilidades que el ciudadano y las amenazas a las que
se enfrenta.
ASOBANCARIA 05/02/2016
Es necesario integrar la forma de investigación de los delitos informáticos en fiscalía y
Dijin/Sijin, mediante la creación de grupos especiales que aborden estos casos.
ASOBANCARIA 05/02/2016
11. 74 PROPUESTA DE TEXTO: “Las revelaciones de posibles abusos de las facultades de
vigilancia que se habrían realizado contra negociadores del proceso de paz en la
Habana (tanto del gobierno como de la guerrilla de las FARC, periodistas y opositores
políticos) en una operación fachada de inteligencia militar llamada “Andrómeda” y la
filtración de correos personales del Presidente Juan Manuel Santos, fruto de una
intrusión abusiva en su cuenta de correo, fueron el detonante y confirmaron el
incremento en incidentes de seguridad digital. Es por eso que, en el mes de febrero
de 2014, el Presidente Juan Manuel Santos solicitara la creación de una Comisión de
Expertos nacionales de alto nivel liderada por los ministerios de Defensa Nacional, de
Justicia y de Tecnologías de la Información y las Comunicaciones, que fueran
apoyados por una comisión internacional, con el fin de trabajar en el fortalecimiento
de las políticas de Ciberseguridad y Ciberdefensa para el país.”
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
75 Se propone agregar tres problemas en el diagnóstico:
1. Colombia necesita balancear los poderes excepcionales de las diferentes
autoridades con controles democráticos adecuados a dichas capacidades (…)
2. La realidad del posconflicto impone el reconocimiento de sujetos y sectores
particularmente vulnerables.
3. (…) Plantear una figura asimilable a la de infraestructura crítica para pensar en
la protección de estructuras comunicacionales de sectores como el de medios
y defensores/as de derechos humanos.
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
() incentivar el uso de la red de internet e incrementar la confianza en la misma,
necesita además de los servicios que prestan las instituciones públicas
especializadas en este campo, como el CAI VIRTUAL, CCOC, CCP, entre otras, los
de las entidades privadas que desarrollan productos y servicios que mitigan los
riesgos en los medios electrónicos, como es el caso de las Entidades Certificadoras
Abiertas, que claramente no pertenecen a las instituciones de seguridad (…)
CERTICAMARA – 05/02/2016
76 3 Respecto al punto 4.3.1., en el cual se pone en evidencia el marco legal y
regulatorio de los diversos temas de seguridad digital, se identifican tres errores (…)
estos son:
• Ley 1453 de 2011
• Decreto 2364 de 2012
• Decreto 333 de 2014
CERTICAMARA – 05/02/2016
12. 77 Tabla 4.1. Marco Normativo Nacional: resulta necesario incluir otras normas que no
fueron enunciadas y que son determinantes a la hora de garantizar la seguridad
digital en el entorno del país
SE SUGIEREN ADICIONES A LA TABLA -
Ley 594 de 2000
Ley 962 de 2005
Ley 1437 de 2011
Ley 1474 de 2011
Ley 1564 de 2011
Ley 1712 de 2014
Ley 527 de 1999
Decreto 2364 de 2012
Decreto 333 de 2014
Decreto 1074 de 2015
Decreto ley 019 de 2012
CERTICAMARA – 05/02/2016
78 Punto 3.4.4 – Infraestructuras críticas: Se recomienda trazar la hoja de ruta de esta
actividad identificando las fases. Consideran necesario que
CLARO / TELMEX
05/02/2016
79 En tabla 4.1 haría falta la Ley 1712 de 2014 Sobre transparencia y acceso a la
información que impacta las directrices de seguridad de la información y que
contrasta con los estándares reconocidos de seguridad de la información, esto es:
Para la 1712 – El principio fundamental es la publicidad y mientras para el 27001 es la
confidencialidad.
GECTI
05/02/2016
80 En el diagnostico no queda claro por qué es necesaria una modificación al marco
normativo actual, consideran que la protección del derecho fundamental de privacidad
de datos personales se encuentra suficientemente enmarcado.
LEVEL 3
05/02/2016
CCIT
05/02/2016
13. PARTE: FORTALECIMIENTO DE CAPACIDADES
81 El centro criptológico nacional no debería contemplarse como un ente certificado en
cabeza de MDN (…). No solo para el instituciones del sector defensa, sino para todas
las instituciones del estado.
DNI
29/01/2016
82 Las funciones de articulación enunciadas en A1.1.3 son inherentes a la naturaleza del
COLCERT, sobraría esta actividad porque es una labor que ya debería está
realizando
DNI
29/01/2016
83 Proponen incluir al sector privado que hace parte de la infraestructura critica como
responsables de garantizar la seguridad nacional en el entorno digital y por tanto su
debida capacitación
ASOBANCARIA 05/02/2016
84 A 3.2.1. – A 4.2.1. - El fortalecimiento de las capacidades de organismos de seguridad
e inteligencia necesariamente tiene que venir acompañado del fortalecimiento de los
controles a esas entidades para prevenir los abusos cuya ausencia fue notada en la
parte de Antecedentes y con la obligación de que las facultades o acciones con que
se fortalezcan se acompañen de un análisis de riesgo que permita establecer las
posibles afectaciones a derechos humanos con el fin de mitigarlas apropiadamente
(mediante disposiciones equivalentes como controles)
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
PARTE: INTRODUCCIÓN
85 Propuesta de Texto para el resumen ejecutivo:
“El crecimiento del uso masivo de las Tecnologías de la Información y las
Comunicaciones (TIC) en Colombia, así como el incremento de los servicios
disponibles en línea y la creciente participación de la sociedad en actividades
económicas y sociales en el entorno digital han transformado la vida de todos y cada
uno de los Colombianos, sin embargo el uso del entorno digital acarrea riesgos
inherentes de seguridad digital que deben ser gestionados. En tan sólo un mes (con
corte al 5 de Febrero de 2016), la unidad de servicios de consultoría para la respuesta
a incidentes de Intel Security conocida como Foundstone monitoreó un total de 47
incidentes críticos de seguridad digital en Colombia, ubicándose en el cuarto lugar
entre los países de Latinoamérica durante este periodo de tiempo”
INTEL
05/02/2016
86 Actualizar el texto que acompaña la figura 2.20 asi:
“ a partir de información provista por Foundstone, unidad de servicios de consultoría
agnóstica en seguridad de Intel Security, y con base en sus servicios de Ciber
Inteligencia, indica que desde la puesta en operación de los mismos en el año 2000 y
hasta el día 5 de Febrero de 2016 en los Estados Unidos se han detectado un total de
INTEL
05/02/2015
14. 604.608 incidentes y en Brasil 77.522, mientras que en Colombia se detectaron 8.136
incidentes de seguridad.”
87 Sugieren incluir más documentación de referencia: PROPUESTA DE REFERENCIAS
A INCLUIR:
● Relator Especial para la Libertad de Expresión de la Comisión Interamericana de
Derechos Humanos de la OEA. Comunicado de prensa sobre la adquisición e
implementación de programas de vigilancia por parte de Estados del hemisferio (21
de julio de 2015).
● Declaración conjunta de las relatorías para Libertad de Expresión de la ONU y la
OEA sobre programas de vigilancia y su impacto en la libertad de expresión.
● CIDH. Informe sobre Terrorismo y Derechos Humanos de la Comisión
Interamericana de Derechos Humanos. OEA/Ser.L/V/ll.116 Doc. 5 rev. 1 corr. 22 de
octubre de 2002.
● Naciones Unidas. Asamblea General. Informe del Relator Especial sobre la
promoción y protección del derecho a la libertad de opinión y expresión, Frank La
Rue. A/HRC/23/40. 17 de abril de 2013.
● CIDH. Informe Anual 2013. Informe de la Relatoría Especial para la Libertad de
Expresión. Capítulo IV (Libertad de Expresión e Internet). OEA/Ser.L/V/II.149. Doc.
50. 31 de diciembre de 2013
● Declaración conjunta sobre libertad de expresión e internet de las relatorías para la
libertad de expresión de la ONU, OSCE, OEA y CADHP. Ver.
● Naciones Unidas. Informe del Alto Comisionado de las Naciones Unidas para los
Derechos Humanos El Derecho a la Privacidad en la Era Digital. A/HRC/27/37. 30 de
junio de 2014.
● Naciones Unidas, Consejo de Derechos Humanos. Principios Rectores Sobre las
Empresas y los Derechos Humanos. 2011.
● European Union Agency for Network and
Information Security (ENISA). (2014, 27 de noviembre). An evaluation framework for
cybersecurity strategies4.
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
PARTE: INFRAESTRUCTURAS CRITICAS
15. 88 Modificar A4.2.2: Crear el Centro Nacional de Protección y Defensa de Infraestructura
Critica Nacional liderado por el CCOC y los Centros de Operaciones cibernéticas de
las Fuerzas Militares, quienes en ejercicio de sus funciones ejecutarán acciones con
base en las recomendaciones de los comités sectoriales para infraestructura crítica.
INTEL
89 Modificar A4.2.3 así: Conformar comités sectoriales con representantes de gobierno y
sector privado, para identificar, revisar y realizar recomendaciones sobre la
Infraestructura Crítica Nacional con un enfoque de gestión de riesgos de seguridad
digital y actualizarlo periódicamente. Por lo menos, los sectores que deben trabajarse
son: Acueducto, Defensa, Energía, Financiero, Transporte y Telecomunicaciones.
INTEL
90 Colombia debe adoptar un marco de referencia en Ciberseguridad sólido y basado en marcos
de referencia internacionales bien conocidos y maduros, esta adopción no se puede ver desde
un punto de vista de estricto cumplimiento, ya que se deberá adaptar a la cultura y
necesidades nacionales tanto de gobierno como de las entidades públicas y privadas que son
actores en cada uno de los sectores de infraestructuras críticas, un excelente marco de
referencia a adoptar puede ser el Cybersecurity Framework del NIST, el cual está basado en
COBIT v5 y es utilizado por el Gobierno de Estados Unidos, Intel mismo participo en su
desarrollo y utiliza este marco de referencia para la protección de sus infraestructuras criticas
http://www.intel.com/content/www/us/en/government/cybersecurity-framework-in-action-use-
case-brief.html, este marco se alinea con diferentes estándares de seguridad internacionales
por sector que aplique a nuestro país, como por ejemplo:
Chemical Sector, Dams Sector, Financial Services Sector, Commercial Facilities Sector,
Defense Industrial Base Sector, Food and Agriculture Sector,
Communications Sector, Emergency Services Sector,
Government Facilities Sector, Critical Infrastructuring Sector, Energy Sector, Healthcare and
Public Health (HPH) Sector, Water and Wastewater Systems Sector, Nuclear Reactors,
Materials, and Waste Sector, Education Sector, Transportation Systems Sector.
INTEL
PARTE: ANTECEDENTES YJUSTIFICACIÓN
91 Incluir reportes sobre los casos de
ataques y constantes violaciones a la seguridad digital de sectores de la sociedad
colombiana, casos de interceptaciones indebidas, hurto de dispositivos a periodistas
(…), según cifras de la Fundación para la Libertad de Prensa, tanto en 2015 como en
2014 se registraron 6 casos de agresiones contra periodistas en entornos digitales.
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
16. Por otro lado, según esa misma organización, en el 2014 se presentaron 15 reportes
de duplicaciones de cuentas en redes sociales con el fin de atacar la reputación de
personas que ejercen el oficio periodístico.
92 Incluir en antecedentes la necesidad de actualizar la ley 1273 de 2009 pues no es
suficiente para el hurto informático y la transferencia no consentida de activos.
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
93 Dentro de los antecedentes se debe reflejar que algunos estamentos del Estado han
tenido injerencias ilegítimas en la intimidad de las comunicaciones de algunos
sectores de la sociedad en particular con los periodistas.
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
94 es prioritario asignar responsabilidades claras a las empresas, debido al manejo de
grandes cantidades de información personal de las personas consumidoras (la
ciudadanía) (…)
las medidas combativas para reducir el riesgo de ocurrencia de un delito, no sea el
menoscabo de derechos y libertades de las personas.
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
PARTE: DEFINICIÓN DE LA POLÍTICA, OBJETIVOS, PRINCIPIOS,
DIMENSIONES
95 OE1: No debería centrarse en la seguridad digital si no en la ciberseguridad y
ciberdefensa.
DNI
29/01/2016
96 OE2: El objetivo de prosperidad económica y social deja por fuer el componente de
ciberseguridad y ciberdefensa (…) hace que el documento pierda el ámbito
estratégico.
DNI
29/01/2016
97 El numeral 5.1.1 PF3 – Menciona las responsabilidades compartidas mas no
menciona quienes deben compartir dicha responsabilidad ni cuál es la
responsabilidad compartida, sugieren eliminar este principio fundamental
CLARO /TELMEX
05/02/2016
98 Más que un objetivo general, pareciera uno instrumental (específico) (…). El texto
parece sugerir que la política es de aplicación exclusiva a las personas nacionales
colombianas, dejando de lado a sinnúmero de personas extranjeras que residen y
trabajan, inclusive comercian, en el territorio nacional. Por lo tanto, se sugiere que a lo
largo del documento, en lugar de hablar de colombianos, se utilice una acepción más
amplia como ciudadanía.
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
99 Propuesta de texto Objetivo Central: “La política nacional de seguridad digital tiene
como objetivo lograr un entorno digital colombiano libre, abierto, seguro, confiable e
inclusivo con el concurso de todas las partes interesadas: el Gobierno Nacional y los
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
17. territoriales, las organizaciones públicas y privadas, la academia, la comunidad
técnica, y la sociedad civil. Internet en Colombia deberá ser un espacio para el libre
ejercicio de los derechos de la ciudadanía y para el crecimiento de la economía
nacional que maximice los beneficios obtenidos de una mayor prosperidad
económica, política y social del país a través del fortalecimiento de las capacidades
de todas las partes interesadas, según corresponda, para identificar, gestionar y
mitigar los riesgos de las actividades digitales.”
100 PF1 - No es claro lo que se entiende por “valores fundamentales”. Se debe enfocar la
política en los derechos humanos y si se desea, se deben describir los valores
fundamentales a los que se refieren, sobre todo, si estos se desarrollan en contextos
y diagnóstico ya descritos.
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
101 Propuesta Texto PF1 - “Mantener un Internet libre, abierto, seguro e inclusivo
salvaguardando los derechos humanos de las personas, protegiendo especialmente
la libertad de expresión, el derecho a la información, el de la intimidad, el habeas data
y la protección de datos, y promoviendo los valores democráticos y del Estado de
Derecho. En caso de limitación a estos derechos, debe ser bajo medidas
excepcionales y estar conforme con la Constitución Política y los estándares
internacionales aplicables. Estas medidas, deben ser proporcionales, necesarias y en
un marco de legalidad.”
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
102 PF2 - Proponemos ajustar el texto para corregir la traducción del inglés de
“multistakeholder” por el término “múltiples partes interesadas”, no “actores
interesados” como aparece. Además, se debe incluir a la comunidad técnica como
una parte actora dentro de esta propuesta. En general, en todos los apartes del
documento en los que aparecen “actores de interés” debe hablarse de “múltiples
partes interesadas
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
103 Propuesta Texto PF2 – “Adoptar un enfoque incluyente y colaborativo que involucre
activamente a todas las partes interesadas en la seguridad digital del país y de sus
habitantes, lo que incluye al Gobierno Nacional, los entes territoriales, las
organizaciones públicas y privadas, la academia, la comunidad técnica y la sociedad
civil, y que permita establecer condiciones para el desarrollo eficiente de alianzas, con
el fin de promover la seguridad digital en el país”
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
104 Texto DE2 - La gobernanza, como se desprende del documento CONPES, no tiene
que ver con el modelo multistakeholder –de múltiples partes interesadas– que viene
funcionando en Internet. La redacción debe reflejar el espíritu de este modelo.
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
18. 105 Propuesta Texto DE2 – “Gobernanza del entorno digital: articulación y armonización
de las múltiples partes interesadas a través del estímulo a su participación, con el fin
de gestionar la seguridad digital.”
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
106 Texto DE4 – Para desarrollar efectivamente la llamada “cultura ciudadana para la
seguridad digital”, el Estado debe contribuir a través de la construcción de
capacidades entre todos las partes interesadas, pero, sobre todo, en la sociedad civil,
en la comunidad técnica que defienda sus intereses y en los funcionarios del Estado
que deben protegerlos.
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
107 Propuesta texto DE4 – “Cultura ciudadana para la seguridad digital: sensibilización y
construcción de capacidades de todas las partes interesadas, especialmente de la
sociedad civil, de la comunidad técnica y de los funcionarios públicos, para crear y
fomentar una cultura ciudadana responsable en la seguridad digital”
Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
108 Objetivo Central: Esta es una declaración más administrativa y ejecutiva que una
proposición de acción sobre temáticas relevantes. Su lectura está hecha para los
directivos y no para el público en general que no espera discursos, sino acciones que
le permitan creer en el ejercicio de aseguramiento del contexto digital que el gobierno
desea hacer.
GECTI
29/01/2016
109 Los principios fundamentales, carecen de una visión sistémica y holística. Están
fundados en la gestión y busque de certezas, mientras es claro que el entorno es
volátil, incierto, complejo y ambiguo
GECTI
29/01/2016
110 sugiere un quinto principio que verse de la siguiente forma:
Promover una vista sistémica de la seguridad digital, que, entendiendo el ecosistema
tecnológico de la nación, permita asumir la inestabilidad e incertidumbre del entorno,
como insumo estratégico para aumentar la capacidad de resiliencia nacional frente a
eventos no deseados o imprevistos que comprometan la gobernabilidad del país.
GECTI
29/01/2016
PARTE: GLOSARIO
111 Incluir: Dato personal, Titular:, Datos sensibles, Tratamiento de datos sensibles. Fundación Karisma, Fundación para la Libertad
de Prensa , Comisión Colombiana de Juristas -
05/02/2016
112 No se define en el glosario Infraestructura Critica. LEVEL 3
19. 05/02/2016
113 “Propuesta definición IC: Corresponde a aquella infraestructura conformada por las
redes, sistemas y activos físicos o virtuales cuya afectación, corte o destrucción
generaría consecuencias negativas mayores en la seguridad, salud y bienestar
económico de los ciudadanos o la perdida de gobernabilidad en tan solo poco
minutos.”
LEVEL 3
05/02/2016
CCIT
05/02/2016