4. Objetivo
Elevar los niveles de seguridad y
privacidad en el uso y aprovechamiento
de las T.I. en el Estado, mediante la
formulación de lineamientos y políticas
que contribuyan a la calidad y
confianza de los servicios ofrecidos al
ciudadano.
Subdirección de Seguridad y Privacidad de TI
Apoyamos el 5to. Principio básico del Plan Vive Digital: El Gobierno da ejemplo
6. Percepciones
Nuestra Entidad no es blanco de ataques.
No existe nada en la Entidad que valga la pena que se roben.
Las amenazas son solo externas.
Tenemos instalado un Firewall… entonces estamos protegidos
Estamos gastando más que suficiente en seguridad.
Si pasa algo, podemos asumir la pérdida
Después de una falla siempre podemos restaurar el sistema
Los problemas ocasionados por los virus siempre son menores.
Todos los problemas se solucionan comprando equipos.
7. La invencibilidad es una cuestión de defensa, la
vulnerabilidad, una cuestión de ataque.
—Sun Tzu
El modelo de Defensa en niveles de profundidad y el plano de una
ciudad amurallada.
Fuente: ISACA.
8. Seguridad de la Información
• Identifica• Mantiene
• Disminuye• Involucra
Gobierno Riesgos
ActivosGestión
9. Gestion del Riesgo
Riesgo:
Es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales
o del proceso. Se expresa en términos de probabilidad y consecuencias (Guía de Administración del
Riesgo-DAFP).
Según la Norma Técnica NTCGP 1000:2009, el riesgo es “Toda posibilidad de ocurrencia de aquella
situación que pueda afectar el desarrollo normal de las funciones de la entidad y el logro de sus
objetivos”.
11. Proteger mi Ecosistema
Cibercrimen Ciberterrorismo
Código Malicioso
- Malware
Ciberhacktivismo
Fraude
electrónico
Economía
underground
Software Ilegal Ingeniería Social
Computación
móvil
Cloud Computing Redes Sociales
Acceso no
autorizado a los
sistemas
Conflicto de
intereses
Funcionarios o
Ex-funcionarios
molestos
Incumplimiento
de las leyes y
regulaciones
MDI
12. Errores Comunes de los Usuarios
Compartir el usuario o la contraseña
Abrir archivos adjuntos de correo de origen desconocido
Utilizar el correo de la organización para enviar “SPAM”
Instalar software no autorizado
Subir a la nube, información de trabajo
Conectarse a una red vía telefónica o Wireless mientras se está conectado a la LAN.
Navegar en sitios “peligrosos”
15. Intranet Gubernamental – 2014
Fuente:
.CO – Febrero
IG – Año 2014
9103
3500
1289
547
402
369
350
338
261242
221
179
132 102 100 93 93 91 73 6766604442363531312727262624232322212019191818171616141313121211111010986666555444444444443333332222222222111111111
Colombia Estados Unidos Francia Alemania
Belgica Rusia Reino Unido United States
China Paises Bajos Holanda Ucrania
Anonymous Proxy Taiwan Germany Canada
Japon Thailandia España Suiza
Venezuela Italia Hong Kong United Kingdom
Mexico Indonesia Australia Brasil
Chile Arabia Saudita Peru Polonia
Dinamarca Portugal Rumania Proxy anonimo
Argentina Interna Suecia New Zelandia
Noruega Ecuador Icelandia Grecia
Republic of Korea Austria Korea India
Letonia Turkia Singapur Bielorrusia
Israel Luxemburgo Filipinas Malasia
Nepal Panama Iran Asia
Guatemala Uruguay Macedonia Puerto Rico
Incidentes:
18512
Fuente:
IG
+ 2000 sitios web
Colombia – 7.237 - .gov.co
17. Historia - Modelo de Seguridad y
Privacidad de Información
• Sistema
Administrativo
Nacional de
Seguridad de la
Información – GEL
2008
• Modelo de Seguridad
de la Información –
GEL Auditoria
2010 • Modelo de Seguridad
de la Información 2.0
– GEL ISO 27001
2011
• Modelo de Seguridad
y Privacidad TI –
Subdirección de
Seguridad y
Privacidad
2013 -2016
18. Marco del Modelo de Seguridad y
Privacidad de Información
Etapas previas a la
implementación
Implementación
Gestión
Mejoramiento
Continuo
Planificación
19. Fases del Modelo de Seguridad y
Privacidad de Información
Contexto
de la
EntidadEstado actual de la entidad
Identificar el nivel de
madurez
Levantamiento de
información
Etapas previas
a la
implementación
Planificación Implementación Gestión
Mejoramiento
Continuo
• Entender la Entidad
• Necesidades y
expectativas de las
partes interesadas
• Determinar alcance del
MSPI
Liderazgo
• Liderazgo y compromiso
de la alta dirección
• Política de seguridad
• Roles de la Entidad,
responsabilidades y
autoridad
Planeació
n
• Acciones para abordar
los riesgos y
oportunidades
• Objetivos y planes para
lograrlos
Liderazgo
• Recursos
• Competencias
• Sensibilización
• Comunicación
• Documentación
Contexto de
la Entidad
Liderazgo
Planeación
Soporte
Control y planeación
operacional
Evaluación de riesgos de
seguridad y privacidad de la
información
Tratamiento de riesgos de
seguridad y privacidad de la
información
Monitoreo, medición,
análisis y evaluación
Auditoria interna
Revisión por la alta
dirección
Acciones correctivas y no
conformidades
Mejora continua
20. 25
Encuesta de
seguridad
Estratificación
Autoevaluación del
Modelo de Seguridad
y Privacidad de la
Información
Metodológica de
pruebas de
efectividad
Política general de
seguridad y privacidad
de la información
Procedimientos de
Seguridad y
Privacidad de la
Información.
Roles y
responsabilidades de
seguridad y privacidad
de la información
Identificación,
clasificación y
valoración de activos
de información
Gestión documental
del Archivo General
de la Nación
Gestión del riesgo
Controles de
seguridad y Privacidad
de la Información
Indicadores de
gestión
Preparación de las TIC
para la continuidad
del negocio
Análisis de Impacto de
Negocios (BIA)
Seguridad en la nube Evidencia digital
Plan de comunicación,
sensibilización y
capacitación
Para definir el plan de
implementación y
plan de tratamiento
de riesgos
Evaluación
desempeño
Para efectuar
auditoria del MSPI
Mejora continúa
Lineamientos:
Terminales de áreas
financieras entidades
públicas
Aseguramiento del
protocolo IPv6
Transición de IPV4 a
IPv6 para Colombia
Gestión de incidentes
Guías del Modelo de Seguridad y
Privacidad de Información
22. Cumplimiento - GEL
• Protección de la
Información y
los Sistemas de
Información
Seguridad y
Privacidad de la
Información
23. Cumplimiento- Normatividad
Código Único
Disciplinario
• Articulo 34 (4-5)
• Articulo 35
Código penal
colombiano
• Ley 1273 de 2009
Protección de datos
• Ley 1266 de 2008
• Ley 1581 de 2012
• Decreto 1377 de
2013
• Ley 1712 de 2014
Políticas publicas
• Ley 1341 de 2009
• Decreto 1078 del
2015
• Decreto 32 del 2013
• Circular 052
• Circular 042
• NTD – SIG 001:2011
• Resolución 305
CDS
Propiedad Industrial
• Ley 170 de 1994 -
Organización
Mundial de
Comercio
• Ley 463 de 1998 –
Tratado de
cooperación de
patentes
Comercio Electrónico y
Firmas Digitales
• Ley 527 de 1999
• Decreto 1747 de
2000
• Resolución 26930
de 2000
• Decreto 2364 de
2012
• Circular externa
042 del 2012 (SFC)
Derechos de autor
• Decisión 351 de la
C.A.N.
• Ley 23 de 1982
• Decreto 1360 de
1989
• Ley 44 de 1993
• Decreto 460 de
1995
• Decreto 162 de
1996
• Ley 545 de 1999
• Ley 565 de 2000
• Ley 603 de 2000
• Ley 719 de 2001
26. “Si piensas que la
Tecnología puede
solucionar tus Problemas
de Seguridad, está claro
que ni entiendes los
Problemas ni entiendes
la Tecnología.”
Bruce Schneier