taller 1. seguridad y privacidad de la información · taller taller 1 seguridad y privacidad de la...
TRANSCRIPT
Taller 1. Seguridad y Privacidad de la Información
Diciembre 2017
Políticas Roles y Responsabilidades
Diciembre 2017
Agenda
1. Modelo de Seguridad y Privacidad de la
Información
2. Política General de Seguridad
3. Política de Privacidad
4. Políticas Específicas
5. Roles y Responsabilidades
6. Taller
http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html
Seguridad y privacidad de la
información
Documento Maestro
21 GUÍAS INSTRUMENTOS
Modelo de Seguridad y Privacidad de la información Composición
http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html
Modelo de Seguridad y Privacidad de la información EnfoqueatravésdelcicloD+PHVA
Metodológica de pruebas de efectividad
Política general MSPI v1
Procedimientos de Seguridad y
Privacidad de la Información.
Roles y responsabilidades de
seguridad y privacidad de la
información
Gestión De Activos Gestión Documental
Gestión del riesgo
Controles de Seguridad
Indicadores de Gestión SI
Continuidad de TI Análisis de Impacto de Negocios (BIA)
Seguridad en la nube
Evidencia digital
Plan de comunicación,
sensibilización y capacitación
Auditoría Evaluación desempeño
Mejora continúa
Lineamientos: Terminales de áreas financieras entidades
públicas
Aseguramiento del protocolo IPv6
Transición de IPV4 a IPv6 para Colombia Gestión de incidentes
21 Documentos
Modelo de Seguridad y Privacidad de la información Guíasdetrabajo
Política General de Seguridad de la Información
Proteger activos
Software
Físicos
Servicios
Personas
Información
Reputación
Política General de Seguridad de la información ¿Quéhace?
Servidores públicos
Terceros
Ciudadanía
¿Quién?
Política General de Seguridad de la información
Cumplimiento
Misión
Visión
Objetivos Estratégicos
Normas
¿Porqué?
Política General de Seguridad de la información
Desarrollo de las políticas Cumplimiento Comunicación Monitoreo Mantenimiento Retiro
FasesdelaimplementacióndelaPolítica
Política General de Seguridad de la información
• La Política aplica al proceso de XXX (ejm: Tecnología)
• A funcionarios, terceros, practicantes, ciudadanía
Alcance
Política General de Seguridad de la información Alcance
Objetivos
Mantener confianza
Proteger activos
Cumplir principios seguridad
Minimizar riesgo
Garantizar continuidad
Objetivos
Política General de Seguridad de la información
Principios de seguridad
Integridad
Confidencialidad
Disponibilidad
Objetivos
Política General de Seguridad de la información
Riesgo
Control
Riesgo residual
Minimizar el riesgo
Objetivos
Política General de Seguridad de la información
1. ENCABEZADO (MISION) 2. OBJETIVOS 3. ALCANCE/APLICABILIDAD 4. NIVEL DE CUMPLIMIENTO 5. DECLARACION DE LOS PRINCIPIOS DE
SEGURIDAD 6. INCUMPLIMIENTO
Estructuradeldocumento
Política General de Seguridad de la información
Política de Privacidad de la información
Política – Privacidad de la información MarcoLegalyNormativo
• Ley 1581 de 2012: Tratamiento de datos personales • Ley 1712 de 2014: Información pública • Decreto 1074 de 2015: (antiguo Decreto 1377 de 2013)
Capítulo 25 - Reglamenta • parcialmente la Ley 1581 de 2012 • Decreto 1081 de 2015 (antiguo Decreto 103 de 2015):
Título 1. Disposiciones generales en materia de transparencia y del derecho de acceso a la información pública nacional.
Proteger datos
personales
Legalidad
Finalidad
Libertad
Veracidad o calidad
Transparencia
Accesoy circulaci
ón restringi
da
Seguridad
Política – Privacidad de la información Principios
Proteger datos
personales
Conocer
Actualizar
Rectificar
Oponerse
Política – Privacidad de la información Derechos de los titulares
Consentimiento
Libre
Previo
Expreso
Informado
Política – Privacidad de la información Autorización
Canales Presenciales
Canales virtuales
Política - Privacidad de la información
¿Dónde?
Cumplimiento
Normatividad
Tratamiento de datos
Derechos de los
ciudadanos
Política - Privacidad de la información ¿Porqué?
Política - Privacidad de la información
1. Ambito de aplicación 2. Excepción al ámbito de aplicación. 3. Principios del tratamiento de datos personales: 4. Derechos de los titulares 5. Autorización del titular 6. Deberes de los responsables del Tratamiento 7. Política de controles criptográficos 8. La política de confidencialidad
Estructuradeldocumento
Políticas Especificas
Políticas específicas de SPI Textodeldocumentomaestro
Estructura de las políticas específicas • Qué se debe cumplir –regla de conducta / criterio de aceptación-. • Cuáles objetivos de seguridad se buscan lograr apoyados en el
cumplimiento de la política. • Cuáles principios de seguridad se relacionan directamente con la
política. • Quiénes deben cumplir con la política. • Quién hace seguimiento al cumplimiento de la política. • Cuál es la vigencia de la política. • Identificación de las partes interesadas que deben conocer la
política. • Cuáles son las consecuencias/sanciones por el incumplimiento de la
política. • Debe tener un alcance claro y sin ambigüedades.
Organización de la Seguridad de la
información Gestión de activos Control de acceso No repudio
Privacidad y confidencialidad Integridad
Disponibilidad del servicio e
información
Registro y auditoría
Gestión de incidentes de
Seguridad de la Información
Capacitación y sensibilización en seguridad de la
información
Política- Seguridad de la Información
¿Cuáles aspectos o dominios requieren políticas específicas como mínimo?
Roles y Responsabilidades
Propósito Definir funciones y asignar responsables en la gestión de la seguridad y privacidad de información dentro de las entidades públicas.
Establecer tareas específicas
Actividades/Funciones Vs Rol/Cargo
• Evitar imprecisiones en responsabilidades
• Garantizar el apoyo desde el inicio
• Establecer una adecuada segregación de funciones
• Asignar responsabilidades a p e r s o n a l c o n l a s competencias requeridas
Alta Dirección comprometida y participando
Equipo de implementación Responsables de adm
inistración y sostenibilidad del M
SPI
GuÍa 4: "INTRODUCCIÓN ... De esta forma, es necesario que las responsabilidades asignadas en el desarrollo del proyecto del MSPI para cada perfil, sean incorporadas a los manuales de funciones de cada entidad de acuerdo al cargo que desempeñan."
ARTÍCULO 2.2.22.1.5. Articulación y complementariedad con otros sistemas de gestión. El Sistema de Gestión se complementa y articula, entre otros, con los Sistemas Nacional de Servicio al Ciudadano, de Gestión de la Seguridad y Salud en el Trabajo, de Gestión Ambiental y de Seguridad de la Información. ARTÍCULO 2.2.22.3.8. Comités Institucionales de Gestión y Desempeño. En cada una de las entidades se integrará un Comité Institucional de Gestión y Desempeño encargado de orientar la implementación y operación del Modelo Integrado de Planeación y Gestión - MIPG, el cual sustituirá los demás comités que tengan relación con el Modelo y que no sean obligatorios por mandato legal… En el orden territorial el representante legal de cada entidad definirá la conformación del Comité Institucional, el cual será presidido por un servidor del más alto nivel jerárquico, e integrado por servidores públicos del nivel directivo o asesor…. 6. Asegurar la implementación y desarrollo de las políticas de gestión y directrices en materia de seguridad digital y de la información…. Parágrafo 1. La secretaría técnica será ejercida por el Jefe de la oficina de planeación, o por quien haga sus veces, en la entidad. Parágrafo 3. La Oficina de control Interno o quien haga sus veces será invitada permanente con voz, pero sin voto. Dado en Bogotá, D.C., a los 11 días del mes de septiembre del año 2017
Decreto 1499/2017 (DAFP)
Estratégico
C o m i t é d e seguridad C o m i t é Institucional de G e s t i ó n y Desempeño
Táctico
Responsable de S e g u r i d a d y privacidad de la información
Participantes – Población
Todos los Funcionarios
Todos los Ciudadanos
Todos los proveedores
Operativo
E q u i p o d e l proyecto
Perfiles y responsabilidades Equipo de trabajo
Taller
Taller 1 Seguridad y Privacidad de la Informacion
• Responder las preguntas del cuestionario https://goo.gl/nvGQYn
Instrucciones
Taller 1 Seguridad y Privacidad de la Informacion