PLAN ESTRATÉGICO DE SEGURIDAD DE LA INFORMACIÓN 2018 … · institucional para identificar y responder a la vulneración de los derechos y promover el cumplimiento de los deberes

PASSWORD CONSULTING SERVICES

OBJETO CONTRATO 179-89 de 2018

LLEVAR A CABO EL DIAGNÓSTICO, LA PLANIFICACIÓN Y LA IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) PARA LA PROCURADURÍA GENERAL DE LA NACIÓN.

PLAN ESTRATÉGICO DE SEGURIDAD DE LA INFORMACIÓN (PESI)

PROCURADURÍA GENERAL DE LA NACIÓN

BOGOTÁ D.C., NOVIEMBRE DE 2018

PLAN ESTRATÉGICO DE SEGURIDAD DE LA INFORMACIÓN 2018 –

2021

CONTROL DE DOCUMENTOS

Fecha Autor Versión Referencia de Cambios

10-10-2018 Password Consulting

Services 1 Creación del documento

Revisado por

Nombre Cargo Firma

Guillermo Gómez Gómez Jefe de la Oficina Sistemas de

Información PGN

William Palencia Gerente de Proyecto SGSI

Password Consulting Services

Aprobado por

Nombre Cargo Firma

PLAN ESTRATÉGICO DE SEGURIDAD DE LA INFORMACIÓN

3

TABLA DE CONTENIDO

TABLA DE CONTENIDO ........................................................................................... 3

INTRODUCCIÓN ........................................................................................................ 4

OBJETIVOS DEL PLAN ESTRATEGICO DE SEGURIDAD DE LA INFORMACIÓN ..................... 5

PLAN ESTRATÉGICO DE SEGURIDAD ............................................................................... 6

ALINEACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CON LA ESTRATEGIA INSTITUCIONAL ............................................................................................................. 8

ALINEACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CON LOS PROYECTOS DE INVERSIÓN .................................................................................................................. 10

LINEAMIENTOS PARA TECNOLOGÍA DE INFORMACIÓN 2018-2021 .............................. 11

SEGUIMIENTO AL PLAN ESTRATEGICO DE SEGURIDAD DE LA INFORMACIÓN ................ 13

CONCLUSIÓN .......................................................................................................... 14


4

INTRODUCCIÓN

La Procuraduría General de la Nación es la Entidad (PGN) que representa a los ciudadanos ante el Estado. Es el máximo organismo del Ministerio Público, conformado además por la Defensoría del Pueblo y las personerías.

Conformada por cerca de 4 mil servidores, la Procuraduría tiene autonomía administrativa, financiera y presupuestal en los términos definidos por el Estatuto Orgánico del Presupuesto Nacional. Es su obligación velar por el correcto ejercicio de las funciones encomendadas en la Constitución y la Ley a servidores públicos y lo hace a través de sus tres funciones misionales principales: La función preventiva, la función de intervención y la función disciplinaria.

Con el fin de llevar a cabo satisfactoriamente su misión, la PGN ha establecido un Plan Estratégico Institucional (PEI) 2017-2021, argumentado en un enfoque humanista, constitucional, y diferencial. Definiendo como objetivo principal de su función “Recuperar la confianza y fortalecer las capacidades del Estado, la Procuraduría General de la Nación y la sociedad civil, para identificar, prevenir, intervenir, sancionar y no tolerar la corrupción y la mala administración (gestión indebida de lo público) y garantizar derechos, cumplir deberes y salvaguardar el ordenamiento jurídico”. Para alcanzar tal objetivo se definieron 3 grandes área de trabajo denominados ejes de acción: Integridad (lucha contra la corrupción y participación, valor de lo público), Derechos (convivencia y justicia, legitimidad.), Gestión para un estado moderno, transparente y en paz.

De forma transversal, es en estas grandes áreas de trabajo, donde la Seguridad de la Información entra a formar parte importante en el cumplimiento del objeto de salvaguardar la confidencialidad, integridad y disponibilidad de la información que se encuentra bajo su responsabilidad. Y adicional este Plan Estratégico tiene una orientación hacia el aseguramiento del logro de los objetivos estratégicos de la entidad.

Por último la Oficina de Sistemas de PGN ha establecido con este Plan Estratégico de Tecnologías de la Información desarrollado de acuerdo a los lineamientos del Marco de Referencia de Arquitectura Empresarial para la Gestión de TI del Estado Colombiano. Los lineamientos y/o principios que rigen el plan estratégico de TIC y los proyectos del PETI se alinean con la metodología IT4+1 y el Marco de Referencia de la Arquitectura TI Colombia de Min TIC.

1 IT4+ es un modelo resultado de la experiencia, de las mejores prácticas y lecciones aprendidas durante la implementación de la estrategia de gestión TIC en los últimos diez años. Está alineado con la estrategia empresarial u organizacional y permite desarrollar una gestión de TI que genere valor estratégico para la organización y sus clientes. Agrupa la gestión en seis dominios: Estrategia TI, Gobierno TI, Información, Sistemas de Información, Servicios Tecnológicos y Uso y Apropiación. el Ministerio TIC lo dispuso para que las entidades puedan usarlo de tal modo que alineen su Estrategia TI con los planes institucionales y sectoriales. Fuente MinTIC


5

OBJETIVOS DEL PLAN ESTRATEGICO DE SEGURIDAD DE LA INFORMACIÓN

Los objetivos del Plan Estratégico de Seguridad de la Información, son los siguientes:

Gráfico Nº 1 – Objetivos del PESI

Estos objetivos están alineados con los objetivos estratégicos así:

1. Aumentar la integridad y la ética en la gestión público privada, haciendo efectivos los mecanismos anticorrupción y de mejoramiento de gestión, la corresponsabilidad en el cuidado de lo público, y la cero tolerancia a la corrupción, para recuperar la confianza ciudadana en las instituciones y la cultura de lo Público.

2. Promover la efectividad de los derechos y la legitimidad de la justicia, implementando mecanismos de prevención y respuesta a su vulneración, para que los responsables los hagan efectivos y así disminuyan las impunidades legal, moral y cultural, a través de la recuperación del valor de la justicia y el mejoramiento de su aplicación, con acceso, oportunidad y calidad, para que las personas vivan mejor en el territorio, en convivencia y sin conflicto armado

Ser el referente y ejemplo, para la introducción de la seguridad de la información en todos los organismos de

control.

Disponer de infraestructura de tecnología para la aplicación y soporte de la seguridad de la información de la PGN.

Incorporar toda la innovación y flexibilidad a través de toda la arquitectura de seguridad de la información.

Apoyar toda la capacitación relacionada a seguridad de la información y al fortalecimiento de la cultura de SI

Establecer todos los procedimientos internos que permitan asegurar la calidad de la información en la entidad.

Propender por el mejoramiento permanente de las capacidades técnicas de la arquitectura de seguridad de

información.

Mantener una visión actualizada de los aspectos de seguridad de la información en el sector.


6

3. Fortalecer la planeación y la gestión estratégica institucional, a través de un talento humano que da ejemplo de servicio público, y de una gestión del conocimiento y de las Tics al servicio de la misionalidad, para realizar una gestión coordinada e integral al servicio del ciudadano en la nación y el territorio.

PLAN ESTRATÉGICO DE SEGURIDAD

El plan estratégico de seguridad de la información está alineado con los principios y valores que rigen la Entidad, así como los ejes de acción definidos en el PEI, la implementación de la Ley de Transparencia cumpliendo los principios de Estado Abierto y de aspectos de Gobierno Digital del MinTIC.

Gráfico Nº 2 – Plan Estrategico de Seguridad de la Información - Tomado del PEI - PGN 2017-2021


7

Del mismo modo el presente Plan Estratégico de Seguridad se estructura a partir del Plan Estratégico de Tecnologías de la Información y Comunicaciones PETIC 2017 – 2021. Que se alinea con la metodología IT4+ y el Marco de Referencia de la Arquitectura TI Colombia de Min TIC. 8.El sistema de gestión de seguridad de la información –SGSI que se encuentra en etapa de implementación, está ligado al cumplimiento de los requisitos establecidos en el estándar ISO/IEC 27001:2013, en la búsqueda de una gestión pública moderna y eficiente; y en la construcción de una ética colectiva y de respeto al bien público.

Gráfico Nº 3 - Alineación del Plan Estratégico de Seguridad de la información – Fuente Autor

PEI2017-2021

PETIC 2017 – 2021

PESI 2017 – 2021


8

ALINEACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CON LA ESTRATEGIA INSTITUCIONAL

En la tabla siguiente se encuentran claramente alineados los objetivos del plan estratégico de seguridad de la información con la estrategia institucional y los objetivos estratégicos de la PGN. En este punto es fundamental estar articulados dentro del marco de ley y en orden a la mejora continua del SGSI y su aporte hacia la institucionalidad de la seguridad en los organismos de control.

Tabla 1. Alineación de la seguridad de la información con la estrategia institucional

OBJETIVO ESTRATÉGICO INSTITUCIONAL

OBJETIVO ESPECÍFICO OBJETIVO DEL PLAN

ESTRATÉGICO DE SEGURIDAD

Aumentar la integridad y la ética en la gestión público privada, haciendo efectivos los mecanismos anticorrupción y de mejoramiento de gestión, la corresponsabilidad en el cuidado de lo público, y la cero tolerancia a la corrupción, para recuperar la confianza ciudadana en las instituciones y la cultura de lo público.

Implementar la Ley de Transparencia y de acceso a la información al 100% dentro de la entidad y tener la capacidad como sujeto garante para vigilar su cumplimiento frente a los 68000 sujetos obligado.

Ser el referente y ejemplo, para la introducción de la seguridad de la información en todos los organismos de control.

Lograr una mayor articulación entre organizaciones, actores e instancias nacionales e internacionales, y mayor efectividad de la acción ciudadana, para el cuidado de lo público.


Transformar en ciudadanos y servidores las creencias y comportamientos que vulneran lo público, a través de formación, sanciones e incentivos, para rescatar la ética, revalorar la justicia y cuidar lo público

Apoyar toda la capacitación relacionada a seguridad de la información y al fortalecimiento de la cultura de SI seguridad de la información en todo el sector.

Promover la efectividad de los derechos y la legitimidad de la justicia, implementando mecanismos de prevención y respuesta a su vulneración, para que los responsables los hagan efectivos y así disminuyan las impunidades legal, moral y cultural, a través de la recuperación del valor de la justicia y el

Mejorar la capacidad institucional para identificar y responder a la vulneración de los derechos y promover el cumplimiento de los deberes. Para ello se desarrollarán instrumentos preventivos y sancionatorios que mejoren la materialización de los derechos, la realización de la paz, la reparación de las víctimas y la


Incorporar toda la innovación y flexibilidad a través de toda la arquitectura de seguridad de la


9

OBJETIVO ESTRATÉGICO INSTITUCIONAL

OBJETIVO ESPECÍFICO OBJETIVO DEL PLAN

ESTRATÉGICO DE SEGURIDAD

mejoramiento de su aplicación, con acceso, oportunidad y calidad, para que las personas vivan mejor en el territorio, en convivencia y sin conflicto armado

profundización de la democracia, con perspectiva territorial y diferencia.

información.

Consolidar una Procuraduría con planeación y gestión estratégicas, a través de un talento humano que da ejemplo de servicio público, y de una gestión del conocimiento y de las Tics al servicio de la misionalidad, para mejorar la calidad de vida del ciudadano, en la nación y el territorio

Lograr una organización articulada y fortalecida con liderazgo, transparencia, sinergia territorial y gestión inteligente para recuperar la confianza ciudadana.

Apoyar toda la capacitación relacionada a seguridad de la información y al fortalecimiento de la cultura de SI.

Establecer todos los procedimientos internos que permitan asegurar la calidad de la información en la entidad.

Consolidar una entidad coordinada e integrada territorialmente y con su entorno nacional e internacional, mediante mecanismos de articulación y de producción y gestión del conocimiento, en asocio con el IEMP, para lograr una respuesta efectiva al ciudadano.

Propender por el mejoramiento permanente de las capacidades técnicas de la arquitectura de seguridad de información.



10

ALINEACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CON LOS PROYECTOS DE INVERSIÓN

En la tabla siguiente se encuentran los proyectos sugeridos en el marco de la seguridad de la información para apoyar los diversos proyectos de inversión que buscan cubrir los programas de la estrategia institucional.

A nivel general, se debe suplir con la arquitectura tecnológica necesaria para completar el modelo de seguridad de la información de la Entidad.

Tabla 2. Alineación de la seguridad de la información con los proyectos de inversión

PROYECTO DE INVERSIÓN PROYECTO SUGERIDO PARA

SEGURIDAD

Fortalecimiento plataforma tecnológica de la Procuraduría General de la Nación, a nivel nacional.

• Aplicar el Sistema de Gestión de Seguridad de la Información para garantizar la protección de la información.

Adecuación de sedes de la Procuraduría General de la Nación, a nivel nacional.

• Por definir al interior de la PGN.

Implementación de la estrategia anticorrupción de la Procuraduría General de la Nación.

• Por definir al interior de la PGN.

Mejoramiento de la gestión institucional de la Procuraduría General de la Nación a nivel

Nacional.

• Desarrollar la interoperabilidad, pruebas e implementación de los sistemas de información SIM – STRATEGOS.

• Desarrollar módulo de indicadores SIGOB en STRATEGOS o en herramienta definida.

• Evaluar la calidad técnica de la información entre sistemas.

• Implementar la unidad de gestión de información PGN.

Fortalecimiento de la Procuraduría General de la Nación para el ejercicio del control público Nacional.

• Diseñar e implementar la política de datos abiertos de la PGN.

• Diseñar e implementar un plan y política de mantenimiento, soporte y actualización de la infraestructura y servicios tecnológicos adquiridos.

• Diseñar la arquitectura empresarial, arquitectura de software y gobierno de Tecnologías de Información conforme a los lineamientos de MINTIC.

• Implementar y evaluar la Arquitectura Empresarial, arquitectura de software y Gobierno de Tecnologías de Información.

• Realizar la adecuación de los sistemas de información con énfasis en la interoperabilidad y mejora de operación territorial.


11

LINEAMIENTOS PARA TECNOLOGÍA DE INFORMACIÓN 2018-2021

Las iniciativas para el período deben estar impulsadas a terminar la implementación del Sistema de Gestión de Seguridad de la Información en la entidad y seguir fortaleciendo aspectos para la implementación final del SGSI.

Sin embargo, así como se tienen metas que son transversales a la entidad, se hacen tareas específicas de la oficina de sistemas, las cuales tendrían asociados programas individuales específicos los cuales serían los siguientes:

Tabla 3. Lineamientos para tecnología de información 2018-2021

METAS DE TI Y SEGURIDAD LINEAMIENTOS O PRINCIPIOS DEL

PETI EN LA PGN

Ser el referente y ejemplo, para la introducción de la seguridad de la información en todos los organismos de control.

Se contará con esquemas de interoperabilidad que estandaricen y faciliten el intercambio de información con las áreas y entidades de control externas igualmente la habilitación de servicios en línea que permitan la interoperabilidad de los mismos.


Contar con herramientas y servicios tecnológicos que permitan acercar la PGN al ciudadano, para asegurar la integridad y la transparencia a nivel interno y externo, hacer visibles las funciones de la entidad y que el ciudadano se sienta como un veedor más, mediante el seguimiento que el mismo puede realizar a sus denuncias mediante el control social y la rendición de cuentas y las audiencias ciudadanas de la PGN en línea.

Incorporar toda la innovación y flexibilidad a través de toda la arquitectura de seguridad de la información.

Contar con Estándares abiertos para datos, asegurando que los datos apropiados son transparentes y se comparten y utilizan estándares de datos abiertos fomentando transparencia, participación ciudadana y gestión de la información.

Apoyar toda la capacitación relacionada a seguridad de la información y al fortalecimiento de la cultura de SI

Contar con una política de seguridad de la información, asegurando el cumplimiento de los estándares de seguridad, para que la esta conserve la confidencialidad, la integridad y la disponibilidad, mediante servicios TIC prestados con monitoreo, evaluación, análisis y tratamiento adecuados de riesgos y vulnerabilidades.

Establecer todos los procedimientos internos que permitan asegurar la calidad de la

Garantizar la disponibilidad de los sistemas de información a través de la operación continúa, soporte a los usuarios,


12

METAS DE TI Y SEGURIDAD LINEAMIENTOS O PRINCIPIOS DEL

PETI EN LA PGN

información en la entidad. administración y mantenimiento de la infraestructura tecnológica tanto en el nivel central como en los territorios nacionales, asegurando que la capacidad de infraestructura de los servicios tecnológicos esté acorde con los requisitos de operación de los sistemas y servicios de información que soportan la gestión de la PGN.

Propender por el mejoramiento permanente de las capacidades técnicas de la arquitectura de seguridad de información.

Se pretende integrar los sistemas de información con el fin de obtener una mayor efectividad en la acción, planeación, dirección, vigilancia, seguimiento y control, de cada uno de los casos que se presentan y se manejan. También poder contar con un modelo de datos centrado en la información, se fortalecerá la aplicación de los lineamientos y políticas para la gestión de información que afectan la toma de decisiones.


Se Contará con esquemas de interoperabilidad que estandaricen y faciliten el intercambio de información con las áreas y entidades de control externas igualmente la habilitación de servicios en línea que permitan la interoperabilidad de los mismos


13

SEGUIMIENTO AL PLAN ESTRATEGICO DE SEGURIDAD DE LA INFORMACIÓN

Para el aseguramiento de la seguridad de la información en el marco del plan estratégico institucional, se utilizaran los instrumentos que se han definido el plan institucional así:

• Seguimiento a:

o Plan de acción de los tratamientos de riesgos sobre los activos de información incluidos como parte de la planeación e implementación del SGSI en la PGN.

o Los aspectos incluidos como vulnerabilidades tras la ejecución de los ejercicios de Hacking Ético en la infraestructura de servidores de la entidad.

o Recomendaciones u oportunidades de mejora tras las revisiones de los entes de control.

• Proyectos de Inversión:

o Revisión del cumplimiento de los proyectos de inversión, en el marco de los proyectos institucionales de la entidad.

• Definir indicadores de gestión para el seguimiento de los proyectos de inversión, los cuales se definirían anualmente y bajo el criterio establecido tras la adquisición de los temas de infraestructura de TI en la PGN.


14

CONCLUSIÓN

Los pilares sobre los que se debe fundamentar el plan estratégico de seguridad de la información en la PGN no puede estar desligado de lo que se pretende a nivel de la entidad y sectorial, pues se debe focalizar sobre la gestión de la seguridad en el sector público y la misma gestión en lo que concierne a las entidades o partes interesadas de la entidad.

Es por lo anterior que la entidad debe asegurar el compromiso para el cumplimiento de los objetivos aquí planteados, así como propender por la modernización de los sistemas de información, apoyarse a sí misma en la concienciación sobre seguridad, en cambiar o romper un poco el paradigma frente a los riesgos de seguridad y entender que esto lleva una responsabilidad tácita de lo que se pretende alcanzar con el SGSI en la PGN.

Finalmente la alta dirección debe coadyuvar en el éxito del sistema, estableciendo un liderazgo transversal que sirva de ejemplo y logre que este plan llegue a las metas establecidas.

Documents

PLAN ESTRATÉGICO DE SEGURIDAD DE LA INFORMACIÓN 2018 … · institucional para identificar y responder a la vulneración de los derechos y promover el cumplimiento de los deberes