Gestion Organizacional

Definir Estrategia

Protección de la

información

Procesos Misionales

la paz favorece la equidad y la educación, la equidad propicia la paz y la educación, y la educación genera condiciones de paz y

equidad.

Estrategia - Plan Nacional de desarrollo

Min TIC

Despacho Viceministerio de Tecnologías y Sistemas de la

Información

Dirección de Estándares y

Arquitectura de TI

Subdirección de Seguridad y

Privacidad de TI

Dirección de Políticas y Desarrollo de

Tecnologías de la Información

Dirección de Gobierno en Línea

Decreto 2618 de 2012

MSPTI

• Tramites y servicios a través de medios electrónicos

TIC para Servicios • Uso de las TIC

TIC para el Gobierno Abierto

• Planeación y gestión tecnológica

TIC para la Gestion • Protección de la

Información y los Sistemas de Información

Seguridad y Privacidad de la Información

Cumplimiento con la Estrategia de GEL

Normatividad Vigente

Código Único Disciplinario

• Articulo 34 (4-5)

• Articulo 35

Código penal colombiano

• Ley 1273 de 2009

Protección de datos

• Ley 1266 de 2008

• Ley 1581 de 2012

• Decreto 1377 de 2013

• Ley 1712 de 2014

Políticas publicas

• Ley 1341 de 2009

• Decreto 32 del 2013

• Circular 052

• Circular 042

• NTD – SIG 001:2011

• Resolución 305 CDS

Propiedad Industrial

• Ley 170 de 1994 - Organización Mundial de Comercio

• Ley 463 de 1998 – Tratado de cooperación de patentes

Comercio Electrónico y Firmas Digitales

• Ley 527 de 1999

• Decreto 1747 de 2000

• Resolución 26930 de 2000

• Decreto 2364 de 2012

• Circular externa 042 del 2012 (SFC)

Derechos de autor

• Decisión 351 de la C.A.N.

• Ley 23 de 1982

• Decreto 1360 de 1989

• Ley 44 de 1993

• Decreto 460 de 1995

• Decreto 162 de 1996

• Ley 545 de 1999

• Ley 565 de 2000

• Ley 603 de 2000

• Ley 719 de 2001

• Sistema Administrativo Nacional de Seguridad de la Información – GEL

2008

•Modelo de Seguridad de la Información – GEL Auditoria

2010 •Modelo de Seguridad de la Información 2.0 – GEL ISO 27001

2011

•Modelo de Seguridad de la Información –

• Subdirección de Seguridad y Privacidad

2013

Modelo de Seguridad de la Información

Implementación - Fases

Modelo de Seguridad de la Información

Diagnóstico

Planificación

Implementación

Gestión

Mejora continua

Modelo de Seguridad de la Información

Riesgo:

Es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias (Guía de Administración del Riesgo-DAFP). Según la Norma Técnica NTCGP 100:2009, el riesgo es “Toda posibilidad de ocurrencia de aquella situación que pueda afectar el desarrollo normal de las funciones de la entidad y el logro de sus objetivos”.

¿Gestionamos el Riesgo?

Estratégico.

De Imagen.

Operativo.

Financiero. Cumplimento.

Tecnológico.

Corrupción.

Mapas de Riesgos.

De Riesgos Institucional.

De Riesgos por Proceso.

Identificación - Capas

IC

CIBERSEGURIDAD

SEGURIDAD DE LA INFORMACION

SEGURIDAD

INFORMATICA

Estrategia - País

Cibercrimen Ciberterrorismo Código Malicioso

- Malware Ciberhacktivismo

Fraude electrónico

Economía underground

Software Ilegal Ingeniería Social

Computación móvil

Cloud Computing Redes Sociales Acceso no

autorizado a los sistemas

Conflicto de intereses

Funcionarios o Ex-funcionarios

molestos

Incumplimiento de las leyes y regulaciones

MDI

Vectores - CiberAtaques

Identificación, priorización y

catalogación de las

infraestructuras críticas.

colCERT

CCOC

CIBERDEFENSA DE LAS

INFRAESTRUCTURAS

CRÍTICAS DE COLOMBIA

Heterogeneidad

Complejidad

Interdependencia

Ejemplos de Sectores Críticos

Protección de Infraestructura Critica

Colombia – 7.237 - .gov.co

Fuente: .CO – Febrero IG – Año 2014

9103

3500

1289 547

402

369 350 338

261

242 221 179 132 102 100 93

93

91 73 67 66

60 44

42 36 35 31 31 27 27 26 26 24 23 23 22 21 20 19 19 18 18 17 16 16 14 13 13 12 12 11 11 10 10 9 8 6 6 6 6 5 5 5 4 4 4 4 4 4 4 4 4 4 4 3 3 3 3 3 3 2 2 2 2 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1

Colombia Estados Unidos Francia AlemaniaBelgica Rusia Reino Unido United StatesChina Paises Bajos Holanda UcraniaAnonymous Proxy Taiwan Germany CanadaJapon Thailandia España SuizaVenezuela Italia Hong Kong United KingdomMexico Indonesia Australia BrasilChile Arabia Saudita Peru PoloniaDinamarca Portugal Rumania Proxy anonimoArgentina Interna Suecia New ZelandiaNoruega Ecuador Icelandia GreciaRepublic of Korea Austria Korea IndiaLetonia Turkia Singapur BielorrusiaIsrael Luxemburgo Filipinas MalasiaNepal Panama Iran AsiaGuatemala Uruguay Macedonia Puerto Rico(en blanco) Vietnam Slovakia SerbiaNew Caledonia Moldovia Macao Republica ChecaCzech Republic Cyprus Finlandia OCEANIABulgaria Republica Dominicana Irlandia Costa RicaKazajistán Croacia Cuba Seychelles

Incidentes:

18512

Fuente:

IG

+ 2000 sitios web

Funcionarios en general

Directivos

Administradores - Seguridad y/o de TI La seguridad como una inversión y no como un gasto

Seguridad de la información y su impacto en los objetivos del negocio

Cuerpos de respuesta a incidentes de Seguridad

Roles y responsabilidades

Acompañamiento, Formación y Sensibilización

Corporación Colombia Digital

Ejecución del Contrato Interadministrativo N° 000376 de 2015 el cual tiene por objeto Contratar

Servicios de acompañamiento especializado al

Ministerio TIC en la implementación de las

iniciativas: Fortalecimiento de la Gestión de TI en el estado y la Estrategia de Gobierno en línea

Despliegue del Acompañamiento de Gobierno en Línea 2015

Informar

Entender

Ubicar

Actuar

Acompañamiento

Acompañamiento Territorial - Distrito

Iniciativa MinTIC

Servicios técnicos y administrativos, para la ejecución de pruebas de

vulnerabilidad, test de intrusión, identificación de brecha en 16

entidades del estado.

Realizar la ejecución de un instrumento (lista de chequeo) este

instrumento debe contemplar como mínimo los dominios A5, A6, A7, A8,

A11 de la Norma ISO 27001 y la implementación de las fases del

modelo de seguridad de la información (Planear, Hacer, Verificar,

Actuar).

Pruebas de seguridad informática – controles. Para identificar el

alcance de las pruebas técnicas se debe analizar el Mapa de procesos

de la entidad para:

Identificación de dos procesos misionales.

Identificación de un proceso catalogado como Infraestructura

Critica.

Entidades territoriales SECTOR ENTIDAD NACIONAL ENTIDAD TERRITORIAL

SALUD

Ministerio de salud y protección social

Secretaria De Salud Distrital

Superintendencia nacional de salud

Instituto nacional de vigilancia de medicamentos y alimentos

JUSTICIA

Ministerio de justicia y del derecho

Secretaria De Gobierno Distrital

Agencia nacional de defensa jurídica del estado

Unidad de servicios penitenciarios y carcelarios

AGRICULTURA

Ministerio de agricultura y desarrollo rural

Secretaria Del Hábitat

Unidad administrativa especial de gestión de restitución de tierras despojadas

Instituto colombiano agropecuario

EDUCACIÓN

Ministerio de educación nacional Secretaria de Educación Distrital

ICETEX

Fondo de desarrollo de la educación superior

Preguntas

Gracias

JULIO CESAR MANCIPE CAICEDO

Asesor Despacho viceministra TI

Líder de Seguridad de la Información - GEL

Viceministerio de TI

jmancipe@mintic.gov.co

@jota_ce32