REVISIÓN DEL NIVEL DE MADUREZ DEL MODELO DE SEGURIDAD EN

ENTIDADES DEL ORDEN NACIONAL Y TERRITORIAL DE COLOMBIA QUE

APLICAN GOBIERNO EN LÍNEA.

PAOLA ANDREA CALDERÓN RAMIREZ

DIANA GISETTE CANTOR CÓRDOBA

JORGE ENRIQUE VEGA ANAYA

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA

INFORMACIÓN

BOGOTÁ D.C – 2017

REVISIÓN DEL NIVEL DE MADUREZ DEL MODELO DE SEGURIDAD EN

ENTIDADES DEL ORDEN NACIONAL Y TERRITORIAL DE COLOMBIA QUE

APLICAN GOBIERNO EN LÍNEA.

PAOLA ANDREA CALDERÓN RAMIREZ

DIANA GISETTE CANTOR CÓRDOBA

JORGE ENRIQUE VEGA ANAYA

Trabajo de grado para obtener el título de especialista en Seguridad de la

información.

ASESOR: RAÚL BAREÑO GUTIERREZ

INGENIERO DE SISTEMAS, MSC.

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA

INFORMACIÓN

BOGOTÁ D.C – 2017

III

IV

Nota de aceptación

______________________________________

______________________________________

______________________________________

______________________________________

Presidente del Jurado

______________________________________

Jurado

______________________________________

Jurado

Bogotá D.C., junio 16 de 2017.

V

Dedicatoria

A Dios, Por habernos permitido llegar hasta este punto y disfrutar de salud para lograr

los objetivos profesionales de cada uno, además de su infinita bondad y amor.

A todos nuestros docentes por su gran apoyo y motivación para la culminación

de nuestros estudios de especialización, por su tiempo compartido y por impulsar el desarrollo de

nuestra formación en seguridad de la información.

A nuestras familias por habernos apoyado en todo momento, por sus consejos, sus

valores, por la motivación constante, por los ejemplos de perseverancia y constancia.

VI

Agradecimientos

A nuestro director de tesis, ingeniero Raúl Bareño quien, con sus conocimientos, su

experiencia, su paciencia, su motivación, su esfuerzo y dedicación, nos sirvió como guía.

También agradecemos a nuestros docentes por su visión crítica de muchos aspectos

cotidianos de la vida, por su rectitud en su profesión como docentes, por sus consejos, que

ayudaron a formarnos como especialistas en seguridad de la información.

Finalmente, a nuestras familias por ser la fuente de apoyo constante e incondicional en

nuestras vidas.

VII

TABLA DE CONTENIDO

INTRODUCCIÓN .................................................................................................................................. 1

1 GENERALIDADES DEL TRABAJO DE GRADO ..................................................................... 5

1.1 LÍNEA DE INVESTIGACIÓN .................................................................................................................. 5

1.2 PLANTEAMIENTO DEL PROBLEMA ...................................................................................................... 5

1.2.1 Antecedentes del problema ...................................................................................................... 5

1.2.2 Pregunta de investigación ....................................................................................................... 9

1.2.3 Justificación ............................................................................................................................. 9

2 OBJETIVOS ................................................................................................................................ 13

2.1 OBJETIVO GENERAL ......................................................................................................................... 13

2.2 OBJETIVOS ESPECÍFICOS .................................................................................................................. 13

3 MARCOS DE REFERENCIA .................................................................................................... 15

3.1 MARCO CONCEPTUAL ...................................................................................................................... 15

3.2 MARCO LEGAL ................................................................................................................................. 21

4 METODOLOGÍA ........................................................................................................................ 24

4.1 FASES DEL TRABAJO DE GRADO ....................................................................................................... 24

3.1.1. Planear .................................................................................................................................. 25

3.1.2. Hacer ..................................................................................................................................... 25

3.1.3. Verificar................................................................................................................................. 27

3.1.4. Actuar .................................................................................................................................... 28

4.2 DESARROLLO ................................................................................................................................... 28

4.1. ELECCIÓN DE ENTIDADES DEL ORDEN NACIONAL Y DEL ORDEN TERRITORIAL ............................ 32

4.3 COMPARACIÓN BASADA EN EL ÍNDICE ENTRE ENTIDADES VALIDADAS DE ORDEN NACIONAL Y

TERRITORIAL 37

4.2. VALIDACIÓN DE IMPLEMENTACIÓN DE LOS LINEAMIENTOS GEL QUE CONTEMPLEN LOS

REQUISITOS EN MATERIA DE SEGURIDAD ISO27001:2013 ........................................................................................ 44

VIII

4.3. DETERMINAR OBJETIVAMENTE LA ROBUSTEZ DE LAS ENTIDADES OBJETO DE ESTUDIO TENIENDO

EN CUENTA LA IMPLEMENTACIÓN Y MEJORA DEL MODELO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN DE

LA ESTRATEGIA DE GOBIERNO EN LÍNEA. ................................................................................................................. 52

5 CONCLUSIONES ....................................................................................................................... 57

6 RECOMENDACIONES .............................................................................................................. 59

7 BIBLIOGRAFÍA ......................................................................................................................... 60

8 GLOSARIO ................................................................................................................................. 66

9 ANEXOS ...................................................................................................................................... 67

9.1 ANEXO A. NACIONAL 2014 .............................................................................................................. 67

9.2 ANEXO B. NACIONAL 2015 .............................................................................................................. 67

9.3 ANEXO C. TERRITORIAL 2014 .......................................................................................................... 67

9.4 ANEXO D. TERRITORIAL 2015 .......................................................................................................... 67

9.5 ANEXO E. CHECK LIST ANLA .......................................................................................................... 68

9.6 ANEXO F. CHECK LIST GOBERNACIÓN .............................................................................................. 68

9.7 ANEXO G. CHECK LIST ALCALDÍA TUNJA ......................................................................................... 68

IX

LISTA DE FIGURAS

FIGURA 1. METODOLOGÍA DE TRABAJO BASADA EN EL CICLO DEMING (PHVA). ......................................................... 24

FIGURA 2. SITIO WEB “AUTORIDAD NACIONAL DE LICENCIAS AMBIENTALES” ............................................................. 34

FIGURA 3. SITIO WEB “GOBERNACIÓN DE BOYACÁ” ..................................................................................................... 36

FIGURA 4. SITIO WEB “ALCALDÍA DE TUNJA” ............................................................................................................... 37

FIGURA 5. MEDICIÓN ÍNDICE GEL POR EJES TEMÁTICOS ............................................................................................... 39

FIGURA 7-6. ÍNDICE GEL SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN ................................................................... 41

FIGURA 7. PORCENTAJE DE AVANCE EJE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN 2014-2015 ENTIDAD DEL

ORDEN NACIONAL ............................................................................................................................................... 41

FIGURA 8. PORCENTAJE DE AVANCE EJE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN 2014-2015 ENTIDAD DEL

ORDEN TERRITORIAL ........................................................................................................................................... 42

FIGURA 9. PROMEDIO POR CATEGORÍAS 2015 ENTIDADES DEL ORDEN NACIONAL SEGURIDAD Y PRIVACIDAD DE LA

INFORMACIÓN ..................................................................................................................................................... 42

FIGURA 10. PROMEDIO POR DEPARTAMENTOS 2015 ENTIDADES DEL ORDEN TERRITORIAL (ALCALDÍAS) SEGURIDAD Y

PRIVACIDAD DE LA INFORMACIÓN ....................................................................................................................... 43

FIGURA 11 PROMEDIO POR DEPARTAMENTOS 2015 ENTIDADES DEL ORDEN TERRITORIAL (GOBERNACIONES)

SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN ................................................................................................ 44

FIGURA 12. MARCO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN .................................................................... 46

FIGURA 13. CICLO DE OPERACIÓN DEL MODELO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN MSPI ................ 47

FIGURA 14. RESULTADO DEL ANÁLISIS DE SEGURIDAD ISO27001 ANLA CON LA LISTA DE CHEQUEO ....................... 48

FIGURA 15. RESULTADO DEL ANÁLISIS DE SEGURIDAD ISO27001 GOBERNACIÓN DE BOYACÁ CON LA LISTA DE

CHEQUEO ............................................................................................................................................................ 49

FIGURA 16. RESULTADO DEL ANÁLISIS DE SEGURIDAD ISO27001 ALCALDÍA DE BOYACÁ CON LA LISTA DE

CHEQUEO ............................................................................................................................................................ 50

FIGURA 17- NIVELES DE MADUREZ (MINTIC, 2016). ................................................................................................... 52

FIGURA 18. ROBUSTEZ DE LAS ENTIDADES OBJETO DE ESTUDIO ................................................................................... 56

X

LISTA DE TABLAS

TABLA 1 RANKING MUNDIAL AVANCE DE GOBIERNO EN LÍNEA .................................................................................... 17

TABLA 2 COMPONENTES GLOBALES DE LA LISTA DE CHEQUEO CONTROLES ISO 27001:2013 ...................................... 27

TABLA 3 PORCENTAJE DE CUMPLIMIENTO ANUAL DE LAS ENTIDADES DEL ORDEN NACIONAL EN SEGURIDAD Y

PRIVACIDAD DE LA INFORMACIÓN ....................................................................................................................... 30

TABLA 4 PORCENTAJE DE CUMPLIMIENTO ANUAL DE LAS ENTIDADES DEL ORDEN TERRITORIAL EN SEGURIDAD Y

PRIVACIDAD DE LA INFORMACIÓN ....................................................................................................................... 32

TABLA 5 ÍNDICE SPI GEL ORDEN TERRITORIAL OBJETO DE ESTUDIO ........................................................................... 34

TABLA 6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ............................................................................... 50

TABLA 7 DESCRIPCIÓN DE NIVELES DE MADUREZ EN SEGURIDAD DE LA INFORMACIÓN ............................................... 53

XI

RESUMEN

El Ministerio de Tecnologías de la Información y las Telecomunicaciones (MINTIC)

colombiano estableció unas normas, objetivos y políticas que se enmarcan en la “Estrategia de

Gobierno en Línea (GEL) todo esto bajo el marco de e-government o gobierno electrónico el

cual define como el uso de la tecnología y las TIC principalmente internet para proveer acceso a

la información a los ciudadanos y las entidades gubernamentales que la componen, a fin de

orientar a las entidades que ejercen funciones públicas, sobre los lineamientos a seguir para

transformar sus operaciones y la prestación de servicios.

Colombia actualmente ocupa el cuarto puesto en la región (américa latina) respecto a

gobierno en línea, esto demuestra el poco avance y crecimiento en este tema, lo cual se ve

reflejado en áreas como la seguridad y privacidad de la información para entidades de orden

nacional y/o territorial en las que el nivel de madurez se encuentra en los rangos mínimos

respecto del cumplimiento al decreto 2573 de 2014.

La situación anterior sitúa a la entidad pública (nacionales y/o territoriales) en un

panorama complejo, lejos de llegar a obtener un nivel optimizado en seguridad y privacidad de la

información, lo cual refleja el poco avance en este ítem y la necesidad de apropiación de las

entidades en este tema.

Dentro de este contexto, este trabajo busca conocer el nivel de madurez en seguridad de

la información luego de la aplicación de la estrategia GEL (Gobierno en Línea); por lo que

aleatoriamente se tomaran tres plataformas del estado colombiano una del orden nacional y dos

XII

del orden territorial, con las cuales se verificará la integración de componentes, líneas de

actuación, actividades, metas y tiempos para evaluar el proceso evolutivo y continúo en

seguridad de la información que integra cada una de las Fases de GEL aplicado en las

plataformas.

Palabras clave:

GEL: Gobierno en línea

Madurez del modelo de seguridad

MINTIC: Ministerio de Tecnologías de la Información y las Telecomunicaciones

Modelo de seguridad

Seguridad de la información

XIII

ABSTRACT

The Colombian Ministry of Information Technologies and Telecommunications

(MINTIC) established standards, objectives and policies that are part of the "Online Government

Strategy" (GEL), all under the e-government or e-government framework which defines Such as

the use of technology and ICTs, mainly the internet, to provide access to information to citizens

and government entities that compose it, in order to orient public entities on the guidelines to be

followed to transform their operations and the provision of services.

Colombia currently ranks fourth in the region (Latin America) with respect to online

government, which shows little progress and growth in this area, which is reflected in areas such

as security and privacy of information for national entities And / or territorial in which the level

of maturity is in the minimum ranges with respect to compliance with decree 2573 of 2014.

The previous situation places the public entity (national and / or territorial) in a complex

panorama, far from obtaining an optimized level in security and privacy of the information,

which reflects the little advance in this item and the need of appropriation Of entities in this area.

In this context, this work seeks to know the level of maturity in information security after

the application of the GEL (Online Government) strategy; So that three platforms of the

Colombian state will be taken at random, one of the national order and two of the territorial

order, with which it will verify the integration of components, lines of action, activities, goals

XIV

and times to evaluate the evolutionary process and continue in security of the information that

integrates each of the phases of GEL applied in the platforms.

Keywords:

GEL: Government Online

Maturity of the security model

MINTIC: Ministry of Information Technologies and Telecommunications

Safety Model

Security of the information

1

Introducción

Gobierno en línea se puede definir como un conjunto de políticas, instrumentos,

procedimientos y metodologías que suscitan la construcción de un Estado más eficiente,

transparente y participativo, y de esta manera mejora la entrega de servicios tecnológicos; todo

esto, en el marco de impulsar la competitividad y el mejoramiento de la calidad de vida para la

prosperidad de todos los colombianos.

Según el informe de la organización de las naciones unidas (ONU) sobre gobierno

electrónico, arrojo que Colombia se encuentra a nivel mundial en el puesto 57, un cuarto puesto

en Suramérica, el puesto 10 en todo el continente americano y el puesto 27 en participación

electrónica; el informe cita que en Suramérica países como chile, Colombia, México y Uruguay

adoptaron gobierno electrónico para mejorar la prestación de servicios (UNITED NATIONS,

2016)1

El Ministerio de Tecnologías de la Información y las Comunicaciones en Colombia, a

partir del 2008 después de que se expidió el decreto 1151 ha venido implementando en todas las

entidades que ejercen funciones públicas los lineamientos generales de la estrategia de gobierno

1UNITED NATIONS, (2016). UNITED NATIONS E-GOVERNMENT SURVEY 2016.

recuperado de http://workspace.unpan.org/sites/Internet/Documents/UNPAN96407.pdf

2

en línea. Para el 2011-2014, dentro de sus objetivos del plan de desarrollo, se planeó la

masificación y uso de las TIC, por lo que su componente principal era gobierno en línea como

parte de la gestión pública.

Dentro del marco de 2014-2018, basado en la Ley 1753 de 2015 y el decreto 280 de

2015, el plan de desarrollo evidencia el compromiso de Colombia con la garantía de los derechos

humanos, calidad de vida y equidad; los cuales definen el marco de acción gubernamental para

los próximos años. En esta instancia la estrategia de gobierno en línea será promotora y

facilitadora de derechos a través del uso y apropiación de las TIC, entregando a los usuarios

trámites y servicios del estado, para alcanzar una comunicación efectiva entre ellos, madurando

los índices de participación y colaboración.

Por lo anterior MINTIC, a través de la dirección de estándares y arquitectura de TI

(DEATI) y la subdirección de seguridad y privacidad de TI, dando fortalecimiento de la gestión

de TI en el estado, ha publicado y actualizado a partir de diciembre de 2011 “El Modelo de

Seguridad y Privacidad de la Información (MSPI)”, el cual se encuentra alineado con el marco de

referencia de arquitectura TI y soporta transversalmente los otros componentes de la estrategia

GEL: TIC para servicios, TIC para gobierno abierto y TIC para gestión.

Este modelo de seguridad y privacidad de la información, fue elaborado conforme a las

buenas prácticas de seguridad y es actualizado periódicamente con el fin de agrupar los cambios

técnicos de la norma 27001 del 2013, la legislación de la ley de protección de datos personales,

3

transparencia y acceso a la información pública, entre otras, las cuales se deben tener en cuenta

para la gestión de la información.

A nivel metodológico es importante tener presente que el modelo de seguridad y

privacidad de la información (Siglas MSPI) cuenta con una serie de guías anexas que ayudan a

las entidades a cumplir lo solicitado permitiendo abordar de manera detallada cada una de las

fases del modelo, buscando a su vez comprender cuáles son los resultados a obtener y como

desarrollarlos, incluyendo los nuevos lineamientos que permiten la adopción del protocolo IPv6

en el estado colombiano.

La implementación del modelo de seguridad y privacidad de la Información - MSPI, en la

entidad está determinado por las necesidades objetivas, los requisitos de seguridad, procesos, el

tamaño y la estructura de la misma, todo con el objetivo de preservar la confidencialidad,

integridad, disponibilidad de los activos de información, garantizando su buen uso y la

privacidad de los datos.

Mediante la adopción del MSPI, por parte de las entidades del estado se busca contribuir

al incremento de la transparencia en la gestión pública, promoviendo el uso de las mejores

4

prácticas de seguridad de la información como base de la aplicación del concepto de seguridad

digital. (MinTIC, 2017)2.

De conformidad con lo anterior, el presente trabajo plantea realizar una revisión de la

madurez sobre el modelo de seguridad incluido en la estratégica de gobierno en línea para tres

soluciones dos del orden territorial y una del orden nacional, teniendo como base los

lineamientos de gobierno en línea proporcionados por MINTIC y las mejores prácticas de

seguridad que se tienen actualmente, adaptándolas y personalizándolas para tener los mejores

resultados.

2MinTIC, (2017). Modelo de Seguridad. Recuperado de

http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html

5

1 Generalidades del trabajo de grado

1.1 Línea de Investigación

Software Inteligente y Convergencia Tecnología.

1.2 Planteamiento del Problema

1.2.1 Antecedentes del problema

Actualmente el robo de información confidencial ya sea personal y/o empresarial es una

problemática que amenaza a todo el planeta, además como las entidades públicas tienen

deficiencias en la atención a ciudadanos y por ende en un servicio deficiente, lento y de mala

calidad, lo cual afecta negativamente al gobierno nacional; Colombia buscó poner a disposición

de los ciudadanos, información sobre el curso de los procesos del estado, con el fin de propiciar

un ambiente transparente de rendición de cuentas y de estimular la confianza en el gobierno

nacional decide implementar la estrategia de gobierno en línea.

Bajo el panorama de la estrategia de gobierno en línea que contempla un eje de seguridad y

privacidad de la información, se identificó un estudio de seguridad corporativo, el cual evidencia

que el 30% de las compañías mundiales se declararon vulnerables respecto al robo de

información, además la complejidad de las tecnologías de la información (TI) la consideraron

como el mayor motor de aumento ante esta actividad delictiva. Los países y regiones más

afectadas por robo, pérdida o daño de la información fueron Indonesia (35%), África (34%),

India (27%), Estados Unidos (26%), Rusia (26%), México (26%), China (21%) y Europa (18%).

6

En el caso de Colombia, aunque no se encuentre entre los países más afectados, el robo de

información preocupa al 27% de los encuestados entre los que se encontraban entidades públicas

(del orden nacional y territorial), todas mostraron estar dispuestas a adoptar medidas concretas:

un 76% pretendían invertir en mayor seguridad TI a partir del 2013, incluido el gobierno

nacional. (Corporación Colombia Digital, 2013)3.

Aunque en la actualidad el país se encuentra bien posicionado en el mundo en manejo de

ciberseguridad, de acuerdo con la clasificación global de la unión internacional de

telecomunicaciones (UIT), donde se ubica a Colombia en el quinto lugar en la lista de las

Américas, por encima de Chile y México, y ocupa el noveno lugar en la tabla mundial, frente a

países como Francia, España, Egipto y Dinamarca. (Camelo, 2015)4, se debe tener en cuenta que

se han forjado importantes delincuentes informáticos; ejemplo de esto fue la violación a los

servidores del centro militar y de inteligencia de Estados Unidos, realizada por un colombiano,

3Corporación Colombia Digital, (2013). Robo de información: una amenaza global.

Recuperado de https://colombiadigital.net/actualidad/noticias/item/4833-robo-de-

informaci%C3%B3n-una-amenaza-global.html

4Leonardo Camelo, (2015). Seguridad de la Informacion en Colombia. Recuperado de

http://seguridadinformacioncolombia.blogspot.com.co/

7

donde se vulneraron los servidores más vigilados del mundo. La tarea se realizó en Bogotá a

través de computadores infectados por un programa creado por el mismo delincuente.

(pulzo.com, 2015)5.

Por todo lo anterior, las entidades públicas colombianas (nacional y/o territorial) no eran la

excepción para poder ser vulneradas, por lo que el gobierno nacional continuaba trabajando en su

estrategia llamada GEL la cual contribuye con la construcción de un estado, con el

abastecimiento de redes para proveer a los ciudadanos servicios y tramites, con el fin de lograr

espacios de participación con las entidades públicas, teniendo en cuenta la confidencialidad,

disponibilidad y seguridad de la información; por lo que a partir del 2008, gobierno en línea se

estructuró de manera que las entidades públicas suministren mejores servicios con la asistencia

de toda la sociedad, mediante la explotación de las TIC.

Asimismo, GEL contempla un modelo de seguridad y privacidad de la información, el cual

está completamente alineado con el marco de referencia de arquitectura TI y soporta

transversalmente los otros componentes de la estrategia: TIC para servicios, TIC para gobierno

5Pulzo.com, (2015). La historia del 'hacker' colombiano que puso en jaque la seguridad

nacional de EE.UU.. Recuperado de http://www.pulzo.com/nacion/la-historia-del-

hacker-colombiano-que-puso-en-jaque-la-seguridad-nacional-de-eeuu/404504.

8

abierto y TIC para gestión, con el fin de facilitar la apropiación del modelo y su correcta

implementación en las entidades del orden nacional y/o territorial, se propone esta nueva versión

que recoge además de los cambios técnicos de la norma, herramientas específicas de privacidad

relacionadas con las normas y los retos que el nuevo marco normativo (ley de datos personales,

transparencia y acceso a la información pública, entre otras) , las cuales se deben tener en cuenta

para la gestión de la información, así como los lineamientos que permiten la adopción del

protocolo IPv6 en el estado colombiano (MinTIC, 2016)6.

Como resultado del proceso de monitoreo y evaluación adelantado por cada entidad y por el

Ministerio TIC, se publica periódicamente el Índice de Gobierno en línea, instrumento

cuantitativo que muestra el Estado del avance de las entidades en la implementación de la

Estrategia Gobierno en línea. Este índice está compuesto por dos rankings (uno nacional y uno

territorial), que muestran las entidades y sectores que más han avanzado en la implementación de

la Estrategia en cada uno de sus ejes. (MinTIC, 2016)7.

6MinTIC, (2016). Modelo de Seguridad y Privacidad de la Información. Recuperado de

http://estrategia.gobiernoenlinea.gov.co/623/articles-8258_recurso_1.pdf

7 MinTIC, (2016). Cómo avanza la estrategia de gobierno en línea. Recuperado de

http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-7651.html

9

1.2.2 Pregunta de investigación

¿Será la estrategia de gobierno en línea, es la que fortalecerá la madurez en seguridad y

privacidad de la información, en las entidades de orden nacional y territorial?

1.2.3 Justificación

El continuo avance de las Tecnologías de la información, el aumento del tráfico y

transacciones por internet, la globalización en temas económicos y la necesidad de conectividad

continua, donde cada individuo es un actor en las diferentes entidades del estado, supone un

significativo reto en cuanto al tema de seguridad y privacidad de la información y además de la

protección de datos. Lo cual está ocasionando un nicho de oportunidades con múltiples

beneficios para la sociedad, pero también un aumento exponencial en la proliferación de delitos

informáticos.

Por lo anterior, la ciber-delincuencia aumenta directamente proporcional al progreso de las TI,

con la implementación de sofisticados métodos de ataque, que para el gobierno nacional

constituye un desafío sustancial que consiste en contrarrestar y controlar estas amenazas, ya sea

por la expedición de decretos, acompañamiento, capacitación y/o apropiación que soporten la

estrategia conjunta de gobierno en línea, donde todas las entidades del estado estén alineadas en

contra de ciber-crimen.

El Estado colombiano, ha reconocido la integración de las TIC como un mecanismo

fundamental para robustecer el desarrollo económico, social, cultural y económico; por tanto, las

ha venido integrando, con el objetivo de mejorar su gestión administrativa en favor del progreso

10

de la sociedad del país, tratando evitar que las entidades públicas se vean amenazadas con el

riesgo de daño en la imagen hacia sus ciudadanos por la negación de los servicios en línea o por

robo de información confidencial.

Un ejemplo de las afectaciones en entidades del orden nacional y territorial, fue la extraña

desaparición de dos discos secretos de la petrolera Repsol, los cuales eran custodiados por la

Agencia Nacional de Hidrocarburos ( EL TIEMPO Casa Editorial, 2015) 8

lo cual evidenció la

poca implementación de políticas y controles a los procesos de custodia de información física

que permitió que fuesen sustraídos 2 discos con información sensible de la firma petrolera, este

caso demuestra que las entidades no están lo suficientemente maduras en temas tan sensibles

como es la seguridad y privacidad de la información

Es de resaltar que la encuesta anual de fraude mundial (Harloff, 2016)9, encontró que el 83%

de las empresas encuestadas en Colombia (del orden nacional, territorial, privadas, mixtas, etc.)

8 EL TIEMPO Casa Editorial, (2016). La extraña desaparición de dos discos secretos de la

petrolera Repsol. Recuperado de http://www.eltiempo.com/archivo/documento/CMS-

15871995

9 Glen Harloff, (2016). GLOBAL FRAUD REPORT Vulnerabilities on the Rise.

Recuperado de http://anticorruzione.eu/wp-

content/uploads/2015/09/Kroll_Global_Fraud_Report_2015low-copia.pdf

11

aseguran haber sido víctimas de al menos un fraude y un 27 % corresponde a fraudes o crímenes

de robo o pérdida de información y que por ello las inversiones previstas por las compañías para

evitar este tipo de delito en los próximos 12 meses serán entre 25% y 40% más altas que en otros

países del mundo. (El Universal, 2010)10

.

Por lo anterior, la cultura de prevención está en aumento y Colombia no es la excepción, ya

que es uno de los países que más está contratando sistemas para las entidades públicas (nacional

y territorial) con el fin de controlar los fraudes dentro de sus organizaciones ya sean de la índole

privado o público, ya que se sustentó que es mucho más económico prevenir que reaccionar ante

un daño. Desde MINTIC se establece que es significativo que los principios del modelo de

seguridad y privacidad de la información se extiendan, usen y apropien al interior de las

entidades públicas (nacional y territorial), con el fin de proteger la información y los sistemas de

información de las mismas.

Por lo anterior, el presente trabajo se sustenta en la importancia de validar la robustez y

situación actual de uno de los ejes con mayor importancia que apoyan la estrategia de Gobierno

10 El Universal, (2010). Empresas: robo de información, el mayor delito. Recuperado de

http://www.eluniversal.com.co/cartagena/econ%C3%B3mica/empresas-robo-de-

informaci%C3%B3n-el-mayor-delito

12

en Línea en Colombia, “el modelo de seguridad y privacidad de la información”; ya que este

preserva la confidencialidad, integridad, disponibilidad y privacidad de la información, mediante

la aplicación de un proceso de gestión del riesgo, brindando confianza a las partes interesadas

acerca de la adecuada gestión de riesgo.

13

2 Objetivos

2.1 Objetivo general

Validar el grado de madurez en seguridad de la información en la que se encuentra una

solución del orden nacional y dos del orden territorial, que estén aplicando la estrategia de

gobierno en línea (GEL).

2.2 Objetivos específicos

Comparar los índices de gobierno en línea de los 2 años inmediatamente anteriores,

tanto para entidades del orden nacional y territorial, validando sus avances en la

implementación de los lineamientos en materia de seguridad de la información.

Verificar la alineación de 3 soluciones (una del orden nacional y dos del orden

territorial) con la estrategia vigente de gobierno en línea, consultando la calificación

en seguridad y privacidad de la información y el índice total de Gobierno en línea de

las mismas.

Determinar objetivamente el nivel de madurez en el que se encuentran las entidades

del orden nacional y territorial con la implementación y mejora del modelo de

seguridad de gobierno en línea versus la lista de chequeo de los 114 controles de

ISO27001 y usando la asociación de la guía de mejores prácticas COBIT con las

métricas implementadas por MINTIC.

14

Emitir conclusiones sobre las ventajas y desventajas encontradas en el modelo de

seguridad de la estrategia de gobierno en línea, cuando es aplicado en entidades del

orden nacional y territorial, teniendo en cuenta sus limitantes y características.

15

3 Marcos de referencia

3.1 Marco conceptual

Dado que este trabajo se enfocó en encontrar el nivel de madurez a nivel de seguridad y

privacidad de la información de soluciones web gubernamentales del orden nacional y territorial,

cuando estas están alineadas con la estratégica de gobierno en línea del gobierno nacional

colombiano; será necesario plantear algunos parámetros que validen los ejes conceptuales sobre

los que se apoyó el objetivo principal planteado.

La convergencia de tecnología a nivel mundial, el gobierno nacional colombiano, cuenta con

una serie de soluciones web de tipo nacional y territorial para los ciudadanos, las cuales tienen

como objetivo apoyar la interacción de los habitantes de Colombia con las entidades públicas.

Estas herramientas deben contar con los pilares que enmarcan la seguridad de la información que

son disponibilidad, integridad y confidencialidad.

Para lo anterior, el Ministerio de Tecnologías de la Información y las Comunicaciones

(MINTIC), creó una estrategia llamada gobierno en línea (GEL) basado en gobierno electrónico,

el cual es un término que se ha venido acuñando para definir la correlación entre internet y las

tecnologías de la información con las instituciones gubernamentales en su intento de modernizar

los servicios y relaciones potenciales con sus ciudadanos y sus respectivos sectores.

GEL, enmarca 4 grandes propósitos que son:

1. Contar servicios en línea de alta calidad para sus ciudadanos,

16

2. Impulsar el posicionamiento y colaboración de la ciudadanía con los servicios brindados

por el Gobierno,

3. Optimizar la gestión de todas sus entidades con todos los colombianos por medio de la

tecnología y por ultimo

4. Garantizar la seguridad y la privacidad de la información, ítem en el que se enmarca este

trabajo de investigación

El eje central a tratar es el modelo de “seguridad y privacidad de la información”,

contemplado en GEL, que tiene como propósito garantizar un adecuado manejo de la

información pública de las entidades, teniendo en cuenta una guía que enfatice un alto nivel en

seguridad con el objeto de proteger la información a nivel físico y lógico, manteniendo su

integridad, disponibilidad y autenticidad. Lo anterior asociado a la privacidad para garantizar la

protección de los derechos a la intimidad y como este hace madurar la seguridad en las entidades

que ejercen funciones públicas en el país.

Por otro lado, la encuesta de gobierno electrónico 2016 de la ONU (Organización de las

Naciones Unidas), evidenció que más gobiernos están adoptando tecnologías de la información y

la comunicación (TIC) para ofrecer servicios y para involucrar a las personas en los procesos de

toma de decisiones en todas las regiones del mundo. (Administración Pública y Gestión del

17

Desarrollo, 2016)11

. Además, mostró que Colombia se encuentra en el cuarto puesto en América

del Sur en implementación y avances relacionados con temas de gobierno en línea. A nivel

mundial, se ubica en el puesto número 57 entre 193 países tal cual se evidencia en la Tabla 1.

(LUZARDO, 2017)12

.

Tabla 1

Ranking mundial avance de gobierno en línea

Rank Country Rank Country

17 Israel 43 Luxemburg

17 Morocco 43 Vietnam

17 Lithuania 43 Bulgaria

17 Montenegro 47 Malaysia

17 Serbia 47 Uzbekistan

22 Estonia 47 Azerbaijan

22 China 50 Portugal

22 Denmark 50 Sri Lanka

25 Malta 50 Republic of Moldova

25 Croatia 50 Mauritius

11 Administración Pública y Gestión del Desarrollo Departamento de Asuntos Económicos y

Sociales, (2016). Gobierno electrónico en apoyo al desarrollo sostenible. Recuperado de

https://publicadministration.un.org/es/Research/UN-e-Government-Surveys

12 Ana María Luzardo, (2017). Así Le Va A Colombia En La Implementación De Gobierno

En Línea. Recuperado de http://www.enter.co/cultura-digital/colombia-digital/colombia-

se-mantiene-en-la-implementacion-de-gobierno-en-linea/

18

27 Colombia 50 Iceland

Fuente: (UNITED NATIONS, 2016)13

Teniendo en cuenta estas tendencias mundiales en gobierno electrónico y los avances en la

implementación de la estrategia de Gobierno en línea en Colombia; MINTIC está obligado a

realizar monitoreo y evaluaciones periódicas que validen y analicen como avanza la estrategia de

Gobierno en Línea en las entidades. Estas evaluaciones periódicas permiten al estado

colombiano conocer la clasificación y el rango en el que se encuentras las entidades en su

progreso y desarrollo de la estrategia en general:

RANKING DE ENTIDADES: Como resultado del proceso de monitoreo y evaluación

adelantado por cada entidad y por el Ministerio TIC, se publica periódicamente el índice de

gobierno en línea, este es instrumento cuantitativo que muestra el estado del avance de las

entidades en la implementación de la estrategia gobierno en línea. Este índice está compuesto por

13UNITED NATIONS, (2016). UNITED NATIONS E-GOVERNMENT SURVEY 2016.

recuperado de http://workspace.unpan.org/sites/Internet/Documents/UNPAN96407.pdf

19

dos rankings (uno nacional y uno territorial), que muestran las entidades y sectores que más han

avanzado en la implementación de la estrategia. (MinTIC, 2016) 14

.

Índice territorial: Se encuentran los resultados del índice de gobierno en línea de las

alcaldías y gobernaciones que reportaron a la dirección de gobierno en línea información de su

avance en la implementación de la estrategia, así como el ranking con las primeras 20 posiciones

de acuerdo a la calificación del índice de gobierno en línea y a los subíndices de gobierno

abierto, de servicios y de eficiencia electrónica.

Partiendo de lo anterior, las entidades territoriales se dividen en departamentos,

municipios, distritos y territorios indígenas, forman parte de la rama ejecutiva y gozan de

autonomía con respecto al gobierno nacional; cuentan con el derecho de gobernarse a sí mismas,

ejercen las competencias asignadas por la constitución y la ley, administran sus propios recursos,

establecen tributos participan en las rentas del estado. (Senado de la república de Colombia,

2016)15

.

14 MinTIC, (2016). Cómo avanza la estrategia de gobierno en línea. Recuperado de

http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-7651.html

15Senado de la República de Colombia, (2016). Nivel territorial. Recuperado de

ftp://backups.senado.gov.co/meci/Manual_MECI/Unidad_1/A_estado_ci/A_2_rama_eje

cutiva/A_2_2_nivel%20territorial/A_2_2_nivter.htm

20

Índice nacional: contiene los resultados del índice de gobierno en línea de las entidades del

orden nacional que reportaron a través del formulario único de reporte de avances en la gestión

(FURAG), información de su avance en la implementación de la estrategia, así como el ranking

con las primeras 20 posiciones de acuerdo a la calificación del índice de Gobierno en línea y a

los subíndices de gobierno abierto, de servicios y de eficiencia electrónica.

Las entidades nacionales son organismos del sector público a nivel nacional con autonomía

propia para cumplir determinadas funciones de acuerdo con su sector y/o actividades para las

cuales fueron creadas.

El ranking de entidades, busca evaluar el “modelo de madurez” en el que se encuentra cada

entidad; dicho modelo instaura una serie de puntos los cuales integrar los componentes, líneas de

actuación, actividades, metas y tiempos para evaluar el proceso progresivo, escalonado y

continúo de los módulos que integran cada una de las “fases del gobierno en línea”

MINTIC con el fin de orientar a las entidades que ejercen funciones públicas, estableció un

“modelo de madurez”, sobre los lineamientos a seguir para establecer, determinar y/o modificar

las operaciones y la prestación de servicios con relación a las directrices establecidas en la

estrategia de gobierno en línea.

21

3.2 Marco legal

Las normas relacionadas con el diseño y desarrollo de la política de Gobierno electrónico en

Colombia (MinTIC, 2016)16

, se encuentran divididas en cinco grandes temas: Marco jurídico

institucional de la estrategia, gobierno abierto, trámites y servicios, gestión TI, por último,

seguridad y privacidad de la información y actualmente están en vigencia.

El Marco jurídico de la estrategia de gobierno en línea, relaciona las siguientes normas:

- Ley 594 de 2000, determina que las entidades del estado podrán incorporar

tecnologías de avanzada en la administración y conservación de sus archivos,

empleando cualquier medio técnico, electrónico, informático, óptico o telemático.

- Ley 1341 de 2009 la cual manifiesta los mecanismos y condiciones para garantizar la

masificación del gobierno en línea.

- Decreto 3107 de 2003 donde se expone la supresión del programa presidencial e

integración de la agenda de conectividad al MINTIC.

- Decreto 1151 de 2008 que describe los lineamientos generales de la estrategia de

gobierno en línea.

16 MinTIC (2016). Marco Regulatorio. Recuperado de:

http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-7650.html

22

- Decreto 235 de 2010 que regula el intercambio de información entre entidades para el

cumplimiento de funciones públicas

- Decreto 2693 de 2012 donde se detallan los lineamientos generales de la estrategia de

gobierno en línea.

- Decreto 2573 de 2014 el cual puntualiza los lineamientos generales de la estrategia de

gobierno en línea.

En cuanto a Seguridad y privacidad de la información las normas son:

- Ley 1266 de 2008 sobre las disposiciones generales de habeas data y se regula el

manejo de la información.

- Ley 1273 de 2009 por medio de la cual se crea un nuevo bien jurídico tutelado -

denominado "de la protección de la información y de los datos.

- Ley estatutaria 1581 de 2012 para la protección de datos personales. (MinTIC,

2016)17

.

- ISO/IEC 27001:2013 norma internacional que describe cómo gestionar la seguridad

de la información en una empresa.

17 MinTIC (2016). ESTRATEGIA DE GOBIERNO EN LINEA. Recuperado de

http://estrategia.gobiernoenlinea.gov.co/623/articles-7941_normatividad.pdf

23

- ISO 22301:2013 proporciona el mejor marco de referencia para gestionar La

continuidad del negocio en una organización.

- ISO 14001:2015 norma internacional de sistemas de gestión ambiental (SGA), que

ayuda a identificar, priorizar y gestionar los riesgos ambientales, como parte de sus

prácticas de negocios habituales.

- COBIT 5 ISACA, modelo para control y objetivos de control para información y

tecnologías relacionadas

24

4 Metodología

4.1 Fases del trabajo de grado

Basándose en el ciclo DEMING ó PHVA (planear, hacer, verificar y actuar) de mejora

continua y apoyándose en las normas ISO 27001, Cobit y la metodología de planificación de

proyectos, actividades y tareas, se verificó el nivel de madurez del modelo de seguridad vigente

en la estrategia GEL aplicada a una entidad del orden nacional y dos del orden territorial.

Las actividades para la verificación, seguirán las técnicas de referencia de la Figura 1 :

Figura 1. Metodología de trabajo basada en el ciclo Deming (PHVA).

25

4.1.1. Planear

Esta etapa de la metodología precisa como se lograron los objetivos de investigación, esto

validando la confiabilidad de la información:

Recolección de información

Se realizó la recolección de información pública sobre historia, objetivo, alineación con

gobierno en línea, etc. También la operación actual de una muestra de los portales de las

entidades de orden nacional y territorial.

Para esta actividad, se revisaron los manuales, instructivos, procedimientos, funciones y

actividades, registro de resultados, estadísticas, normas, políticas y todos los aspectos formales

que se asientan por escrito sobre gobierno en línea y su interacción con las entidades de orden

nacional y territorial. línea (ver anexo a. nacional 2014, anexo b. nacional 2015 anexo c.

territorial 2014 y anexo d. territorial 2015).

4.1.2. Hacer

Básicamente se ejecutaron las siguientes tareas que son dependientes a la información

adquirida en el proceso de recolección.

- Elección de entidades del orden nacional y del orden territorial

La elección de las entidades de orden nacional (1) y del orden territorial (2), se realizó

mediante una mediana estadística ordenando los valores que se tuvieron en cuenta.

Para el caso de orden nacional, se tuvo en cuenta el valor del índice de gobierno en línea

realizado en el 2016, que analizaba el avance del año 2015 y se procedió a obtener la entidad que

26

ocupaba el lugar central de todos los datos cuando éstos estuvieron ordenados de menor a mayor,

esta mediana incorporó el valor de la variable de posición central en un conjunto de datos

ordenados, que para este caso es el índice GEL.

En las entidades del orden territorial se procedió a realizar el mismo procedimiento anterior

del eje central cuando éstos estuvieron ordenados. Posterior a esta elección la capital de dicho

departamento elegido también sería objeto de estudio. Es de anotar que se tendrán en cuenta las

clasificaciones del decreto 2573 de 2014. Esta mediana incorpora el valor de la variable de

posición central en un conjunto de datos ordenados, que para este caso es el índice GEL.

Adicionalmente, se realizó la comparación entre los datos recopilados, posterior a asegurarse

de la calidad de la información recolectada validando las similitudes y diferencias encontradas

entre las entidades de orden nacional y las de orden territorial.

Validación de implementación de los lineamientos GEL que contemplen los requisitos en

materia de seguridad ISO27001:2013

Se validaron los datos de implementación del ranking de índice GEL en el ítem de seguridad y

privacidad de la información con la página actual de la entidad; se creó una lista de chequeo que

contempló los 14 dominios, los 35 objetivos de control y los 114 controles de la norma ISO

27001:2013 versus los requisitos mínimos contemplados en la estrategia de gobierno en línea

(ver anexo e. check list ANLA, anexo f. check list gobernación y anexo g. check list alcaldía

Tunja)

27

4.1.3. Verificar

En este paso se realizó la implementación y evaluación sobre lo validados en el ítem hacer.

- Aplicar lista de chequeo que contemple los requisitos mínimos en materia de

seguridad contemplados en GEL vs ISO27001:2013

Se ejecutó la lista de chequeo que se evidencia en la Tabla 2, para validar el cumplimiento de

los lineamientos GEL en materia de seguridad, asociándolos con la norma ISO27001:2013. Que

se analizó en el ítem 4.24.2 de este documento.

Tabla 2

Componentes globales de la lista de chequeo controles ISO 27001:2013

Control

A.5 política de seguridad de la información

A.6 organización de la seguridad de la

información

A.7 seguridad recursos humanos

A.8 gestión de activos

A.9 control de acceso

A.10 criptografía

A.11 seguridad física y ambiental

A.12 seguridad de las operaciones.

A.13 seguridad de las comunicaciones

A.14 adquisición, desarrollo y mantenimiento de

sistemas.

A.15 relaciones con los proveedores

A.16 gestión de incidentes de seguridad de la

información

A.17 aspectos de seguridad de la información de

la gestión de la continuidad de negocio

A.18 cumplimiento. Fuente: autores

28

- Determinar objetivamente la robustez de las entidades objeto de estudio, teniendo en

cuenta la implementación y mejora del modelo de seguridad y privacidad de la

información de la estrategia de gobierno en línea.

Se conceptuó sobre el nivel de madurez en la que se encuentran las entidades del orden

nacional y/o territorial y se validó el modelo de seguridad y privacidad de la información de la

estrategia de gobierno en línea.

4.1.4. Actuar

Este ítem se centró en realizar las recomendaciones y observaciones basados en los resultados

conseguidos.

- Emitir conclusiones sobre las ventajas y desventajas encontradas en el modelo de

seguridad de la estrategia de gobierno en línea, cuando es aplicado en entidades del

orden nacional y territorial, teniendo en cuenta sus limitantes y características.

Se realizaron las conclusiones y recomendaciones de todo el trabajo realizado.

4.2 Desarrollo

En la actualidad la estrategia de gobierno en línea enmarca 3 (tres) actores claros:

- Ciudadanos: son los que tienen a disposición toda la oferta de canales de

comunicación, trámites y servicios en línea para la interacción con todas las entidades

que ejerzan tareas públicas, por esto es el actor más importarte en la estrategia de

gobierno en línea. Tienen como derecho manifestar y exigir cumplimiento del trabajo

de las entidades.

29

- Funcionarios: tienen la responsabilidad de realizar la implementación de la estrategia,

garantizar su complimiento y monitorear los resultados, para esto es obligación del

mismo conocer la estrategia con el fin de garantizar los objetivos de la estrategia

GEL.

- Otros: (industria TI, academia, organizaciones) apoyan la estrategia con el desarrollo

de alianzas, proyectos y negocios con las entidades del estado. También pueden

participar en el fortalecimiento a la industria de TI.

Para globalizar toda la estrategia y asociarla a los actores principales, esta se centra en 4

(cuatro) ejes temáticos:

- TIC para el gobierno abierto: busca construir un estado más transparente y

colaborativo, donde los ciudadanos participan activamente en la toma de decisiones

gracias a las TIC.

- TIC para servicios: busca crear los mejores trámites y servicios en línea para

responder a las necesidades más apremiantes de los ciudadanos.

- TIC para la gestión: busca darle un uso estratégico a la tecnología para hacer más

eficaz la gestión administrativa.

30

- Seguridad y privacidad de la información: busca guardar los datos de los ciudadanos

como un tesoro, garantizando la seguridad de la información. (MinTIC, 2016) 18

.

El gobierno nacional generó el decreto 2573 de 2014, el cual puntualiza los lineamientos

generales de la estrategia de gobierno en línea. (Secretaría General de la Alcaldía Mayor de

Bogotá D.C., 2014)19

. En el título III " medición, monitoreo y plazos” muestra las obligaciones a

entidades de orden nacional y territorial respecto al porcentaje de cumplimiento.

En la Tabla 3 se muestra la obligación para entidades de orden nacional en el eje de Seguridad

y privacidad de la información:

Tabla 3

Porcentaje de cumplimiento anual de las entidades del orden nacional en seguridad y

privacidad de la información

Componente: Seguridad y

privacidad de la información

Año Cumplimiento

2015 40%

18 MinTIC, (2016). Conoce la estrategia de gobierno en línea. Recuperado de

http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-7650.html

19 Secretaría General de la Alcaldía Mayor de Bogotá D.C. , (2014). DECRETO 2573 DE

2014. Recuperado de

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=60596

31

Componente: Seguridad y

privacidad de la información

2016 60%

2017 80%

2018 100%

2019 Mantener 100%

2020 Mantener 100% Fuente: autores

Para las entidades del orden territorial, el decreto indica una obligación categorizada de

manera diferente:

Gobernaciones de categoría Especial y Primera; alcaldías de categoría Especial, y demás

sujetos obligados de la Administración Pública en el mismo nivel (A).

Gobernaciones de categoría segunda, tercera y cuarta; alcaldías de categoría primera, segunda

y tercera y demás sujetos obligados de la Administración Pública en el mismo nivel (B).

Alcaldías de categoría cuarta, quinta y sexta, y demás sujetos obligados la Administración

Pública en el mismo nivel (C). (Secretaría General de la Alcaldía Mayor de Bogotá D.C. ,

2014)20

.

20 Secretaría General de la Alcaldía Mayor de Bogotá D.C. , (2016). DECRETO 2573 DE

2014. Recuperado de

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=60596

32

Para las entidades agrupadas en A, B y C los plazos serán mostrados en la Tabla 4, para el eje

de Seguridad y privacidad de la información:

Tabla 4

Porcentaje de cumplimiento anual de las entidades del orden territorial en seguridad y

privacidad de la información

Componente: Seguridad y privacidad de la información

Año Cumplimiento

Entidades A Entidades B Entidades C

2015 35% 10% 10%

2016 50% 30% 30%

2017 80% 50% 50%

2018 100% 65% 65

2019 Mantener 100% 80% 80%

2020 Mantener 100% 100% 100% Fuente: Decreto 2573 de 2014.

MINTIC, a través de la dirección de gobierno en línea y de la dirección de estándares y

arquitectura de tecnologías de la Información, diseñó el modelo de monitoreo que permite medir

el avance en la implementación de la estrategia de gobierno en línea, para las entidades del orden

nacional y territorial, este se realiza de manera anual y clasifica a las entidades en su nivel de

cumplimiento.

4.1. Elección de entidades del orden nacional y del orden territorial

Para la elección de la entidad del orden nacional, se procedió a realizar una mediana

aritmética, teniendo en cuenta el índice total de GEL 2015 que dio como resultado la Autoridad

nacional de licencias ambientales “ANLA” la cual pertenece al sector Ambiente y Desarrollo

Sostenible.

33

Para el 2015, la entidad ANLA obtuvo una calificación total del índice de gobierno en línea

de 58/100, respecto a indicador de proceso del índice de Seguridad y Privacidad de la

Información su calificación fue 64/100.

Teniendo en cuenta lo anterior y realizando la respectiva investigación, se encontró que la

estrategia vital de ANLA, en el año 2012, estuvo dentro de las finalistas en los premios de

excelencia de gobierno en línea, puesto que fue una estrategia creada con el fin de facilitar un

punto único de acceso a la gestión y la información de permisos y licencias ambientales para

todo el territorio nacional, a través de internet (Autoridad Nacionale de Licencias Ambientales,

2012)21

.

La Figura 2 muestra la página actual del sitio, la cual se encuentra estructurada con todos los

requerimientos de GEL.

21 ANLA, (2012). VITAL, una estrategia de la ANLA es una de las finalistas en los Premios a

la Excelencia en Gobierno en línea excelGEL 2012. Recuperado de

http://www.anla.gov.co/noticias/vital-una-estrategia-anla-una-las-finalistas-premios-

excelencia-gobierno-linea-excelgel

34

Figura 2. Sitio web “Autoridad nacional de licencias ambientales”

Para la elección del orden territorial, se tomaron en cuenta los 32 departamentos del país

y se realizó la mediana teniendo en cuenta el índice GEL, que dio como resultado la gobernación

de Boyacá, y se eligió su capital para ser objetos de este estudio. Para el 2015, la Gobernación de

Boyacá obtuvo una posición en el ranking de GEL de 18/32 con un índice total de 53/100;

mientras que la Alcaldía de Tunja 393/1094 y 48/100 respectivamente. En la Tabla 5¡Error! No

se encuentra el origen de la referencia. se muestra la información del cuarto eje:

Tabla 5

Índice SPI Gel Orden territorial objeto de estudio

Departamento Nombre

Institución

Subíndice de Seguridad y

Privacidad de la

Información

Posición en el ranking

Subíndice de Seguridad y

Privacidad de la

Información

Boyacá Gobernación 83/100 6/32

Boyacá Alcaldía de Tunja 28/100 556/1094 Fuente: autores

La gobernación de Boyacá, tiene como compromiso brindar un servicio público de calidad,

con la implementación de sólidas bases de desarrollo sostenible, humano y ambiental, mediante

35

procesos de participación, liderazgo público y gestión estratégica; apropiación de valores y

articulación de políticas, tendencias a mejorar las condiciones de vida de la población respecto a

su visión, se espera que para el año 2020 Boyacá, desde su gobernación sea una región prospera

y competitiva, gracias a la generación de cadenas de valor basadas en la ciencia, la tecnología y

la innovación, el aprovechamiento estratégico de su posición geográfica, su diversidad de climas,

culturas, su enorme potencial turístico, minero y agrícola; su infraestructura y conectividad, así

como su profunda responsabilidad social y la conservación del medio ambiente que brinda a su

ciudadanos oportunidades de desarrollo social y económico en condiciones de sostenibilidad,

equidad y seguridad. (Gobernación de Boyacá, 2012)22

.

Respecto a la alcaldía de Tunja, su misión es garantizar el bienestar general y el

mejoramiento de la condición de vida de los habitantes de Tunja, a través de la prestación de

servicios de calidad, en cumplimiento de las competencias definidas en la Constitución Política y

demás normas complementarias y su visión está encaminada a trabajar en equipo, dando

prioridad al interés general y al desarrollo social, con base en el aprovechamiento de nuestras

22 Gobernación de Boyacá, (2016). Misión y Visión. Recuperado de

http://www.boyaca.gov.co/gobernacion/mision-y-vision

36

condiciones culturales y naturales, con alto aprecio por la diversidad y entendiendo el ambiente

como nuestro espacio de vida (Alcaldía de Tunja - Boyacá, 2016))23

.

La Figura 3 muestra la página actual de la gobernación de Boyacá, la cual es objeto de

estudio, se puede identificar que esta se encuentra estructurada con todos los requerimientos de

GEL.

Figura 3. Sitio web “gobernación de Boyacá”

23 Alcaldía de Tunja - Boyacá, (2016). Nuestra alcaldía. Recuperado de http://www.tunja-

boyaca.gov.co/quienes_somos.shtml

37

La Figura 4 muestra la alcaldía de Tunja, objeto de estudio para las entidades del orden

territorial:

Figura 4. Sitio web “alcaldía de Tunja”

4.3 Comparación basada en el índice entre entidades validadas de orden nacional y

territorial

MINTIC, para conocer el avance de la estrategia de Gobierno en Línea en Colombia, en

entidades del orden nacional y territorial, ha implementado una metodología de medición

llamada “Índice de Gobierno en línea” el cual como resultado del monitoreo de los 4 ejes

temáticos que enmarca la estrategia le da un rango y una clasificación a cada entidad evaluada,

para el orden nacional y para el orden territorial.

38

La realización de la medición de índice GEL, permite a las entidades retroalimentar los

procesos de toma de decisiones, ejecutar acciones oportunas que permitan anticiparse a los

problemas, proveer insumos para el mejoramiento de la Estrategia y garantizar la sostenibilidad

de proyectos. (MinTIC)24

.

La medición del índice gel dentro de sus 4 ejes temáticos, subdivide los temas tal y como se

muestra en la

24 MinTIC, (s.f). Abierta la evaluación del Índice Territorial Gobierno en línea. Recuperado

de http://estrategia.gobiernoenlinea.gov.co/623/w3-article-51415.html

39

Figura 5. Para el año 2013, se tuvo un índice de gobierno en línea de 52% entidades

territoriales y 78% de entidades del orden nacional con altos índices de valoración de Gobierno

en línea, lo cual evidencia las capacidades para la innovación y la transformación de la gestión

pública gracias a la tecnología y el mejoramiento continuo de la calidad de los servicios

electrónicos y la interacción con los ciudadanos. (MinTIC, 2014)25

.

25 MinTIC, (2014). Gobierno en Línea presentará balance de resultados en todos los

departamentos del país. Recuperado de http://www.mintic.gov.co/portal/604/w3-article-

6322.html

40

Figura 5. Medición índice gel por ejes temáticos

En la última medición del índice, realizada en 2016, se efectuó el cálculo del 2015, en donde

se observaron importantes avances de las alcaldías y gobernaciones, entre ellos se destaca la

integración del Gobierno en línea a la gestión de las entidades, la implementación de servicios de

consulta y atención interactiva, así como la planeación del crecimiento tecnológico. Además, hay

grandes oportunidades de mejora en lo que respecta a la solución de problemáticas con la

participación abierta de la ciudadanía y la industria, la interoperabilidad en trámites y en

procedimientos con otras entidades, y la construcción de normatividad, planes y políticas de la

entidad con la participación ciudadana. (MinTIC, 2016)26

.

El eje correspondiente a seguridad y privacidad de la información, el cual es el objeto central

de estudio, se subdivide en 3 grandes grupos que son: definición, implementación y monitoreo;

de los cuales se desprenden temáticas relacionadas con los mismo, tal cual se muestra en Figura

7-6

26 MinTIC, (2016). Participación de alcaldías y gobernaciones en índice de Gobierno en

línea 2015. Recuperado de http://www.mintic.gov.co/portal/604/w3-article-15016.html

41

Figura 7-6. Índice gel Seguridad y privacidad de la información

Partiendo de la información de la Figura 7-6, se procedió a realizar un comparativo frente al

estatus de este en las entidades del orden nacional para el 2014 y 2015; esto con el objetivo de

visualizar la evolución presentada.

Tal cual lo muestra la imagen Figura 7 y teniendo en cuenta la Tabla 3¡Error! No se

encuentra el origen de la referencia. para las entidades del orden nacional, se visualiza un

notorio crecimiento en el número de entidades evaluadas y el porcentaje de avance de la misma,

debido a que el porcentaje obligatorio para estas en el 2015 es del 40%.

42

Figura 7. Porcentaje de avance eje Seguridad y privacidad de la información 2014-2015 entidad del orden nacional

Igualmente, como lo muestra la imagen Figura 8 y teniendo en cuenta la Tabla 4, para las

entidades del orden territorial, también se evidencia un alto cumplimiento a la norma, sin superar

las expectativas del porcentaje de avance.

Figura 8. Porcentaje de avance eje Seguridad y privacidad de la información 2014-2015 entidad del orden territorial

Para validar el análisis del índice gel y tener una panorama global y objetivo, se realizó la

validación promedio por sectores y/o departamentos, dependiendo del tipo de entidad (nacional o

territorial).

- Para las entidades del orden nacional, tal y como lo muestra la Figura 9, se evidencia

que el sector con mayor madurez es Inteligencia Estratégica y Contrainteligencia; en

el que se encuentra evaluada solo la entidad “departamento administrativo dirección

43

nacional de inteligencia”, mientras que el sector de la entidad objeto de estudio es

ambiente y desarrollo sostenible con un índice promedio de 51%.

Figura 9. Promedio por categorías 2015 entidades del orden nacional seguridad y privacidad de la

información

- Se procedió a realizar el análisis de los índices por departamentos, para el índice

territorial, con el promedio obtenido de los índices del año 2015, como se muestra a

continuación:

Figura 10. Promedio por departamentos 2015 entidades del orden territorial (alcaldías) seguridad y

privacidad de la información

44

Con un índice GEL para el eje de seguridad y privacidad de la información promedio de 32,9

para el 2015, se evidencia gráficamente que el departamento con mayor crecimiento es Guainía,

pero es de anotar que este departamento solo cuenta con una alcaldía. Mientras que Boyacá tiene

un subíndice de 43%.

Figura 11 Promedio por departamentos 2015 entidades del orden territorial (gobernaciones) seguridad y

privacidad de la información

Teniendo en cuenta la figura anterior se evidencia gráficamente que los tres departamentos

con índice más alto son Sucre con 95%, San Andrés y Cesar con el 92% y Valle del Cauca con el

91%. Mientras que el departamento objeto de estudio se encuentra con un 83%.

4.2. Validación de implementación de los lineamientos gel que contemplen los

requisitos en materia de seguridad iso27001:2013

El MSPI es la recopilación de las mejores prácticas, nacionales e internacionales, para

suministrar requisitos para el diagnóstico, planificación, implementación, gestión y

45

mejoramiento continuo, del Modelo de Seguridad y Privacidad de la Información - MSPI de la

Estrategia de Gobierno en Línea – GEL. (MinTIC, 2017)27

.

Por lo anterior, el alcance de las validaciones de los lineamientos GEL, se asociaron a la

norma ISO IEC 27001:2013, utilizando las tres fases del ciclo de operación del modelo de

seguridad y privacidad de la información MSPI, el cual se muestra en la Figura 12 (International

Organization for Standardization, 2017) 28

:

27MinTIC, (2017). Modelo de Seguridad. Recuperado de

http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html

28International Organization for Standardization, (2017). ISO/IEC 27001:2013. recuperado de

https://www.iso.org/standard/54534.html

46

Figura 12. Marco de Seguridad y Privacidad de la Información

El marco de seguridad y privacidad de la información básicamente es un ciclo PHVA que se

enmarca en el funcionamiento de las cinco (5) fases que lo comprenden como se muestra en la

Figura 13; cada fase cuenta con objetivos, metas y herramientas que admiten que la seguridad y

privacidad de la información sea un sistema de gestión verosímil dentro de las entidades que lo

aplican.

47

Figura 13. Ciclo de operación del modelo de seguridad y privacidad de la información MSPI

Para proporcionar un enfoque del escenario actual de la seguridad de las entidades objeto de

estudio, se procedió a validar el avance del nivel de seguridad; como resultado de la evaluación

de los controles del MSPI vs ISO27001, utilizando los siguientes criterios de evaluación:

NO CONFORME (< =40%): El control no se encuentra implantado.

PARCIALMENTE CONFORME (>40% <= 80%): Se tienen algún nivel de implantación con

relación a los controles que el dominio específico, pero no se hace en su totalidad

CONFORME (>80%): El dominio se encuentra implantado y gestionado.

48

Teniendo en cuenta los criterios anteriores, para la entidad del orden nacional. ANLA se

puede visualizar la Figura 14.

Figura 14. Resultado del Análisis de Seguridad ISO27001 ANLA con la lista de chequeo

Validando la Figura 14 se puede evidenciar que la entidad se encuentra en el criterio

PARCIALMENTE CONFORME (>40% <= 80%), con tendencia a tener los dominios

totalmente implantados y gestionados; la entidad debería centrar su enfoque MSPI en los

controles A6, A11 y A14 primordialmente.

49

Figura 15. Resultado del Análisis de Seguridad ISO27001 GOBERNACIÓN DE BOYACÁ con la

lista de chequeo

La Gobernación de Boyacá se encuentra en el criterio PARCIALMENTE CONFORME

(>40% <= 80%), tal cual lo muestra Figura 15, la calificación media de esta entidad territorial se

encuentra entre el 40% y 50%. Para esta entidad el trabajo primordial debe estar encaminado a

implantar los controles A6, A15 y A17, y a comenzar a gestionar los demás controles.

50

Figura 16. Resultado del Análisis de Seguridad ISO27001 ALCALDÍA DE BOYACÁ con la lista de

chequeo

La entidad con menor grado de implementación es la alcaldía de Boyacá, tal cual se puede

visualizar en Figura 16 ya que se evidencia que muchos de sus controles no se encuentran

implantados, como el A6, A10 y A16, la entidad debería solicitar a MINTIC acompañamiento

para la implementación de sus modelos de los ejes GEL, sobre todo el MSPI.

Las tres entidades presentan el mismo comportamiento en relación a los controles del numeral

A6. Organización de la seguridad de la información, en la Tabla 6 se muestran los controles y

objetivos de control en los que deben hacer mayor énfasis.

Tabla 6

Organización de la seguridad de la información

A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN

Numeral Control Objetivo de control

A.6.1. Organización Objetivo. Establecer un marco de

51

A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN

Numeral Control Objetivo de control

Interna. referencia de gestión para iniciar y

controlar la implementación y

operación del SGSI

A.6.1.1.

Seguridad de la

Información Roles

y

Responsabilidades.

Se deben definir y asignar todas las

responsabilidades de la seguridad

de la información.

A.6.1.2. Separación de

deberes.

Las tareas y áreas de

responsabilidad en conflicto se

deben separar para reducir las

posibilidades de modificación no

autorizada o no intencional o el uso

indebido de los activos de la

organización

A.6.1.3. Contacto con las

autoridades.

Se debe mantener contactos

apropiados con las autoridades

pertinentes

A.6.1.4

Contacto con

grupos de interés

especial.

Se deben mantener controles

apropiados con grupos de interés

especial u otros foros y

asociaciones profesionales

especializadas en seguridad

A.6.1.5.

Seguridad de la

información en

Gestión de

Proyectos.

La seguridad de la información se

debe tratar en la gestión de

proyectos, independiente del tipo

de proyecto Fuente: MINTIC (MinTIC, 2016)

29.

29MinTIC, (2016). Modelo de Seguridad y Privacidad de la Información. Recuperado de

http://estrategia.gobiernoenlinea.gov.co/623/articles-8258_recurso_1.pdf

52

4.3. Determinar objetivamente la robustez de las entidades objeto de estudio

teniendo en cuenta la implementación y mejora del modelo de seguridad y

privacidad de la información de la estrategia de gobierno en línea.

Utilizando los resultados obtenidos en el punto anterior, donde se validó la implementación de

los lineamientos gel en materia de seguridad ISO27001:2013, se procedió a definir el nivel de

madurez en seguridad de la información de las entidades evaluadas.

Figura 17- Niveles de madurez (MinTIC, 2016)

30.

En nivel de madurez definido por Gobierno en línea se puede visualizar en la

30MinTIC, (2016). Modelo de Seguridad y Privacidad de la Información. Recuperado de

http://estrategia.gobiernoenlinea.gov.co/623/articles-8258_recurso_1.pdf

53

Figura 17, mientras que en la Tabla 7 se presentan los requerimientos de cada uno de los

niveles de madurez con una descripción general (ISACA ORG, 2017)31

.

Tabla 7

Descripción de niveles de madurez en seguridad de la información

# MSPI COBIT

Nivel Descripción Nivel Descripción

0 Nivel

Se han implementado controles en

su infraestructura de TI, seguridad

física, seguridad de recursos

humanos entre otros, sin embargo,

no están alineados a un Modelo de

Seguridad.

No se reconoce la información

como un activo importante para su

misión y objetivos estratégicos.

No se tiene conciencia de la

importancia de la seguridad de la

información en las entidades

Incompleto

El proceso no está

implementado o no

alcanza su propósito. A

este nivel hay muy

poca o carece de

evidencia de algún

logro sistemático del

propósito del proceso

1 Inicial

Se han identificado las debilidades

en la seguridad de la información.

Los incidentes de seguridad de la

información se tratan de forma

reactiva.

Se tiene la necesidad de

implementar el MSPI, para definir

políticas, procesos y

procedimientos que den respuesta

Ejecutado

El proceso

implementado alcanza

su propósito.

31ISACA ORG, (2017). COBIT 5 Spanish. recuperado de

https://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx

54

# MSPI COBIT

Nivel Descripción Nivel Descripción

proactiva a las amenazas sobre

seguridad de la información que se

presentan en la Entidad.

2 Repetible

Se identifican en forma general los

activos de información.

Se clasifican los activos de

información.

Los servidores públicos de la

entidad tienen conciencia sobre la

seguridad de la información.

Los temas de seguridad y

privacidad de la información se

tratan en los comités del modelo

integrado de gestión.

Gestionado

El proceso ejecutado

esta implementado de

forma gestionada y los

resultados de su

ejecución están

establecidos,

controlados y

mantenidos

apropiadamente.

3 Definido

La Entidad ha realizado un

diagnóstico que le permite

establecer el estado actual de la

seguridad de la información.

La Entidad ha determinado los

objetivos, alcance y límites de la

seguridad de la información.

La Entidad ha establecido

formalmente políticas de

Seguridad de la información y

estas han sido divulgadas.

La Entidad tiene procedimientos

formales de seguridad de la

Información

La Entidad tiene roles y

responsabilidades asignados en

seguridad y privacidad de la

información.

La Entidad ha realizado un

inventario de activos de

información aplicando una

metodología.

La Entidad trata riesgos de

Establecido

El proceso gestionado

ahora esta

implementado usando

un proceso definido

que es capaz de

alcanzar sus resultados

de proceso.

55

# MSPI COBIT

Nivel Descripción Nivel Descripción

seguridad de la información a

través de una metodología.

Se implementa el plan de

tratamiento de riesgos

4 Administrado

Se revisa y monitorea

periódicamente los activos de

información de la Entidad.

Se utilizan indicadores para

establecer el cumplimiento de las

políticas de seguridad y privacidad

de la información.

Se evalúa la efectividad de los

controles y medidas necesarias

para disminuir los incidentes y

prevenir su ocurrencia en el futuro

Predecible

El proceso establecido

ahora se ejecuta dentro

de límites definidos

para alcanzar

resultados del proceso.

5 Optimizado

En este nivel se encuentran las

entidades en las cuales la

seguridad es un valor agregado

para la organización.

Se utilizan indicadores de

efectividad para establecer si la

entidad encuentra retorno a la

inversión bajo la premisa de

mejora en el cumplimiento de los

objetivos misionales.

Optimizado

El proceso predecible

es mejorado de forma

continua para cumplir

con las metas

empresariales

presentes y futuras.

Fuente: autores

A partir de la Figura 18, se puede identificar el nivel de robustez de cada una de las entidades.

56

Figura 18. Robustez de las entidades objeto de estudio

Teniendo en cuenta la Tabla 7 y retomando la Figura 18, se puede predecir que para el año

2016, las entidades deberán estar por encima del nivel 3: definido y/o establecido para poder dar

cumplimiento al decreto 2573 DE 2014.

Para llegar al nivel optimizado el nivel de seguridad y privacidad de la información, ya no

debe ser una obligación sino un parámetro estándar beneficioso para la entidad, asociando

indicadores de gestión y acuerdos de niveles de servicio encaminadas a la mejora continua y al

cumplimiento de los objetivos misionales.

57

5 Conclusiones

Después del estudio realizado, se pueden evidenciar como las entidades de orden territorial,

han tenido un avance importante en el fortaleciendo la Estrategia de Gobierno en Línea, sobre

todo en el eje de seguridad y privacidad de la información, aunque la brecha en relación con las

entidades de orden nacional es bastante amplia.

Basándose en los resultados obtenidos se pudo identificar que los lineamientos de gobierno en

línea en materia de seguridad y privacidad de la información si contemplan los requisitos de la

norma ISO 27001:2013, además se evidenció la necesidad de mantener la confidencialidad,

integridad y disponibilidad de la información corporativa especialmente la clasificada como

crítica y la información personal.

Las entidades objeto de estudio, han trabajado en crear una política que define completamente

objetivos, alcance y límites de la seguridad de la información. La Gobernación de Boyacá y la

Alcaldía de Tunja (entidades del orden territorial), no han llevado a cabo campañas de

divulgación de sus políticas que le permitan al servidor público apropiarlas y hacer uso de ellas.

Se verificó que el ítem que se encuentra con valoración más baja en las entidades objeto de

estudio, es el de organización de la seguridad de la información el cual tiene como objetivo

establecer un marco de referencia de gestión para iniciar y controlar la implementación y

operación del SGSI, puesto que no se encontró evidencia de la designación de roles y

responsabilidades de seguridad de la información, no existen documentos de separación de

58

deberes, contacto con las autoridades y grupos de interés especial, ni gestión en proyectos de

seguridad de la información.

La entidad de orden nacional ANLA, se encuentra en un estado de madurez intermedio, por lo

que es vital implementar un conjunto de prácticas que reconozcan sus debilidades y estén

encaminadas a permitir la transformación ágil y gradual en los procesos con debilidades.

59

6 Recomendaciones

El estado colombiano no debería realizar por ningún motivo una ampliación de plazos a

los ya establecidos en el decreto 2573 de 2014, ya que es obligación de las entidades trabajar

para cumplirlos, dándole la importancia que merece el MSPI contemplado en GEL.

Se deben robustecer las áreas de tecnología en la mayoría de entidades y así garantizar a los

ciudadanos que sus datos están seguros, son confiables y están disponibles para atender a sus

necesidades.

Se recomienda a MINTIC como líder de la estrategia de gobierno en línea, fortalecer los

mecanismos de apoyo, aporte, capacitación, orientación y acompañamiento a los líderes de las

entidades para concientizarlas y apropiarlas respecto a la seguridad y privacidad de la

información. Demarcando la importancia y los efectos del no seguir los lineamientos de

seguridad y lograr la implementación exitosa del modelo.

Se recomienda que se realicen auditorías externas para valorar el avance del índice MSPI,

adicionalmente a la evaluación GEL.

MINTIC debería apoyar la iniciativa de coevaluación de la campaña de índice GEL entre

entidades, así existirían estrategias de feedback o retroalimentación para optimizar la

implantación y evolución de GEL en las entidades.

60

7 Bibliografía

EL TIEMPO Casa Editorial. (2 de junio de 2015). ELTIEMPO.com. Obtenido de La extraña

desaparición de dos discos secretos de la petrolera Repsol:

http://www.eltiempo.com/archivo/documento/CMS-15871995

Corporación Colombia Digital. (29 de 04 de 2013). Corporación Colombia Digital. Obtenido de

https://colombiadigital.net/actualidad/noticias/item/4833-robo-de-informaci%C3%B3n-

una-amenaza-global.html

Administración Pública y Gestión del Desarrollo. (30 de marzo de 2016).

publicadministration.un.org. Obtenido de Gobierno electrónico en apoyo al desarrollo

sostenible: https://publicadministration.un.org/es/Research/UN-e-Government-Surveys

Alcaldía de Tunja - Boyacá. (23 de noviembre de 2016). tunja-boyaca.gov.co. Obtenido de

Nuestra alcaldía: de http://www.tunja-boyaca.gov.co/quienes_somos.shtml

Anderson, R. (2008). Security Engineering (Segunda ed.). Cambridge: WILEY. Obtenido de

http://blog.segu-info.com.ar/2013/02/libro-gratuito-de-seguridad-de-la.html

Autoridad Nacionale de Licencias Ambientales. (11 de diciembre de 2012). anla.gov.co.

Obtenido de VITAL, una estrategia de la ANLA es una de las finalistas en los Premios a

la Excelencia en Gobierno en línea excelGEL 2012.:

http://www.anla.gov.co/noticias/vital-una-estrategia-anla-una-las-finalistas-premios-

excelencia-gobierno-linea-excelgel

61

Bertolín, J. A. (2008). Seguridad de la información. Redes, informática y sistemas de

información. Madrid, España: Editorial Paraninfo. Obtenido de http://blog.segu-

info.com.ar/2013/02/libro-gratuito-de-seguridad-de-la.html

Camelo, L. (17 de junio de 2015). Obtenido de Seguridad de la Informacion en Colombia:

http://seguridadinformacioncolombia.blogspot.com.co/

Corporación Colombia Digital. (29 de Abril de 2013). Corporación Colombia Digital. Obtenido

de Robo de información: una amenaza global:

https://colombiadigital.net/actualidad/noticias/item/4833-robo-de-informaci%C3%B3n-

una-amenaza-global.html

EL TIEMPO Casa Editorial. (27 de enero de 2016). ELTIEMPO.com. Obtenido de En 2015,

cibercrimen generó pérdidas por US$ 600 millones en Colombia:

http://www.eltiempo.com/archivo/documento/CMS-16493604

El Universal. (6 de diciembre de 2010). eluniversal.com.co. Obtenido de Empresas: robo de

información, el mayor delito:

http://www.eluniversal.com.co/cartagena/econ%C3%B3mica/empresas-robo-de-

informaci%C3%B3n-el-mayor-delito

Gobernación de Boyacá. (23 de mayo de 2012). boyaca.gov.co. Obtenido de Misión y Visión:

http://www.boyaca.gov.co/gobernacion/mision-y-vision

62

Harloff, G. (14 de Septiembre de 2016). GLOBAL FRAUD REPORT Vulnerabilities on the Rise.

Obtenido de http://anticorruzione.eu/wp-

content/uploads/2015/09/Kroll_Global_Fraud_Report_2015low-copia.pdf

International Organization for Standardization. (6 de Junio de 2017). ISO/IEC 27001:2013.

Obtenido de https://www.iso.org/standard/54534.html

ISACA ORG. (22 de Febrero de 2017). Obtenido de COBIT 5 Spanish:

https://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx

LUZARDO, A. M. (11 de abril de 2017). enter.co. Obtenido de ASÍ LE VA A COLOMBIA EN

LA IMPLEMENTACIÓN DE GOBIERNO EN LÍNEA: http://www.enter.co/cultura-

digital/colombia-digital/colombia-se-mantiene-en-la-implementacion-de-gobierno-en-

linea/

MinTIC. (s.f.). Obtenido de Abierta la evaluación del Índice Territorial Gobierno en línea:

http://estrategia.gobiernoenlinea.gov.co/623/w3-article-51415.html

MinTIC. (20 de junio de 2014). mintic.gov.co. Obtenido de Gobierno en Línea presentará

balance de resultados en todos los departamentos del país:

http://www.mintic.gov.co/portal/604/w3-article-6322.html

MinTIC. (8 de noviembre de 2016). gobiernoenlinea. Obtenido de CÓMO AVANZA LA

ESTRATEGIA DE GOBIERNO EN LÍNEA:

http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-7651.html

63

MinTIC. (8 de noviembre de 2016). gobiernoenlinea.gov.co. Obtenido de CONOCE LA

ESTRATEGIA DE GOBIERNO EN LÍNEA:

http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-7650.html

MinTIC. (8 de noviembre de 2016). gobiernoenlinea.gov.co. Obtenido de ESTRATEGIA DE

GOBIERNO EN LÍNEA: http://estrategia.gobiernoenlinea.gov.co/623/articles-

7941_normatividad.pdf

MinTIC. (11 de marzo de 2016). gobiernoenlinea.gov.co. Obtenido de Modelo de seguridad y

pribacidad de la información: http://estrategia.gobiernoenlinea.gov.co/623/articles-

8258_recurso_1.pdf

MinTIC. (8 de abril de 2016). mintic.gov.co. Obtenido de Participación de alcaldías y

gobernaciones en índice de Gobierno en línea 2015:

http://www.mintic.gov.co/portal/604/w3-article-15016.html

MinTIC. (19 de febrero de 2017). Ministerio de Tecnologías de la Información y las

Comunicaciones . Obtenido de Modelo de Seguridad:

http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html

pulzo.com. (12 de octubre de 2015). Obtenido de La historia del 'hacker' colombiano que puso en

jaque la seguridad nacional de EE.UU.: http://www.pulzo.com/nacion/la-historia-del-

hacker-colombiano-que-puso-en-jaque-la-seguridad-nacional-de-eeuu/404504

64

Secretaría General de la Alcaldía Mayor de Bogotá D.C. (12 de 12 de 2014).

alcaldiabogota.gov.co. Obtenido de DECRETO 2573 DE 2014:

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=60596

Secretaría General de la Alcaldía Mayor de Bogotá D.C. . (12 de 12 de 2014).

alcaldiabogota.gov.co. Obtenido de DECRETO 2573 DE 2014:

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=60596

Senado de la república de Colombia. (8 de noviembre de 2016). senado.gov.co. Obtenido de

NIVEL TERRITORIAL:

ftp://backups.senado.gov.co/meci/Manual_MECI/Unidad_1/A_estado_ci/A_2_rama_ejec

utiva/A_2_2_nivel%20territorial/A_2_2_nivter.htm

UNITED NATIONS. (3 de Agosto de 2016). UNITED NATIONS E-GOVERNMENT SURVEY

2016. Obtenido de

http://workspace.unpan.org/sites/Internet/Documents/UNPAN96407.pdf

65

66

8 Glosario

CHECKLIST: lista de chequeo, (anglicismo) es una lista sistemática de nombres de personas

o cosas que se usa para referencia, control, comparación, verificación o identificación.

Equivalencia: lista de control, lista de verificación.

CIBER-DELINCUENTES: son personas que utilizan medios y recursos informáticos para

realizar actividades delictivas principalmente dirigidos a la confidencialidad, la integridad y la

disponibilidad de los sistemas, redes y datos cibernéticos, además del abuso de estos.

CONPES: Consejo Nacional de Política Económica y Social

FEEDBACK: palabra del inglés que significa retroalimentación; podemos utilizarla como

sinónimo de respuesta o reacción, o, desde un punto de vista más técnico, para referirnos a un

método de control de sistemas.

FURAG: Formulario Único de Reporte de Avances en la Gestión

GEL: Estrategia de Gobierno en Línea

MINTIC: ministerio de las tecnologías de la información y las comunicaciones

MODELO DE MADUREZ: modelo de evaluación de los procesos de una organización

(buenas prácticas, medición análisis)

MSPI: Modelo de Seguridad y Privacidad de la Información

PHVA: planear, hacer, verificar y actuar

TIC: tecnologías de la información y comunicaciones

67

9 Anexos

9.1 Anexo a. Nacional 2014

nacional 2014.xlsx

9.2 Anexo b. Nacional 2015

nacional 2015.xlsx

9.3 Anexo c. Territorial 2014

territorial 2014.xlsx

9.4 Anexo d. Territorial 2015

territorial 2015.xlsx

68

9.5 Anexo e. Check list ANLA

check list ANLA.xlsx

9.6 Anexo f. Check list gobernación

check list

GOBERNACIÓN.xlsx

9.7 Anexo g. Check list alcaldía Tunja

check list ALCALDIA

TUNJA.xlsx