Socialización de la Política Nacional de Ciencia, Tecnología e Innovación

Comentarios a la propuesta de POLÍTICA NACIONAL de seguridad DIGITALFebrero 2016

COMENTARIO PARTE INTERESADA

PARTE: COMENTARIOS GENERALES

1 En algunas partes del documento se hace referencia a los actores de interés y se puntualiza en algunos. Porque se excluye a los gobiernos territoriales?. ACDTIC -05/02/2016

2 El concepto de seguridad digital no se encuentra definido en el glosario.ACDTIC -05/02/2016

29/01/2016

3 Se debería unificar los mecanismos de socialización y concientización en una sola meta. ACDTIC -05/02/2016

4 Se debería unificar las metas que corresponden al diseño de contenido educativo, capacitación de funcionarios para el fortalecimiento de la política de seguridad digital. ACDTIC -05/02/2016

5 No se aprecia en el documento como se articulan las policías Judiciales ASOBANCARIA 05/02/2016

6 Consideran que la seguridad digital podría limitar el alcance, sugieren cambiar a seguridad de la información o definir mejor el alcance.

ASOBANCARIA 05/02/2016

7 La metodología de gestión de riesgos debe definir estándares por sector. ASOBANCARIA 05/02/2016

8 No es claro qué medidas se adoptaran para prevenir el delito en los equipos terminales ( PC, MÓVIL, Smart TV, etc.)-


9 Las acciones previamente definidas en el CONPES 3701 y adelantadas por el sector privado como se incorporarán en esta nueva propuesta?


10 La implementación de CSIRT sectoriales como se integraran con organismos del estado ASOBANCARIA 05/02/2016

11 Como se articula el nuevo papel del estado en materia del posconflicto con esta política?

Fundación Karisma, Fundación para la Libertad de Prensa , Comisión Colombiana de Juristas - 05/02/2016

12Es necesario que el documento establezca claros organismos y mecanismos de control y supervisión al cumplimiento de la política y compromiso con los derechos humanos que ella establece.


13Es necesario que el principio de protección a los derechos humanos que rige al documento CONPES sea desarrollado en el resto del documento, especialmente en las acciones concretas.


14

Dar una competencia a las instituciones como la Delegatura de Protección de Datos de la SIC, para que pueda realizar mayores controles a las empresas que almacenan,


gestionan, datos personales fuera de Colombia

15El documento CONPES de 2011 y el actual carecen totalmente de un análisis de género (… ), Propuesta: Generar una nueva acción que recoja el compromiso del Estado en adelantar la equidad de género en sus políticas, en este caso, en la de seguridad digital.


16

Para el sector de las TIC se encuentran vigentes normas jurídicas que consagran las reglas y obligaciones en materia de protección de los usuarios y sus datos personales (…) Sugieren que el análisis y la consolidación del documento CONPES así como de la normatividad que se expida en el marco de esta política pública cuente con la participación de la totalidad de los actores de interés

COMCEL / TELMEX

05/02/2016

17El documento no establece roles y alcances de las múltiples partes interesadas: COMCEL / TELMEX

05/02/2016

Se propone adoptar cuanto descrito en el documento de la UIT: “National Cyber Security Strategy” – definiciones de rol y alcance de:

- Gobierno Nacional

- Propietarios y operadores de Infraestructura

- Agencias de Inteligencia - Fabricantes y proveedores de infraestructura de seguridad - Academia - Socios Internacionales - Ciudadanos

18

(…) Como punto de partida es necesario entrar a definir si quiera a titulo enunciativo los intereses de orden nacional (…) una vez se tena una definición y/0 identificación de los intereses nacionales es necesario entrar a establecer prioridades y sectores económicos y de gobierno involucrados.

COMCEL / TELMEX

05/02/2016

Proponen tabla con 4 variables para Infraestructuras críticas:

- Perdidas económicas - Afectación a personas - Consecuencias medioambientales - Correlación con otros sectores

29/01/2016 29/01/2016

29/01/2016 29/01/2016 29/01/2016 29/01/2016

25¿Qué se entiende por seguridad digital? Pareciese que fuese algo distinto que la seguridad de la información y de la ciber seguridad. ¿El concepto de ciber defensa queda incluido o se trata por aparte?

GECTI

05/02/2016

26 ¿Por qué se cambia a Política Nacional de Seguridad Digital?GECTI 05/02/2016

27Para el desarrollo de la Política Nacional de Seguridad Digital se establecen unos principios fundamentales, que deben ser inquebrantables (…) – ¿No se pueden cambiar o modificar si es del caso?

GECTI

05/02/2016

28

Al hacer revisión de diferentes políticas o estrategias nacionales en torno al tema, se puede concluir que las estrategias nacionales de ciberseguridad y ciberdefensa han evolucionado hacia estrategias nacionales de seguridad digital.

GECTI

¿Basado en qué argumento? 05/02/2016

29queda sin armonizar los elementos de ciber defensa y las labores de monitoreo proactivo de los observatorios de ciber seguridad y ciber delincuencia, los cuales se han venido consolidando en el país.

GECTI

05/02/2016

30 figura 3.3 Lo que ilustra es un sistema de gestión y no de gobierno de la seguridad digital.GECTI 05/02/2016

31 No se habla de la rendición de cuentas del avance del programa a nivel general.GECTI 05/02/2016

32

Establecer un control y normatividad para que ninguna entidad, organización o persona que capta datos personales no pueda traficar con ellos, ej: las entidades se apropian de los datos por defecto, cuando se realiza un trámite aprovechando la letra menuda y la firma de la solicitud, Eso debe ser eliminado de los formularios por los riesgos que esto genera. Algunas compañías de vigilancia para ingresar a conjuntos toman hasta datos biométricos para permitir el ingreso, quien autorizo eso y peor quien responde.

Presidencia

05/02/2016

Crear un mecanismo de formación o carrera en ciberseguridad más formal para los funcionarios de las Presidencia

entidades públicas y su debida estructura en la organización con recursos. Actualmente, en algunas entidades no pasa de ser una buena intención u otra tarea de algún todero. 05/02/2016

33Establecer los estándares mínimos de seguridad y ciberseguridad que debe implementar cualquier Entidad de Gobierno (roadmap), que conduzca por ejemplo a tareas, como mínimo para proteger la infraestructura, los servicios y los datos. Pensemos en un municipio.

Presidencia

05/02/2016

34Establecer un mecanismo de comunicación y colaboración más eficiente entre entidades y especialmente entre los equipos de seguridad, algunas cosas se están tratando superficialmente y no se ve un plan articulado en algunos momentos no vamos más allá de una presentación.

Presidencia

05/02/2016

35Hay que definir políticas de ciberseguridad para compra y contratación de tecnología y desarrollo de software, como criterios de selección y calificación. Las entidades estamos comprando si este tipo de criterios.

Presidencia

05/02/2016

36 Revisar la política del monitoreo para infraestructura a través de sistemas SCADAPresidencia05/02/2016

PARTE: MARCO INSTITUCIONAL

37 ¿Cuáles son las funciones de las instancias que se pretenden crear o modificar? ACDTIC -05/02/2016

38

M1.1 Es necesario determinar con claridad las diferentes funciones de los organismos que pueden hacer de una u otra forma vigilancia de las comunicaciones. En este sentido, debe establecerse la prohibición de usar herramientas tecnológicas que afecten la privacidad de comunicaciones por parte de organismos no facultados para hacerlo.


39A.1.1.1 Consejero Presidencial - ¿Se necesita un nuevo cargo? ¿Qué funciones tendrá? La figura de Consejero no es viable sin antes no darle un marco jurídico para que pueda integrar las distintas entidades.


40

A.1.1.4 Para la creación de esta figura, se requiere la participación del Departamento Administrativo de la Función Pública, quien es el ente competente para estos casos. Por lo tanto, se sugiere que se incorpore al DAFP en este proceso. Por otro lado, para no aumentar más la burocracia, se sugiere que se incorpore que esta figura, la puede desempeñar el Director de TI de las entidades públicas, debido que actualmente son ellos quien están a cargo de estos temas


41 A1.1.5. Centro Criptológico Nacional¿Qué hará este nuevo organismo?


42

A 1.2.5 Fortalecer COLCERT – El enfoque social de la nueva política debería considerar independizar colCERT del Ministerio de Defensa para que pueda responder mejor a las tareas de corte civil que tiene a su cargo. Esto no debe verse como un detrimento del aspecto defensivo de la seguridad digital pues aún se cuenta con el Comando Conjunto Cibernético. En la actualidad no existe una correcta integración del Colcert con otras entidades es el caso de la policía, la Delegatura de Protección de Datos, la rama judicial, entre otras.


PARTE: MECANISMO/ INSTANCIA DE COORDINACIÓN

45

¿Si se realiza el proceso de creación de estas, como es el mecanismo de coordinación?

ACDTIC -05/02/2016

- Comisión Nacional Digital y de la Información Pública

- Grupo de Respuestas Cibernéticas de Colombia - Figura de enlace sectorial en cada ministerio- Centro Criptográfico Nacional

- Centro de Excelencia Nacional de Seguridad Digital

46- Con el fin de fortalecer la capacidad institucional a nivel territorial, se debe crear un mecanismo de articulación con el fin de coadyuvar en las acciones emitidas a nivel nacional en torno al tema de seguridad digital.

ACDTIC -05/02/2016

47- Se debe evaluar la coordinación con un ente territorial (Ej. Alta Consejería Distrital de TIC para Bogotá), el cual sea un agente dinamizador de la política de seguridad digital y sea encargado de armonizar lo definido por el Gobierno Nacional respecto a la misma.

ACDTIC -05/02/2016

48 En el modelo dinámico a crear por el Gobierno Nacional, como se evidenciaría la articulación con los Gobiernos Territoriales, cuál sería el mecanismo de coordinación?

49¿Cómo se integraría el ColCert con el CCP? ASOBANCARIA

05/02/2016¿Cómo se integraría la fiscalía con el CCP?

PARTE: METODOLOGÍA DE GESTIÓN DE RIESGOS .

53Consideran necesario que la metodología haga parte de un estándar , que tenga componentes adicionales, deben existir exigencias mínimas de seguridad en un estándar aplicado por sector y del cual haga parte la metodología de riesgos


54 Sugieren incluir tiempos de aplicación específicos para la aplicación de la metodología, y criterios para el seguimiento de la implementación


55

M1.3 Sobre este aspecto la metodología de riesgo debería partir sobre el enfoque dado en la norma ISO 31000, de acuerdo a riesgos estratégicos y operativos. La metodología ISO 31000, permite en la práctica establecer objetivos, riesgos y controles que pueden ser de mayor aplicación en los distintos actores del gobierno nacional.


56La propuesta metodológica consiste en que a los sectores que cuenten con infraestructura critica se apliquen una misma metodología de riegos que definirá el Gobierno Nacional ( por ejemplo Octave) (…)

COMCEL / TELMEX

05/02/2016 29/01/2016 29/01/2016

PARTE: PROGRAMAS Y PROYECTOS DE EDUCACIÓN

59 Se deberían unificar las Metas 1.4 y 1.5 ACDTIC -05/02/2016

60 Como es la articulación o mediante que mecanismo se coordina el gobierno nacional con los territoriales en estos programas (…) ACDTIC -05/02/2016

PARTE: MARCO REGULATORIO / NORMATIVO

61 Para los territorios: Teniendo en cuenta que a los Gobiernos Territoriales lo norma lo expedido por el ente Nacional, se deben formalizar estos en decretos distritales? ACDTIC -05/02/2016

62

Proponen redacción para M2.1 “(..) y actualizar la ley de inteligencia con aspectos relacionados con la seguridad digital, así como la definición de estándares obligatorios para que sean cumplidos por los actores de interés y ajuste a las leyes existentes o promulgación de nuevas para combatir efectivamente el delito informático”


63

M 2.1 Es preocupante que en este punto se proponga considerar “el cibercrimen


como una amenaza contra la estabilidad del Estado”, ya que de este modo se estaría desconociendo el principio básico de separación de poderes. En efecto, la propuesta atentaría contra la división funcional entre la Policía Nacional y las autoridades judiciales, de un lado, y los organismos de inteligencia y seguridad y las fuerzas armadas (dependientes del Ejecutivo), de otro. La declaración citada autorizaría el tratamiento del crimen y las amenazas a la seguridad nacional como una misma cosa. Por tanto, ese aparte debe desaparecer. Así mismo, debe incluirse la mención al principio fundamental Nº 1 del CONPES.

64

Propuesta Texto M 2.1 -“El Gobierno nacional, en todo caso cumpliendo con el principio fundamental n° 1 (PF1), consistente en “salvaguardar los derechos humanos y los valores fundamentales de los individuos, incluyendo la libertad de expresión, el libre flujo de información, la confidencialidad de la información y las comunicaciones, la protección de los datos personales y la privacidad, así como los principios fundamentales consagrados en la Constitución Política de Colombia” y la ley 1581 de 2012, debe compilar y actualizar la regulación en el sector de TIC teniendo en cuenta aspectos necesarios para la gestión de riesgos de seguridad digital, armonizar la normatividad que permita realizar eficientemente el almacenamiento, la retención y los procedimientos del suministro de información por parte de los proveedores de servicio de Internet en Colombia, y actualizar la ley de inteligencia con aspectos relacionados con la seguridad digital, incluyendo la participación de la comunidad de inteligencia y contrainteligencia.”


65

Propuesta de texto A2.1.2. “Armonizar con los estándares nacionales e internacionales de protección de Derechos Humanos la normatividad que permite realizar el almacenamiento, la retención y los procedimientos del suministro de información por parte de los proveedores de servicio de comunicación en Colombia.”


66

Propuestas para los textos de las acciones A 2.1.3, A 2.1.4, A 2.1.5 - sería recomendable tener en cuenta que no basta con hacer los estudios. Debe ser claro que ellos deben informar las decisiones de reforma de los marcos institucionales y legales para que efectivamente éstos sean compatibles con las exigencias de la protección de la privacidad y de los datos personales así como con los derechos fundamentales


67 A2.1 y A 4.1 – Sobre el marco legal y regulatorio, se recomienda aplicar la metodología de Análisis de Impacto Normativo AIN o RIA

CLARO / TELMEX

02/02/2016

68 Respecto al punto A 2.1.4 Sugieren no adelantar esta actividad por que ya existe normatividad vigente en esta materia.

CLARO / TELMEX

02/02/2016 29/01/2016

La actualización de la ley de inteligencia implica realizar una reforma a la ley estatuaria (…) podría llevar a que el tiempo del CONPES no sea el suficiente para este objetivo (La creación de la ley de inteligencia fue aprobada después de 12 años de procedimiento legal.

PARTE: Concientización y Socialización

70 M3.4 - La seguridad nacional como un valor deseable para toda la ciudadanía no puede limitarse a la seguridad nacional, debe ser redactado nuevamente esto


71

Propuesta Texto M3.4 – “Mecanismos de socialización y concientización tanto de tipologías comunes que afecten la seguridad digital y gestión de riesgos, como del análisis y cumplimiento integral de la política de seguridad digital por parte de las múltiples partes interesadas”


72 Se valora la decisión plasmada en el documento con respecto a fortalecer el conocimiento (…) consideramos pertinente que se formalicen Alianzas Público – Privadas que tengan por objeto

CERTICAMARA – 05/02/2016

la sensibilización y capacitación a la comunidad (…) las entidades privadas que cumplen PARTE: Diagnostico

73 Necesario mencionar las vulnerabilidades que el ciudadano y las amenazas a las que se enfrenta.


Es necesario integrar la forma de investigación de los delitos informáticos en fiscalía y Dijin/Sijin, mediante la creación de grupos especiales que aborden estos casos.


74

PROPUESTA DE TEXTO: “Las revelaciones de posibles abusos de las facultades de vigilancia que se habrían realizado contra negociadores del proceso de paz en la Habana (tanto del gobierno como de la guerrilla de las FARC, periodistas y opositores políticos) en una operación fachada de inteligencia militar llamada “Andrómeda” y la filtración de correos personales del Presidente Juan Manuel Santos, fruto de una intrusión abusiva en su cuenta de correo, fueron el detonante y confirmaron el incremento en incidentes de seguridad digital. Es por eso que, en el mes de febrero de 2014, el Presidente Juan Manuel Santos solicitara la creación de una Comisión de Expertos nacionales de alto nivel liderada por los ministerios de Defensa Nacional, de Justicia y de Tecnologías de la Información y las Comunicaciones, que fueran apoyados por una comisión internacional, con el fin de trabajar en el fortalecimiento de las políticas de Ciberseguridad y Ciberdefensa para el país.”


75Se propone agregar tres problemas en el diagnóstico:


1. Colombia necesita balancear los poderes excepcionales de las diferentes autoridades con controles democráticos adecuados a dichas capacidades (…)

2. La realidad del posconflicto impone el reconocimiento de sujetos y sectores particularmente vulnerables.

3. (…) Plantear una figura asimilable a la de infraestructura crítica para pensar en la protección de estructuras comunicacionales de sectores como el de medios y defensores/as de derechos humanos.

() incentivar el uso de la red de internet e incrementar la confianza en la misma, necesita además de los servicios que prestan las instituciones públicas especializadas en este campo, como el CAI VIRTUAL, CCOC, CCP, entre otras, los de las entidades privadas que desarrollan productos y servicios que mitigan los riesgos en los medios electrónicos, como es el caso de las Entidades Certificadoras Abiertas, que claramente no pertenecen a las instituciones de seguridad (…)


76

3 Respecto al punto 4.3.1., en el cual se pone en evidencia el marco legal y regulatorio de los diversos temas de seguridad digital, se identifican tres errores (…) estos son:


• Ley 1453 de 2011 • Decreto 2364 de 2012 • Decreto 333 de 2014

77

Tabla 4.1. Marco Normativo Nacional: resulta necesario incluir otras normas que no fueron enunciadas y que son determinantes a la hora de garantizar la seguridad digital en el entorno del país


SE SUGIEREN ADICIONES A LA TABLA - Ley 594 de 2000Ley 962 de 2005Ley 1437 de 2011Ley 1474 de 2011Ley 1564 de 2011Ley 1712 de 2014Ley 527 de 1999Decreto 2364 de 2012 Decreto 333 de 2014Decreto 1074 de 2015Decreto ley 019 de 2012

78 Punto 3.4.4 – Infraestructuras críticas: Se recomienda trazar la hoja de ruta de esta actividad identificando las fases. Consideran necesario que

CLARO / TELMEX

05/02/2016

79

En tabla 4.1 haría falta la Ley 1712 de 2014 Sobre transparencia y acceso a la información que impacta las directrices de seguridad de la información y que contrasta con los estándares reconocidos de seguridad de la información, esto es:

GECTI

Para la 1712 – El principio fundamental es la publicidad y mientras para el 27001 es la confidencialidad. 05/02/2016

80En el diagnostico no queda claro por qué es necesaria una modificación al marco normativo actual, consideran que la protección del derecho fundamental de privacidad de datos personales se encuentra suficientemente enmarcado.

LEVEL 305/02/2016 CCIT05/02/2016

PARTE: FORTALECIMIENTO DE CAPACIDADES

29/01/2016 29/01/2016

83Proponen incluir al sector privado que hace parte de la infraestructura critica como responsables de garantizar la seguridad nacional en el entorno digital y por tanto su debida capacitación


84

A 3.2.1. – A 4.2.1. - El fortalecimiento de las capacidades de organismos de seguridad e inteligencia necesariamente tiene que venir acompañado del fortalecimiento de los controles a esas entidades para prevenir los abusos cuya ausencia fue notada en la parte de Antecedentes y con la obligación de que las facultades o acciones con que se fortalezcan se acompañen de un análisis de riesgo que permita establecer las posibles afectaciones a derechos humanos con el fin de mitigarlas apropiadamente (mediante disposiciones equivalentes como controles)


PARTE: INTRODUCCIÓN

85

Propuesta de Texto para el resumen ejecutivo: INTEL

“El crecimiento del uso masivo de las Tecnologías de la Información y las Comunicaciones (TIC) en Colombia, así como el incremento de los servicios disponibles en línea y la creciente participación de la sociedad en actividades económicas y sociales en el entorno digital han transformado la vida de todos y cada uno de los Colombianos, sin embargo el uso del entorno digital acarrea riesgos inherentes de seguridad digital que deben ser gestionados. En tan sólo un mes (con corte al 5 de Febrero de 2016), la unidad de servicios de consultoría para la respuesta a incidentes de Intel Security conocida como Foundstone monitoreó un total de 47 incidentes críticos de seguridad digital en Colombia, ubicándose en el cuarto lugar entre los países de Latinoamérica durante este periodo de tiempo”

05/02/2016

86 Actualizar el texto que acompaña la figura 2.20 asi: INTEL

“ a partir de información provista por Foundstone, unidad de servicios de consultoría agnóstica en seguridad de Intel Security, y con base en sus servicios de Ciber Inteligencia, indica que desde la puesta en operación de los mismos en el año 2000 y hasta el día 5 de Febrero de 2016 en los Estados Unidos se han detectado un total de 604.608 incidentes y en Brasil 77.522, mientras que en Colombia se detectaron 8.136 incidentes de seguridad.”

05/02/2015

87

Sugieren incluir más documentación de referencia: PROPUESTA DE REFERENCIAS A INCLUIR:


● Relator Especial para la Libertad de Expresión de la Comisión Interamericana de Derechos Humanos de la OEA. Comunicado de prensa sobre la adquisición e implementación de programas de vigilancia por parte de Estados del hemisferio (21 de julio de 2015).

● Declaración conjunta de las relatorías para Libertad de Expresión de la ONU y la OEA sobre programas de vigilancia y su impacto en la libertad de expresión.

● CIDH. Informe sobre Terrorismo y Derechos Humanos de la Comisión Interamericana de Derechos Humanos. OEA/Ser.L/V/ll.116 Doc. 5 rev. 1 corr. 22 de octubre de 2002.

● Naciones Unidas. Asamblea General. Informe del Relator Especial sobre la promoción y protección del derecho a la libertad de opinión y expresión, Frank La Rue. A/HRC/23/40. 17 de abril de 2013.

● CIDH. Informe Anual 2013. Informe de la Relatoría Especial para la Libertad de Expresión. Capítulo IV (Libertad de Expresión e Internet). OEA/Ser.L/V/II.149. Doc. 50. 31 de diciembre de 2013

● Declaración conjunta sobre libertad de expresión e internet de las relatorías para la

libertad de expresión de la ONU, OSCE, OEA y CADHP. Ver.

● Naciones Unidas. Informe del Alto Comisionado de las Naciones Unidas para los

Derechos Humanos El Derecho a la Privacidad en la Era Digital. A/HRC/27/37. 30 de junio de 2014.

● Naciones Unidas, Consejo de Derechos Humanos. Principios Rectores Sobre las

Empresas y los Derechos Humanos. 2011.● European Union Agency for Network and

Information Security (ENISA). (2014, 27 de noviembre). An evaluation framework for

cybersecurity strategies4.

PARTE: INFRAESTRUCTURAS CRITICAS

88

Modificar A4.2.2: Crear el Centro Nacional de Protección y Defensa de Infraestructura Critica Nacional liderado por el CCOC y los Centros de Operaciones cibernéticas de las Fuerzas Militares, quienes en ejercicio de sus funciones ejecutarán acciones con base en las recomendaciones de los comités sectoriales para infraestructura crítica.

INTEL

89

Modificar A4.2.3 así: Conformar comités sectoriales con representantes de gobierno y sector privado, para identificar, revisar y realizar recomendaciones sobre la Infraestructura Crítica Nacional con un enfoque de gestión de riesgos de seguridad digital y actualizarlo periódicamente. Por lo menos, los sectores que deben trabajarse son: Acueducto, Defensa, Energía, Financiero, Transporte y Telecomunicaciones.

INTEL

90

Colombia debe adoptar un marco de referencia en Ciberseguridad sólido y basado en marcos de referencia internacionales bien conocidos y maduros, esta adopción no se puede ver desde un punto de vista de estricto cumplimiento, ya que se deberá adaptar a la cultura y necesidades nacionales tanto de gobierno como de las entidades públicas y privadas que son actores en cada uno de los sectores de infraestructuras críticas, un excelente marco de referencia a adoptar puede ser el Cybersecurity Framework del NIST, el cual está basado en COBIT v5 y es utilizado por el Gobierno de Estados Unidos, Intel mismo participo en su desarrollo y utiliza este marco de referencia para la protección de sus infraestructuras criticas http://www.intel.com/content/www/us/en/government/cybersecurity-framework-in-action-use-case-brief.html, este marco se alinea con diferentes estándares de seguridad internacionales por sector que aplique a nuestro país, como por ejemplo:

INTEL

Chemical Sector, Dams Sector, Financial Services Sector, Commercial Facilities Sector, Defense Industrial Base Sector, Food and Agriculture Sector,

Communications Sector, Emergency Services Sector,

Government Facilities Sector, Critical Infrastructuring Sector, Energy Sector, Healthcare and Public Health (HPH) Sector, Water and Wastewater Systems Sector, Nuclear Reactors, Materials, and Waste Sector, Education Sector, Transportation Systems Sector.

PARTE: ANTECEDENTES Y JUSTIFICACIÓN

91

Incluir reportes sobre los casos de


ataques y constantes violaciones a la seguridad digital de sectores de la sociedad

colombiana, casos de interceptaciones indebidas, hurto de dispositivos a periodistas (…), según cifras de la Fundación para la Libertad de Prensa, tanto en 2015 como en 2014 se registraron 6 casos de agresiones contra periodistas en entornos digitales. Por otro lado, según esa misma organización, en el 2014 se presentaron 15 reportes de duplicaciones de cuentas en redes sociales con el fin de atacar la reputación de personas que ejercen el oficio periodístico.

92 Incluir en antecedentes la necesidad de actualizar la ley 1273 de 2009 pues no es suficiente para el hurto informático y la transferencia no consentida de activos.


93Dentro de los antecedentes se debe reflejar que algunos estamentos del Estado han tenido injerencias ilegítimas en la intimidad de las comunicaciones de algunos sectores de la sociedad en particular con los periodistas.


94

es prioritario asignar responsabilidades claras a las empresas, debido al manejo de grandes cantidades de información personal de las personas consumidoras (la ciudadanía) (…) Fundación Karisma,

Fundación para la Libertad de Prensa , Comisión Colombiana de Juristas - 05/02/2016 las medidas combativas para reducir el riesgo de ocurrencia de un delito, no sea el menoscabo

de derechos y libertades de las personas.

PARTE: DEFINICIÓN DE LA POLÍTICA, OBJETIVOS, PRINCIPIOS, DIMENSIONES

29/01/2016 29/01/2016

97El numeral 5.1.1 PF3 – Menciona las responsabilidades compartidas mas no menciona quienes deben compartir dicha responsabilidad ni cuál es la responsabilidad compartida, sugieren eliminar este principio fundamental

CLARO /TELMEX

05/02/2016

98

Más que un objetivo general, pareciera uno instrumental (específico) (…). El texto parece sugerir que la política es de aplicación exclusiva a las personas nacionales colombianas, dejando de lado a sinnúmero de personas extranjeras que residen y trabajan, inclusive comercian, en el territorio nacional. Por lo tanto, se sugiere que a lo largo del documento, en lugar de hablar de colombianos, se utilice una acepción más amplia como ciudadanía.


99

Propuesta de texto Objetivo Central: “La política nacional de seguridad digital tiene como objetivo lograr un entorno digital colombiano libre, abierto, seguro, confiable e inclusivo con el concurso de todas las partes interesadas: el Gobierno Nacional y los territoriales, las organizaciones públicas y privadas, la academia, la comunidad técnica, y la sociedad civil. Internet en Colombia deberá ser un espacio para el libre ejercicio de los derechos de la ciudadanía y para el crecimiento de la economía nacional que maximice los beneficios obtenidos de una mayor prosperidad económica, política y social del país a través del fortalecimiento de las capacidades de todas las partes interesadas, según corresponda, para identificar, gestionar y mitigar los riesgos de las actividades digitales.”


100PF1 - No es claro lo que se entiende por “valores fundamentales”. Se debe enfocar la política en los derechos humanos y si se desea, se deben describir los valores fundamentales a los que se refieren, sobre todo, si estos se desarrollan en contextos y diagnóstico ya descritos.


101

Propuesta Texto PF1 - “Mantener un Internet libre, abierto, seguro e inclusivo salvaguardando los derechos humanos de las personas, protegiendo especialmente la libertad de expresión, el derecho a la información, el de la intimidad, el habeas data y la protección de datos, y promoviendo los valores democráticos y del Estado de Derecho. En caso de limitación a estos derechos, debe ser bajo medidas excepcionales y estar conforme con la Constitución Política y los estándares internacionales aplicables. Estas medidas, deben ser proporcionales, necesarias y en un marco de legalidad.”


102

PF2 - Proponemos ajustar el texto para corregir la traducción del inglés de “multistakeholder” por el término “múltiples partes interesadas”, no “actores interesados” como aparece. Además, se debe incluir a la comunidad técnica como una parte actora dentro de esta propuesta. En general, en todos los apartes del documento en los que aparecen “actores de interés” debe hablarse de “múltiples partes interesadas


103

Propuesta Texto PF2 – “Adoptar un enfoque incluyente y colaborativo que involucre activamente a todas las partes interesadas en la seguridad digital del país y de sus habitantes, lo que incluye al Gobierno Nacional, los entes territoriales, las organizaciones públicas y privadas, la academia, la comunidad técnica y la sociedad civil, y que permita establecer condiciones para el desarrollo eficiente de alianzas, con el fin de promover la seguridad digital en el país”


104Texto DE2 - La gobernanza, como se desprende del documento CONPES, no tiene que ver con el modelo multistakeholder –de múltiples partes interesadas– que viene funcionando en Internet. La redacción debe reflejar el espíritu de este modelo.


105Propuesta Texto DE2 – “Gobernanza del entorno digital: articulación y armonización de las múltiples partes interesadas a través del estímulo a su participación, con el fin de gestionar la seguridad digital.”


106

Texto DE4 – Para desarrollar efectivamente la llamada “cultura ciudadana para la seguridad digital”, el Estado debe contribuir a través de la construcción de capacidades entre todos las partes interesadas, pero, sobre todo, en la sociedad civil, en la comunidad técnica que defienda sus intereses y en los funcionarios del Estado que deben protegerlos.


107

Propuesta texto DE4 – “Cultura ciudadana para la seguridad digital: sensibilización y construcción de capacidades de todas las partes interesadas, especialmente de la sociedad civil, de la comunidad técnica y de los funcionarios públicos, para crear y fomentar una cultura ciudadana responsable en la seguridad digital”


108

Objetivo Central: Esta es una declaración más administrativa y ejecutiva que una proposición de acción sobre temáticas relevantes. Su lectura está hecha para los directivos y no para el público en general que no espera discursos, sino acciones que le permitan creer en el ejercicio de aseguramiento del contexto digital que el gobierno desea hacer.

GECTI

29/01/2016

109Los principios fundamentales, carecen de una visión sistémica y holística. Están fundados en la gestión y busque de certezas, mientras es claro que el entorno es volátil, incierto, complejo y ambiguo

GECTI

29/01/2016

110 sugiere un quinto principio que verse de la siguiente forma: GECTI

Promover una vista sistémica de la seguridad digital, que, entendiendo el ecosistema tecnológico de la nación, permita asumir la inestabilidad e incertidumbre del entorno, como insumo estratégico para aumentar la capacidad de resiliencia nacional frente a eventos no deseados o imprevistos que comprometan la gobernabilidad del país.

29/01/2016

PARTE: GLOSARIO

111 Incluir: Dato personal, Titular:, Datos sensibles, Tratamiento de datos sensibles.


112 No se define en el glosario Infraestructura Critica.LEVEL 305/02/2016

113

“Propuesta definición IC: Corresponde a aquella infraestructura conformada por las redes, sistemas y activos físicos o virtuales cuya afectación, corte o destrucción generaría consecuencias negativas mayores en la seguridad, salud y bienestar económico de los ciudadanos o la perdida de gobernabilidad en tan solo poco minutos.”

LEVEL 305/02/2016 CCIT 05/02/2016

A continuación hacemos una reconstrucción de los temas tratados en la las mesas de trabajo realizadas del 26 al 28 de enero de 2016, las cuales contaron con la participación del sector privado, gobierno, sociedad civil, industria y academia, a continuación presentamos las conclusiones de cada una de las mesas de trabajo.

DESARROLLO DE LA REUNIÓN (AYUDAS DE MEMORIA)

1. SECTOR PRIVADOComentarios generales

Importante experiencia como sector: el sector financiero ofrece ayuda en temas de seguridad digital y ser los gestores en la implementación del CONPES.

Financiación de grupos y capacitación: Asobancaria ofrece capacitación para fiscales y delegados en delitos informáticos y educación en incidentes de seguridad.

Proporcionalidad: que las cargas sean por impacto del sector, lo anterior para que sea un equipo de trabajo bajo alianzas público privadas, buscando equilibrar responsabilidades, obligaciones y acciones.

Plan educativo y de implementación: la política nacional se debe desarrollar bajo un plan para seguimiento de la misma, que tenga una clasificación, caracterización y un modelo de plan educativo y aplicación, por ejemplo con una certificación, para el sector privado

Apoyo del Gobierno: que haría el gobierno para apoyar el sector privado en la implementación de la política pública en seguridad digital.

Normatividad: El gobierno tendrá implementación de regulación para fortalecer la judicialización del cibercriminal?.

Incentivo tributario: tener incentivos para implementar seguridad y que sea Cantidad de información y experiencia: Intercambio de capacidades entre los diferentes sectores –

garantizando que no implique más cargas para la entidad que comparte la información, así como asegurando la no exposición de los mismos. Que la regulación no impacte al compartir experiencias. Pasar de gestión de reportes a gestión del conocimiento

Tratamiento de información: Integración para el manejo del delito informático financiero. En el intercambio de información se impide compartir datos de los clientes, en el momento de compartir datos entre entres judiciales y sector financiero, pero ¿qué hace el ente judicial con esa información?.

Articular esfuerzos: convenios entre agremiaciones para articular esfuerzos con los gremios para crear programas planes en temas de seguridad digital y sean implementados en los mismos.

Los medios de comunicación: el papel de los medio de comunicación para la construcción de la seguridad digital. Los líderes de opinión deben ser capacitados para evitar la desinformación de los temas relacionados con la seguridad digital.

Socialización: estrategias de marketing y mercadeo para informar el CONPES a la ciudadanía evitando la desinformación o publicidad engañosa sobre el CONPES

Comentarios Específicos:

Comunicación de responsabilidades de cada sector: gran parte el sector privado desconoce el CONPES, se solicita establecer qué se entiende por responsabilidad para el sector privado, en que se traduce dicha responsabilidad. Hasta donde es el alcance regulatorio? Se debe establecer un punto de equilibrio.

Gestión del Riesgo: o implica proveedores, normativa, educación; la gestión de riesgo sola genera desgastes por tiempo al

implementar planes de riesgos. En Caja Social, crearon un estándar y el principal punto es proveedor, se hacen solicitudes al proveedor según su objetivo del negocio.

o Con la metodología de riesgos estandarizar temas para grupos o sectores.o No se puede garantizar la seguridad en el dispositivo final innovación – se consideren estrategias para

proteger el dispositivo final del ciudadano - Estándar australiano. Para revisar Posconflicto: después de la firma de la paz qué impacto tendrá en el entorno digital y que apoyo se puede

prestar (formación de nuevos ciudadanos, infraestructura de telecomunicaciones y acceder a todos los servicios digitales y demostrar que se están educando para permitir la inclusión de los ciudadanos de los grupos armados – seguimiento y evolución de integración a la sociedad)

2. SECTOR GOBIERNOComentarios Generales:

Articulación hacia los territorios: Mecanismos de articulación desde lo nacional a lo territorial – guía clara, para establecimiento de protocolos – actores – herramientas – recursos en referencia con el establecimiento del oficial de seguridad en cada entidad.

Intercambio seguro de información: Definición concreta para la transferencia o intercambio seguro de información nacional e información internacional

Protección de datos: Se resalta la importancia de lo señalado en la meta A2.1.4 que especifica la realización de un estudio sobre el tema de Datos personales que permita generar recomendaciones al respecto.

Revisar el Decreto 886: Decreto reglamentario de la 1581, en cuanto al tema de reporte de incidentes, establecido en la Ley 1581 en los artículos 17 y 18 como deberes de los Responsables y Encargados del Tratamiento de Datos Personales. Tener en cuenta que Mediante la circular externa 02 de 2015 de la SIC se habilitó el Registro Nacional de Bases de Datos y dentro de la información que en este se registra se incluyó el reporte de incidentes.

Recursos para educación: Justificar recursos educativos sobre seguridad digital hacia la necesidad de la misma.

Fomento de la Confianza: Cómo fomentar apropiación y recuperar la confianza del ciudadano a nivel de seguridad en los medios electrónicos?

Seguridad y Continuidad: Mantener seguridad y continuidad del personal encargado de la seguridad en las entidades, una persona que cumpla con ciertos requisitos, una persona independiente de las áreas de TI que sea una figura estratégica de seguridad dependiente de la Dirección.

Revisar los cargos de oficiales: qué cargos ya se tienen establecidos (por ejemplo - oficial de cumplimiento, antifraude, si existe un oficial de protección de datos personales) para que puedan hacerse cargo de los asuntos estratégicos de seguridad de la información en las diferentes entidades.

Los compromisos: desde la Presidencia y el Distrito se comprometen a impulsar y articular como cabezas en la Nación.

Protección de los datos personales: Desde la Superintendencia de Industria y Comercio – Delegatura para la Protección de Datos Personales, la forma como puede impulsar la política, está relacionada con la función de vigilancia del cumplimiento de la Normatividad – igualmente impulsar desde sus funciones todo lo relacionado con protección de datos personales.

Budapest: Cancillería propone, avanzar más rápido en temas de Budapest, mayor apoyo de las entidades en el desarrollo de la documentación necesaria.

Manejo efectivo del riesgo: Alineación de los riesgos para que sea un tema no solo de cumplimiento. Figura interna de responsable - estructurarlo de una forma que sea adoptado de una manera adecuada. Personal capacitado: Aportar más en temas de formación para poder tener personal calificado, no solo para

funcionarios, incluir contratistas. Revisar la creación de Csirt sectoriales – con acciones más pequeñas se puede impulsar el tema de

seguridad para que haya apoyo en las entidades. Los responsables de seguridad: No asignar actividades funcionales al responsable de seguridad. Estrategias para las Entidades: Elaborar una estrategia para pruebas de vulnerabilidades a las entidades.


En Cooperación: se debe ampliar hacia el tema político, tener en cuenta temas de la CELAC, participación en escenarios internacionales, resaltar ese componente político desde cancillería. Revisar el término de Ciberdiplomacia. – Cancillería ayudará a proponer un texto para completar el tema de cooperación y política.

Articulación en temas de gestión de riesgos: guía para riesgos de seguridad unificando temas de seguridad informática, de información, digital, tecnológica. – orientando todo hacia la construcción de una guía nacional de riesgos.

Un nuevo propósito: Dirigir el fortalecimiento “de propósito” de la estrategia en tic confío hacia el tema de para qué proteger y porqué es importante.

Fortalecimiento de la institucionalidad: se remite a voluntad política para asignación de recursos. Crear la necesidad de la institucionalidad y dar a conocer las capacidades que se tienen.

Se solicita: Revisar el documento cuando se habla del tema de “protección de datos” pues no se hace referencia a datos personales, establecer dónde se refiere a estos en cada punto.

Capacitación especializada: Capacitación para jueces y fiscales. Viabilidad Técnica: Análisis técnico de viabilidad de creación de centros de excelencia y observatorios. Dirección Desarrollo del Derecho y del Ordenamiento Jurídico: Tener en cuenta la Dirección Desarrollo

del Derecho y del Ordenamiento Jurídico dirección de Minjusticia – para que sea el coordinador de los temas de armonización normativa.

Establecer el framework o mapa de integración y de interacción de las entidades que hacen parte del nuevo CONPES de seguridad digital, teniendo en cuenta roles y responsabilidades y funciones de cada una de las entidades.

Fortalecimiento de capacidades: Todas las acciones que sean de fortalecimiento se deben especificar el alcance y deben ser recogidas en una sola.

Creación de Observatorios: Todas aquellas actividades que sean de creación de centros y observatorios deben estar soportadas con un estudio el cual permita establecer cuales centros y observatorios de los que están creados tiene injerencia en los temas de ciberseguridad y ciberdefensa a través de un estudio técnico de viabilidad de centros de capacidad especializada.

Derechos fundamentales: Se debe revisar la constitucionalidad de la norma para que no promueva los conflictos entre la defensa nacional y el respeto de los derechos fundamentales.

Cambios de forma: se debe suprimir la capacidad normativa por marco normativo.

3. SECTOR SOCIEDAD CIVILComentarios Generales:

Información de los operadores: Existe la preocupación respecto a la publicación de toda la red de datos de comunicaciones de los operadores, teniendo en cuenta que esa información debe ser guardada con protocolos de confidencialidad toda vez que ellos hacen parte de las infraestructuras criticas del país.

Terminales móviles: Luchar contra las bandas criminales que modifican los IMEI de los dispositivos móviles, judicializando y fortaleciendo las penas por este tipo de delitos.

Los IXP: Importante lo que busca promover la CRC, permitir la conexión a los IXP, que no solo exista el NAP Colombia. Armonía con las consultas de la CRC en el acceso a internet – que en Colombia existan más IXP mas NAP.

Internet de las cosas: Debe ser de especial importancia la gestión de riesgos en el internet de las cosas, teniendo en cuenta las tendencias tecnológicas y los riesgos que estas traen consigo.

Aseguramiento Dispositivos móviles y terminales de usuario: Realizar una política para el tema de aseguramiento de dispositivos móviles y terminales de los usuarios.

Cadena de suministro: Los productos para la defensa de la soberanía debe ser desarrollados dentro del territorio colombiano y no depender de los demás.

Tratamiento de datos: Los estados usan de forma abusiva los datos de los ciudadanos. Diagnóstico de redes: para conocer la infraestructura crítica nacional entre mintic y crc. El riesgo de filtrado

y ex filtración de información en las redes de datos Generación de confianza: No se generan confianzas para otras instancias, tener bien definidas las

funciones y límites de cada instancia creada. Deep Web: El tema de gobernanza en la Deep web – responsabilidades de la industria al desmonte de

contenidos que ya son evidenciados como ilegales. Mecanismos de denuncia: Fortalecer los mecanismo y rutas de denuncias ciudadanas permitiendo

fortalecer la denuncia. Alfabetización: Incluir una acción de Alfabetización en seguridad digital y cifrado Compartir documentación y Conocimiento en la red: se alerta sobre la preocupación por las personas que

comparten documentos y conocimiento. Hacking Ético: Las personas que explotan vulnerabilidad para mostrar debilidades no deberían ser tratados

como delincuentes Lenguaje del Conpes: Minimizar el lenguaje técnico en el desarrollo del conpes


Derechos Humanos: Se debe tener el tema de derechos humanos dentro del contexto de la seguridad digital.

Capacitación para la administración de justicia: La capacitación en la administración de justicia debe ser ejemplar y debe contemplarse en el marco del CONPES

Enfoque de privacidad de los datos personales –los temas de seguridad nacional están siendo invasivos con la sociedad civil. Las poblaciones vulnerables deberían ser tenidas en cuenta, desmovilizados, victimas, debería existir una diferenciación en las acciones con respecto a este tipo de personas.

Protección de los datos personales: se ve necesario que continúe el enfoque de protección de los datos personales de los usuarios, pues por ejemplo, por ciberdefensa se siguen requiriendo los datos de los usuarios como por ejemplo ubicación del celular y la altura.

No solo para Ciudadanos Colombianos en EEUU no se protege a los extranjeros el CONPES está cometiendo el mismo error y debería contemplarse los intereses de todas las personas.

El termino multistakeholder: el mejor término de uso es múltiples partes interesadas. Lo Social: Mejoras en el contexto de estadísticas colombianas, falta agregar y que sea más visible el tema

de social en el Conpes, temas de víctimas de la violencia, Garantías: debe aparecer el estado y actores del estado que usan en forma abusiva las facultades que

tienen en el manejo de tecnología. Análisis de uso de las TIC por los diferentes sectores: Falta de análisis de otros sectores sociales – como

fuente para el análisis de desconfianza para el uso de las TIC Estadísticas -Colcert: La función del colcert coordinador de los csirt que existan en el país, no existen

reportes de agresiones a la sociedad civil ej: periodistas – crear una figura para denunciar el mal uso de las tic y que se usan en contra de la sociedad civil

Disposición en la participación: para garantizar que la participación sea de múltiples partes interesadas debería estar en igualdad de condiciones con el gobierno – pero el gobierno solo debería ser el encargado de convocar – espacios más horizontales para el desarrollo de actividades de seguridad digital y el análisis de necesidades

Observatorio del laboratorio de los derechos humanos Capacitación Judicial: Capacitación a jueces no solo enfocada a lo técnico sino también a los derechos

fundamentales en el juzgamiento de un incidente digital. Posconflicto: no se ven reflejados los ajustes institucionales para el periodo de pos conflicto.

Marco normativo: está muy enfocado a temas económicos, falta libertad de expresión, derecho a la privacidad.

Derechos humanos: falta un desarrollo más concreto de ese principio, libertad de expresión, acceso a la información para que sea más claro y no sea tomado de manera ambigua

La libertad de expresión: en el entorno digital es clave, no se encontró temas de ley de 1581 y habeas data y el compromiso de las empresas con respecto a la protección de los datos

Mayor robustez en el glosario: – para evitar ambigüedades faltan definiciones como ciberterrorismo, incidente, cibercrimen,

Datos sensibles e Inteligencia: El tema de los datos sensibles por parte de inteligencia y los metadatos deben ser protegidos

Marco legal internacional: es tener en cuente el informe de derecho a la privacidad en la era digital Infancia y Adolescencia: Enfoque diferencial entre infancia y adolescencia mecanismos de protección,

modelo mundial de wiprotect para protección del menor – capacitación para los menores de edad, código de infancia y adolescencia y las autoridades deben ser capacidades – no se cuenta con cifras adecuadas y unificadas

Enfoque de género: Incluir el enfoque de género, buscando cifras que generen diferencia entre el uso de tic por géneros.

Retención de datos: Acción concreta sobre el régimen de retención de datos en internet Espacios de participación: Generar un espacio en el que puedan estar todos los sectores para la discusión

del Conpes. Revisar: Se debe verificar si la palabra coordinado o coordinador esta explicita en alguna de las acciones

4. SECTOR INDUSTRIA TIComentarios Generales:

Teletrabajo: Establecer dentro del pacto de teletrabajo las condiciones mínimas para poder realizar las actividades propias de este, que incluya los temas mínimos de seguridad digital, de igual manera se debe regular a las TELCOS para que garanticen mínimos de seguridad en sus dispositivos como parte de responsabilidad compartida.

Las TELCOS: no están garantizando en sus dispositivos de internet los requisitos mínimos de seguridad, de igual forma se pueden utilizar como canal de difusión de buenas prácticas de cultura de seguridad para ciudadanos.

Educación en la niñez: Fortalecer los temas de educación a la niñez.

Plazos de cumplimiento: Revisar muy bien los tiempos definidos como, cortos medianos y largos dentro del plan de acción.

Obsolescencia tecnología: no se ve una referencia a políticas técnicas sobre los componentes tecnológicas para que se tomen decisiones en conjunto y tener en cuenta los temas tecnológicos (ej. obsolescencia). Metodología para la gestión de riesgo. – meta definir: rangos de obsolescencia tecnología a nivel país – depreciación tecnológica.

Estudiar y evaluar mapa de riesgos: ¿Vale la pena volver a construir un marco metodológico? o ES MEJOR hacer una revisión de lo que ya se tiene y buscar una integración, no diseñar adoptar y adaptar una metodología par. Aportar una visión nacional, lineamientos para establecer el mapa de riesgos. Diseñar tomando como base los casos que ya existen para poder adoptar mitigando. No se ve el tema de formalización cómo se materializa.

Enfoque incluyente: Empresas que ya están en marcha y los nuevos, se debe tener esa caracterización de la definición de la metodología de riesgos, integrar antes de la etapa de diseñar para poder ver el panorama completo en los diferentes sectores.

Cooperación: A nivel estratégico si queremos hablar de escenarios de cooperación Con sentido de responsabilidad se debe exigir realimentación y se debe hablar de estadísticas en términos de incidentes y seguridad digital.

Nuevos servicios: tener en cuenta nuevos operadores con nuevos servicios (OTT´s), buscar como armonizar o si tiene la conveniencia de incluirlo dentro del documento. Sector TIC Establecer: Nodo de innovación de ciberseguridad política publica

Impulso: Clusterizar a nivel nacional el tema de seguridad digital – que este en la línea de acción. Estandarización: Estandarización de controles para implementar seguridad de la información en las

entidades del gobierno. Ciudadano: los servicios de tecnología espacialmente TV todo tiende a ser APP- tener una plataforma de

gestor de seguridad en aplicaciones – sellos de seguridad en las entidades. Actualización tecnológica: Política de actualización tecnológica para todas las entidades. Alianzas público privadas: No es claro la promoción de alianzas público privadas para compartir

información para la gestión de riesgos digitales Presupuesto: existe una etapa para tratar el presupuesto de inversión del Conpes y si el monto no es

suficiente?, como podrían aportar los demás sectores?.


Infraestructuras críticas: el tema es demasiado tímido en la parte de redacción del documento, como acción se debería crear la ley específica regulatoria de infraestructuras críticas que incluya un reporte obligatorio de incidentes (Con las previsiones respectivas de confidencialidad, privacidad, entre otros aspectos).

o Se debe verificar si el reporte obligatorio de incidentes debe ser solo para las empresas de infraestructuras críticas o se debe hacer extensivo a otros sectores o entidades.

Definición de funciones: Más que la creación de agencias, se debe propender por definir funciones claras para las entidades que ya están creadas y de esto depende la creación de nuevos centros.

Consejero presidencial: Se ratifica la creación del cargo del consejero presidencial para la seguridad digital. Modelo de evaluación: se debe establecer a nivel macro, para que permita tomar decisiones en tiempo real,

respecto a la seguridad digital. Mecanismo de seguimiento: construir un instrumento, y definir quién haría la supervisión del plan ya que

dentro del cuerpo del instrumento no se refleja cómo se va a ejecutar y cómo se va a medir el mismo, esperando encontrar una responsabilidad de quien va a hacer un seguimiento.

Guias metodologicas de gestion de riesgo: En todas las guías metodológicas se deben ingresar todos los sectores (1.3.4), – redactar diseñar y tramitar una metodología de gestión del riesgo de seguridad Digital, recogiendo varias guías dirigida a todos los actores de interés.

Infraestructuras críticas: Especificar los temas de cómo ha sido el trabajo para infraestructuras críticas porque no todos los participantes conocen el trabajo de los últimos años. Ampliar la participación y socialización del trabajo realizado. Cuál sería la parte normativa para infraestructuras críticas. Participación evaluación del mecanismo regulatorio que regulará la IC.

Socialización y concientización: integrar todo en un programa para la higiene digital, revisar la redacción de ésta meta, así como la redacción de las acciones ya que se pueden recoger en el programa de socialización con toda la infraestructura para que todo lo que se haga se socialice debidamente.

Regulación – Garantizar: se sugiere revisar si es el verbo correcto para usar en este caso Panorama económico 2015: En el documento en el tema económico, revisar los estudios de referencia para

actualizarlos a lo que ha pasado en 2015 para revisar las proyecciones. Gobernanza: - Institucionalización – finalidades en concreto de las instituciones para el manejo de la

seguridad digital en Colombia – hasta donde llegan los roles y responsabilidades de entidades.

Regulación: La exigencia de implementación de regulación para las entidades no debe ser una barrera para el desarrollo de la economía digital.

5. Sector AcademiaComentarios Generales:

Se busca mantener el margen de discreción y privacidad de la información …

Capacitación: Tipos de convocatorias en capacitación en seguridad digital y caracterización de las personas capacitadas.

Ministerio del Trabajo: no se incluye al ministerio de trabajo como sector principal en temas de capacitación ya que este es vital para capacitar funcionarios.

Libertad de expresión: Una preocupación del sector de la academia es la libertad de expresión Ley de Inteligencia: actualizar la ley de inteligencia y aclarar cómo se integran el Conpes para darle mayor

relevancia ya que se encuentra muy enfocado hacia la prosperidad económica Principios Orientadores: Crear una política de Principios orientadores en seguridad digital para los

ciudadanos y que sean apropiados por la continua evolución de la tecnología. Adaptación del lenguaje: Exploración de palabras en español adoptadas al lenguaje colombiano para

generar mayor apropiación Entes de control: Armonizar los entes control con las entidades vigiladas en temas de seguridad digital

(evitar las cargar normativas y capacitación en las normas) Estudio de necesidad: Identificar que estándares serán requeridos para crear programas de educación en

seguridad de la información (evitar la mercantilización).

Modelo de gestión de riesgos: Como se puede plantear el modelo de gestión de riesgos, teniendo en cuenta la evolución tecnológica.

La cultura: La cultura de la seguridad es muy importante y se deben involucrar a las grandes superficies, que se preocupen por formar a los directivos de las entidades, pues de la conciencia de ellos depende que se realice una correcta implementación de seguridad.

Mecanismos para garantizar cumplimiento: Cuáles son los mecanismos con los que se cuentan para garantizar que las instituciones cumplan con lo que se establezca en el documento CONPES.

Revisar el marco actual: teniendo en cuenta la parte de mercadeo y profiling, con un proceso de autorregulación.

Comentarios específicos:

Derechos Fundamentales: Qué criterios darán la garantía que los derechos fundamentales serán protegidos y tenidos en cuenta en el documento al momento de publicar la política y durante la implementación.

Derechos Fundamentales: A nivel de derechos y valores fundamentales se debe hacer explicita afectación de la intimidad de los individuos.

Regulación transfronteriza: Falta Regulación para la información que se encuentran en bases de datos en otros países

Protección de datos personales: La normatividad en protección de datos es muy joven y no es lo suficiente madura para garantizar la protección de la información.

Gobernanza: Identificar quienes velan por la articulación de la seguridad digital del país (). Apropiación: el Carácter pedagógico de la propuesta es muy tradicionalista se debe Incluir la palabra

apropiación que apoye la alfabetización y la capacitación ya que ya que la tecnología se debe apropiar y la seguridad digital debe ser apropiada por los ciudadanos.

Uso de la tecnología: El termino de sociedad transformada a través de la tecnología, debe utilizarse para el desarrollo del CONPES teniendo en cuenta que el impacto económico y social se puede materializar a través del uso inadecuado de la tecnología.

Cursos de formación: Se debe corregir la forma de redacción en la parte de los programas de formación, donde la parte de gestión de riesgos debe tenerse en cuenta en el diseño de los programas de formación. El esquema cultural debe tener diseños dependiendo el público objetivo para el cual se va a diseñar los cursos de formación.

EnTICconfio Corporativo: desarrollar una estrategia para llegar a los altos directivos, que sea impactante en temas de seguridad.

Government & Nonprofit

Socialización de la Política Nacional de Ciencia, Tecnología e Innovación