Taller 1. Seguridad y Privacidad de la Información Diciembre 2017 Políticas Roles y Responsabilidades Diciembre 2017 Agenda 1. Modelo de Seguridad y Privacidad de la Información 2. Política General de Seguridad 3. Política de Privacidad 4. Políticas Específicas 5. Roles y Responsabilidades 6. Taller Modelo de Seguridad y Privacidad de la información Composición Documento Seguridad y Maestro privacidad de la información INSTRUMENTOS 21 GUÍAS http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html Modelo de Seguridad y Privacidad de la información Enfoque a través del ciclo D+PHVA http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html Modelo de Seguridad y Privacidad de la información Guías de trabajo 21 Documentos Metodológica de pruebas de efectividad Continuidad de TI Análisis de Impacto de Negocios (BIA) Transición de IPV4 a IPv6 para Colombia Política general MSPI v1 Indicadores de Gestión SI Seguridad en la nube Aseguramiento del protocolo IPv6 Procedimientos de Seguridad y Privacidad de la Información. Controles de Seguridad Evidencia digital Lineamientos: Terminales de áreas financieras entidades públicas Roles y responsabilidades de seguridad y privacidad de la información Gestión del riesgo Plan de comunicación, sensibilización y capacitación Mejora continúa Gestión De Activos Gestión Documental Auditoría Evaluación desempeño Gestión de incidentes Política General de Seguridad de la Información Política General de Seguridad de la información ¿Qué hace? Software Reputación Físicos Proteger activos Servicios Información Personas Política General de Seguridad de la información ¿Quién? Ciudadanía Servidores públicos Terceros Política General de Seguridad de la información ¿Por qué? Misión Normas Cumplimiento Objetivos Estratégicos Visión Política General de Seguridad de la información Fases de la implementación de la Política Desarrollo de las políticas Cumplimiento Comunicación Monitoreo Mantenimiento Retiro Política General de Seguridad de la información Alcance Alcance •La Política aplica al proceso de XXX (ejm: Tecnología) •A funcionarios, terceros, practicantes, ciudadanía Política General de Seguridad de la información Objetivos Mantener confianza Garantizar continuidad Proteger activos Objetivos Minimizar riesgo Cumplir principios seguridad Política General de Seguridad de la información Objetivos Integridad Principios de seguridad Confidencialidad Disponibilidad Política General de Seguridad de la información Objetivos Riesgo Minimizar el riesgo Control Riesgo residual Política General de Seguridad de la información Estructura del documento 1. ENCABEZADO (MISION) 2. OBJETIVOS 3. ALCANCE/APLICABILIDAD 4. NIVEL DE CUMPLIMIENTO 5. DECLARACION DE LOS PRINCIPIOS DE SEGURIDAD 6. INCUMPLIMIENTO Política de Privacidad de la información Política – Privacidad de la información Marco Legal y Normativo • Ley 1581 de 2012: Tratamiento de datos personales • Ley 1712 de 2014: Información pública • Decreto 1074 de 2015: (antiguo Decreto 1377 de 2013) Capítulo 25 - Reglamenta • parcialmente la Ley 1581 de 2012 • Decreto 1081 de 2015 (antiguo Decreto 103 de 2015): Título 1. Disposiciones generales en materia de transparencia y del derecho de acceso a la información pública nacional. Política – Privacidad de la información Principios Legalidad Segurida d Accesoy circulaci ón restringi da Finalidad Proteger datos personal es Transpar encia Veracidad o calidad Libertad Política – Privacidad de la información Derechos de los titulares Conocer Oponerse Proteger datos personales Rectificar Actualizar Política – Privacidad de la información Autorización Libre Informado Consentimi ento Expreso Previo Política - Privacidad de la información ¿Dónde? Canales virtuales Canales Presenciales Política - Privacidad de la información ¿Por qué? Normatividad Cumplimiento Derechos de los ciudadanos Tratamient o de datos Política - Privacidad de la información Estructura del documento 1. Ambito de aplicación 2. Excepción al ámbito de aplicación. 3. Principios del tratamiento de datos personales: 4. Derechos de los titulares 5. Autorización del titular 6. Deberes de los responsables del Tratamiento 7. Política de controles criptográficos 8. La política de confidencialidad Políticas Especificas Políticas específicas de SPI Texto del documento maestro Estructura de las políticas específicas • Qué se debe cumplir –regla de conducta / criterio de aceptación-. • Cuáles objetivos de seguridad se buscan lograr apoyados en el cumplimiento de la política. • Cuáles principios de seguridad se relacionan directamente con la política. • Quiénes deben cumplir con la política. • Quién hace seguimiento al cumplimiento de la política. • Cuál es la vigencia de la política. • Identificación de las partes interesadas que deben conocer la política. • Cuáles son las consecuencias/sanciones por el incumplimiento de la política. • Debe tener un alcance claro y sin ambigüedades. Política- Seguridad de la Información ¿Cuáles aspectos o dominios requieren políticas específicas como mínimo? Organización de la Seguridad de la información Privacidad y confidencialidad Gestión de activos Control de acceso No repudio Integridad Disponibilidad del servicio e información Registro y auditoría Gestión de incidentes de Seguridad de la Información Capacitación y sensibilización en seguridad de la información Roles y Responsabilidades Propósito Definir funciones y asignar responsables en la gestión de la seguridad y privacidad de información dentro de las entidades públicas. • • • Actividades/Funciones Vs Rol/Cargo Equipo de implementación Alta Dirección comprometida y participando GuÍa 4: "INTRODUCCIÓN ... De esta forma, es necesario que las responsabilidades asignadas en el desarrollo del proyecto del MSPI para cada perfil, sean incorporadas a los manuales de funciones de cada entidad de acuerdo al cargo que desempeñan." Responsables de administración y sostenibilidad del MSPI • Evitar imprecisiones en responsabilidades Garantizar el apoyo desde el inicio Establecer una adecuada segregación de funciones Asignar responsabilidades a personal con las competencias requeridas Establecer tareas específicas Decreto 1499/2017 (DAFP) ARTÍCULO 2.2.22.1.5. Articulación y complementariedad con otros sistemas de gestión. El Sistema de Gestión se complementa y articula, entre otros, con los Sistemas Nacional de Servicio al Ciudadano, de Gestión de la Seguridad y Salud en el Trabajo, de Gestión Ambiental y de Seguridad de la Información. ARTÍCULO 2.2.22.3.8. Comités Institucionales de Gestión y Desempeño. En cada una de las entidades se integrará un Comité Institucional de Gestión y Desempeño encargado de orientar la implementación y operación del Modelo Integrado de Planeación y Gestión - MIPG, el cual sustituirá los demás comités que tengan relación con el Modelo y que no sean obligatorios por mandato legal… En el orden territorial el representante legal de cada entidad definirá la conformación del Comité Institucional, el cual será presidido por un servidor del más alto nivel jerárquico, e integrado por servidores públicos del nivel directivo o asesor…. 6. Asegurar la implementación y desarrollo de las políticas de gestión y directrices en materia de seguridad digital y de la información…. Parágrafo 1. La secretaría técnica será ejercida por el Jefe de la oficina de planeación, o por quien haga sus veces, en la entidad. Parágrafo 3. La Oficina de control Interno o quien haga sus veces será invitada permanente con voz, pero sin voto. Dado en Bogotá, D.C., a los 11 días del mes de septiembre del año 2017 Perfiles y responsabilidades Equipo de trabajo Estratégico Comité de seguridad C o m i t é Institucional de G e s t i ó n y Desempeño Táctico Responsable de Seguridad y privacidad de la información Operativo Equipo proyecto del Participantes – Población Todos los Funcionarios Todos los Ciudadanos Todos los proveedores Taller 1 Seguridad y Privacidad de la Informacion Taller Taller 1 Seguridad y Privacidad de la Informacion Instrucciones • Responder las preguntas del cuestionario https://goo.gl/nvGQYn