MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
• Necesidades de recursos, implem<strong>en</strong>tación de controles recom<strong>en</strong>dados.<br />
• Apoyar la implem<strong>en</strong>tación del plan de acción.<br />
• Disponer de políticas, objetivos y actividades de seguridad que reflej<strong>en</strong> la función misional de las<br />
<strong>en</strong>tidades.<br />
• Disponer de un <strong>en</strong>foque y un marco de trabajo para implem<strong>en</strong>tar, mant<strong>en</strong>er, monitorear y mejorar<br />
la seguridad de la información, que sean consist<strong>en</strong>tes con la cultura de la organización. Apoyarse<br />
<strong>en</strong> el software de auto-evaluación para id<strong>en</strong>tificar aspectos por mejorar.<br />
• Asegurar soporte y compromiso visibles <strong>en</strong> toda la organización.<br />
• Asegurar un bu<strong>en</strong> <strong>en</strong>t<strong>en</strong>dimi<strong>en</strong>to de los requisitos de seguridad de la información apoyándose <strong>en</strong><br />
metodologías para gestión de riesgos. Las <strong>en</strong>tidades del estado dispon<strong>en</strong> de la Guía de<br />
Administración de Riesgos del DAFP. Existe la norma técnica NTC 5244 Gestión del riesgo.<br />
Adicionalm<strong>en</strong>te, la pres<strong>en</strong>te consultoría pone a disposición el docum<strong>en</strong>to: “Entregable 4, Anexo 2:<br />
Metodología de gestión del riesgo”. En el docum<strong>en</strong>to “Diagnóstico de la Situación Actual” se<br />
id<strong>en</strong>tifican otros docum<strong>en</strong>tos que se relacionan con la gestión de riesgos.<br />
• Realizar un mercadeo eficaz de la seguridad de la información para todos los directores, empleados<br />
y otras partes para lograr la s<strong>en</strong>sibilización adecuada.<br />
• Distribuir guías sobre la política y las normas de seguridad de la información para todos los<br />
directores, empleados y otras partes.<br />
• Obt<strong>en</strong>er provisión de fondos para las actividades de gestión de seguridad de la información.<br />
• Mant<strong>en</strong>er programas continuos y adecuados de formación, educación y s<strong>en</strong>sibilización. Apoyarse <strong>en</strong><br />
el material de capacitación y s<strong>en</strong>sibilización <strong>en</strong>tregado por la pres<strong>en</strong>te consultoría (ver docum<strong>en</strong>to<br />
“Capacitación y s<strong>en</strong>sibilización para el Modelo de Seguridad”.<br />
• Establecer un proceso eficaz para la gestión de incid<strong>en</strong>tes de seguridad de la información. Se<br />
dispone de la guía técnica GTC 169 Gestión de Incid<strong>en</strong>tes de Seguridad de la Información. Así<br />
mismo, apoyarse <strong>en</strong> el CSIRT para una efectiva respuesta a incid<strong>en</strong>tes (ver docum<strong>en</strong>to “Diseño de<br />
un CSIRT Colombiano”).<br />
• Implem<strong>en</strong>tar un sistema de medición para evaluar el desempeño <strong>en</strong> la gestión de seguridad de la<br />
información y retroalim<strong>en</strong>tar suger<strong>en</strong>cias para la mejora. Apoyarse <strong>en</strong> el software de autoevaluación,<br />
así como <strong>en</strong> guías internacionales tales como el docum<strong>en</strong>to NIST SP 800-55<br />
Performance Measuring Guide For Information Security.<br />
Por otra parte, la implem<strong>en</strong>tación de la seguridad de la información <strong>en</strong> los servicios de <strong>Gobierno</strong> <strong>en</strong><br />
Línea requiere que se contempl<strong>en</strong> los requisitos de seguridad desde la fase de inicio de la concepción<br />
Página 204 de 207