MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
privacidad personal (Ley 1266 de 2008 -Habeas data). Esta política, se <strong>en</strong>foca a la protección de la<br />
confid<strong>en</strong>cialidad, integridad, disponibilidad y no repudiación de la información y servicios electrónicos que<br />
ofrec<strong>en</strong> las <strong>en</strong>tidades públicas del ord<strong>en</strong> nacional y territorial <strong>en</strong> cumplimi<strong>en</strong>to del decreto 1151 de 2008.<br />
El repres<strong>en</strong>tante legal de las <strong>en</strong>tidades públicas y privadas que participan <strong>en</strong> la cad<strong>en</strong>a de prestación de<br />
servicios para la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea, es responsable por implem<strong>en</strong>tar los requerimi<strong>en</strong>tos de<br />
seguridad que se plantean <strong>en</strong> la política con el fin proteger la información y los activos que la procesan. El<br />
nivel de seguridad que cada <strong>en</strong>tidad debe implem<strong>en</strong>tar para proteger la información y los servicios de la<br />
Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea, debe corresponder a un proceso de análisis y evaluación de riesgos.<br />
La gestión del riesgo es un requerimi<strong>en</strong>to del Modelo SGSI. Este proceso se ha fortalecido <strong>en</strong> las <strong>en</strong>tidades<br />
públicas como resultado de la implantación del sistema integrado de gestión y control MECI y del sistema<br />
de gestión de la calidad NTC GP 1000:2004 para las <strong>en</strong>tidades públicas.<br />
El Modelo de gestión de seguridad de la información para la estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea es<br />
complem<strong>en</strong>tario con los sistemas de calidad, control interno y desarrollo administrativo. Es posible, para<br />
una <strong>en</strong>tidad, adaptar su(s) sistema(s) de gestión y control exist<strong>en</strong>te(s) para que cumplan con los requisitos<br />
de este modelo. En la implem<strong>en</strong>tación del modelo de seguridad, se debe t<strong>en</strong>er especial cuidado <strong>en</strong> la<br />
id<strong>en</strong>tificación de los elem<strong>en</strong>tos comunes, para evitar que se dupliqu<strong>en</strong> esfuerzos.<br />
6.4. Políticas y Objetivos de Seguridad de la Información<br />
Las políticas de seguridad que se plantean <strong>en</strong> este docum<strong>en</strong>to, se basan <strong>en</strong> un análisis estratégico acorde<br />
con cada una de las fases de la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea. Estas políticas repres<strong>en</strong>tan directrices<br />
g<strong>en</strong>erales de alto nivel que deb<strong>en</strong> ser adoptadas por todos los participantes <strong>en</strong> la cad<strong>en</strong>a de prestación de<br />
servicios durante las fases de la evolución de la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea.<br />
Para asegurar el cumplimi<strong>en</strong>to de las políticas de seguridad para <strong>Gobierno</strong> <strong>en</strong> Línea, se establecieron<br />
objetivos de control asociados a cada política:<br />
6.4.1. PS1 – Política de Control de Acceso<br />
Las <strong>en</strong>tidades que provean servicios de <strong>Gobierno</strong> <strong>en</strong> Línea que requieran mayor nivel de seguridad como<br />
resultado de un análisis y evaluación del riesgo, deb<strong>en</strong> implem<strong>en</strong>tar mecanismos y controles que asegur<strong>en</strong><br />
un efectivo registro, id<strong>en</strong>tificación y aut<strong>en</strong>ticación de los cli<strong>en</strong>tes y usuarios de dichos servicios. Así mismo,<br />
deb<strong>en</strong> implem<strong>en</strong>tar mecanismos y controles que asegur<strong>en</strong> el acceso bajo el principio del m<strong>en</strong>or privilegio,<br />
necesario para realizar únicam<strong>en</strong>te las labores que a cada cli<strong>en</strong>te o usuario de dichos servicios<br />
correspond<strong>en</strong>. Igualm<strong>en</strong>te, se deb<strong>en</strong> implem<strong>en</strong>tar controles para realizar una efectiva administración de<br />
usuarios y derechos de acceso.<br />
Objetivos de Control:<br />
Página 54 de 207