View
217
Download
0
Category
Preview:
Citation preview
REVISIÓN DEL NIVEL DE MADUREZ DEL MODELO DE SEGURIDAD EN
ENTIDADES DEL ORDEN NACIONAL Y TERRITORIAL DE COLOMBIA QUE
APLICAN GOBIERNO EN LÍNEA.
PAOLA ANDREA CALDERÓN RAMIREZ
DIANA GISETTE CANTOR CÓRDOBA
JORGE ENRIQUE VEGA ANAYA
UNIVERSIDAD CATÓLICA DE COLOMBIA
FACULTAD DE INGENIERÍA
PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA
INFORMACIÓN
BOGOTÁ D.C – 2017
REVISIÓN DEL NIVEL DE MADUREZ DEL MODELO DE SEGURIDAD EN
ENTIDADES DEL ORDEN NACIONAL Y TERRITORIAL DE COLOMBIA QUE
APLICAN GOBIERNO EN LÍNEA.
PAOLA ANDREA CALDERÓN RAMIREZ
DIANA GISETTE CANTOR CÓRDOBA
JORGE ENRIQUE VEGA ANAYA
Trabajo de grado para obtener el título de especialista en Seguridad de la
información.
ASESOR: RAÚL BAREÑO GUTIERREZ
INGENIERO DE SISTEMAS, MSC.
UNIVERSIDAD CATÓLICA DE COLOMBIA
FACULTAD DE INGENIERÍA
PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA
INFORMACIÓN
BOGOTÁ D.C – 2017
IV
Nota de aceptación
______________________________________
______________________________________
______________________________________
______________________________________
Presidente del Jurado
______________________________________
Jurado
______________________________________
Jurado
Bogotá D.C., junio 16 de 2017.
V
Dedicatoria
A Dios, Por habernos permitido llegar hasta este punto y disfrutar de salud para lograr
los objetivos profesionales de cada uno, además de su infinita bondad y amor.
A todos nuestros docentes por su gran apoyo y motivación para la culminación
de nuestros estudios de especialización, por su tiempo compartido y por impulsar el desarrollo de
nuestra formación en seguridad de la información.
A nuestras familias por habernos apoyado en todo momento, por sus consejos, sus
valores, por la motivación constante, por los ejemplos de perseverancia y constancia.
VI
Agradecimientos
A nuestro director de tesis, ingeniero Raúl Bareño quien, con sus conocimientos, su
experiencia, su paciencia, su motivación, su esfuerzo y dedicación, nos sirvió como guía.
También agradecemos a nuestros docentes por su visión crítica de muchos aspectos
cotidianos de la vida, por su rectitud en su profesión como docentes, por sus consejos, que
ayudaron a formarnos como especialistas en seguridad de la información.
Finalmente, a nuestras familias por ser la fuente de apoyo constante e incondicional en
nuestras vidas.
VII
TABLA DE CONTENIDO
INTRODUCCIÓN .................................................................................................................................. 1
1 GENERALIDADES DEL TRABAJO DE GRADO ..................................................................... 5
1.1 LÍNEA DE INVESTIGACIÓN .................................................................................................................. 5
1.2 PLANTEAMIENTO DEL PROBLEMA ...................................................................................................... 5
1.2.1 Antecedentes del problema ...................................................................................................... 5
1.2.2 Pregunta de investigación ....................................................................................................... 9
1.2.3 Justificación ............................................................................................................................. 9
2 OBJETIVOS ................................................................................................................................ 13
2.1 OBJETIVO GENERAL ......................................................................................................................... 13
2.2 OBJETIVOS ESPECÍFICOS .................................................................................................................. 13
3 MARCOS DE REFERENCIA .................................................................................................... 15
3.1 MARCO CONCEPTUAL ...................................................................................................................... 15
3.2 MARCO LEGAL ................................................................................................................................. 21
4 METODOLOGÍA ........................................................................................................................ 24
4.1 FASES DEL TRABAJO DE GRADO ....................................................................................................... 24
3.1.1. Planear .................................................................................................................................. 25
3.1.2. Hacer ..................................................................................................................................... 25
3.1.3. Verificar................................................................................................................................. 27
3.1.4. Actuar .................................................................................................................................... 28
4.2 DESARROLLO ................................................................................................................................... 28
4.1. ELECCIÓN DE ENTIDADES DEL ORDEN NACIONAL Y DEL ORDEN TERRITORIAL ............................ 32
4.3 COMPARACIÓN BASADA EN EL ÍNDICE ENTRE ENTIDADES VALIDADAS DE ORDEN NACIONAL Y
TERRITORIAL 37
4.2. VALIDACIÓN DE IMPLEMENTACIÓN DE LOS LINEAMIENTOS GEL QUE CONTEMPLEN LOS
REQUISITOS EN MATERIA DE SEGURIDAD ISO27001:2013 ........................................................................................ 44
VIII
4.3. DETERMINAR OBJETIVAMENTE LA ROBUSTEZ DE LAS ENTIDADES OBJETO DE ESTUDIO TENIENDO
EN CUENTA LA IMPLEMENTACIÓN Y MEJORA DEL MODELO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN DE
LA ESTRATEGIA DE GOBIERNO EN LÍNEA. ................................................................................................................. 52
5 CONCLUSIONES ....................................................................................................................... 57
6 RECOMENDACIONES .............................................................................................................. 59
7 BIBLIOGRAFÍA ......................................................................................................................... 60
8 GLOSARIO ................................................................................................................................. 66
9 ANEXOS ...................................................................................................................................... 67
9.1 ANEXO A. NACIONAL 2014 .............................................................................................................. 67
9.2 ANEXO B. NACIONAL 2015 .............................................................................................................. 67
9.3 ANEXO C. TERRITORIAL 2014 .......................................................................................................... 67
9.4 ANEXO D. TERRITORIAL 2015 .......................................................................................................... 67
9.5 ANEXO E. CHECK LIST ANLA .......................................................................................................... 68
9.6 ANEXO F. CHECK LIST GOBERNACIÓN .............................................................................................. 68
9.7 ANEXO G. CHECK LIST ALCALDÍA TUNJA ......................................................................................... 68
IX
LISTA DE FIGURAS
FIGURA 1. METODOLOGÍA DE TRABAJO BASADA EN EL CICLO DEMING (PHVA). ......................................................... 24
FIGURA 2. SITIO WEB “AUTORIDAD NACIONAL DE LICENCIAS AMBIENTALES” ............................................................. 34
FIGURA 3. SITIO WEB “GOBERNACIÓN DE BOYACÁ” ..................................................................................................... 36
FIGURA 4. SITIO WEB “ALCALDÍA DE TUNJA” ............................................................................................................... 37
FIGURA 5. MEDICIÓN ÍNDICE GEL POR EJES TEMÁTICOS ............................................................................................... 39
FIGURA 7-6. ÍNDICE GEL SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN ................................................................... 41
FIGURA 7. PORCENTAJE DE AVANCE EJE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN 2014-2015 ENTIDAD DEL
ORDEN NACIONAL ............................................................................................................................................... 41
FIGURA 8. PORCENTAJE DE AVANCE EJE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN 2014-2015 ENTIDAD DEL
ORDEN TERRITORIAL ........................................................................................................................................... 42
FIGURA 9. PROMEDIO POR CATEGORÍAS 2015 ENTIDADES DEL ORDEN NACIONAL SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN ..................................................................................................................................................... 42
FIGURA 10. PROMEDIO POR DEPARTAMENTOS 2015 ENTIDADES DEL ORDEN TERRITORIAL (ALCALDÍAS) SEGURIDAD Y
PRIVACIDAD DE LA INFORMACIÓN ....................................................................................................................... 43
FIGURA 11 PROMEDIO POR DEPARTAMENTOS 2015 ENTIDADES DEL ORDEN TERRITORIAL (GOBERNACIONES)
SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN ................................................................................................ 44
FIGURA 12. MARCO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN .................................................................... 46
FIGURA 13. CICLO DE OPERACIÓN DEL MODELO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN MSPI ................ 47
FIGURA 14. RESULTADO DEL ANÁLISIS DE SEGURIDAD ISO27001 ANLA CON LA LISTA DE CHEQUEO ....................... 48
FIGURA 15. RESULTADO DEL ANÁLISIS DE SEGURIDAD ISO27001 GOBERNACIÓN DE BOYACÁ CON LA LISTA DE
CHEQUEO ............................................................................................................................................................ 49
FIGURA 16. RESULTADO DEL ANÁLISIS DE SEGURIDAD ISO27001 ALCALDÍA DE BOYACÁ CON LA LISTA DE
CHEQUEO ............................................................................................................................................................ 50
FIGURA 17- NIVELES DE MADUREZ (MINTIC, 2016). ................................................................................................... 52
FIGURA 18. ROBUSTEZ DE LAS ENTIDADES OBJETO DE ESTUDIO ................................................................................... 56
X
LISTA DE TABLAS
TABLA 1 RANKING MUNDIAL AVANCE DE GOBIERNO EN LÍNEA .................................................................................... 17
TABLA 2 COMPONENTES GLOBALES DE LA LISTA DE CHEQUEO CONTROLES ISO 27001:2013 ...................................... 27
TABLA 3 PORCENTAJE DE CUMPLIMIENTO ANUAL DE LAS ENTIDADES DEL ORDEN NACIONAL EN SEGURIDAD Y
PRIVACIDAD DE LA INFORMACIÓN ....................................................................................................................... 30
TABLA 4 PORCENTAJE DE CUMPLIMIENTO ANUAL DE LAS ENTIDADES DEL ORDEN TERRITORIAL EN SEGURIDAD Y
PRIVACIDAD DE LA INFORMACIÓN ....................................................................................................................... 32
TABLA 5 ÍNDICE SPI GEL ORDEN TERRITORIAL OBJETO DE ESTUDIO ........................................................................... 34
TABLA 6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ............................................................................... 50
TABLA 7 DESCRIPCIÓN DE NIVELES DE MADUREZ EN SEGURIDAD DE LA INFORMACIÓN ............................................... 53
XI
RESUMEN
El Ministerio de Tecnologías de la Información y las Telecomunicaciones (MINTIC)
colombiano estableció unas normas, objetivos y políticas que se enmarcan en la “Estrategia de
Gobierno en Línea (GEL) todo esto bajo el marco de e-government o gobierno electrónico el
cual define como el uso de la tecnología y las TIC principalmente internet para proveer acceso a
la información a los ciudadanos y las entidades gubernamentales que la componen, a fin de
orientar a las entidades que ejercen funciones públicas, sobre los lineamientos a seguir para
transformar sus operaciones y la prestación de servicios.
Colombia actualmente ocupa el cuarto puesto en la región (américa latina) respecto a
gobierno en línea, esto demuestra el poco avance y crecimiento en este tema, lo cual se ve
reflejado en áreas como la seguridad y privacidad de la información para entidades de orden
nacional y/o territorial en las que el nivel de madurez se encuentra en los rangos mínimos
respecto del cumplimiento al decreto 2573 de 2014.
La situación anterior sitúa a la entidad pública (nacionales y/o territoriales) en un
panorama complejo, lejos de llegar a obtener un nivel optimizado en seguridad y privacidad de la
información, lo cual refleja el poco avance en este ítem y la necesidad de apropiación de las
entidades en este tema.
Dentro de este contexto, este trabajo busca conocer el nivel de madurez en seguridad de
la información luego de la aplicación de la estrategia GEL (Gobierno en Línea); por lo que
aleatoriamente se tomaran tres plataformas del estado colombiano una del orden nacional y dos
XII
del orden territorial, con las cuales se verificará la integración de componentes, líneas de
actuación, actividades, metas y tiempos para evaluar el proceso evolutivo y continúo en
seguridad de la información que integra cada una de las Fases de GEL aplicado en las
plataformas.
Palabras clave:
GEL: Gobierno en línea
Madurez del modelo de seguridad
MINTIC: Ministerio de Tecnologías de la Información y las Telecomunicaciones
Modelo de seguridad
Seguridad de la información
XIII
ABSTRACT
The Colombian Ministry of Information Technologies and Telecommunications
(MINTIC) established standards, objectives and policies that are part of the "Online Government
Strategy" (GEL), all under the e-government or e-government framework which defines Such as
the use of technology and ICTs, mainly the internet, to provide access to information to citizens
and government entities that compose it, in order to orient public entities on the guidelines to be
followed to transform their operations and the provision of services.
Colombia currently ranks fourth in the region (Latin America) with respect to online
government, which shows little progress and growth in this area, which is reflected in areas such
as security and privacy of information for national entities And / or territorial in which the level
of maturity is in the minimum ranges with respect to compliance with decree 2573 of 2014.
The previous situation places the public entity (national and / or territorial) in a complex
panorama, far from obtaining an optimized level in security and privacy of the information,
which reflects the little advance in this item and the need of appropriation Of entities in this area.
In this context, this work seeks to know the level of maturity in information security after
the application of the GEL (Online Government) strategy; So that three platforms of the
Colombian state will be taken at random, one of the national order and two of the territorial
order, with which it will verify the integration of components, lines of action, activities, goals
XIV
and times to evaluate the evolutionary process and continue in security of the information that
integrates each of the phases of GEL applied in the platforms.
Keywords:
GEL: Government Online
Maturity of the security model
MINTIC: Ministry of Information Technologies and Telecommunications
Safety Model
Security of the information
1
Introducción
Gobierno en línea se puede definir como un conjunto de políticas, instrumentos,
procedimientos y metodologías que suscitan la construcción de un Estado más eficiente,
transparente y participativo, y de esta manera mejora la entrega de servicios tecnológicos; todo
esto, en el marco de impulsar la competitividad y el mejoramiento de la calidad de vida para la
prosperidad de todos los colombianos.
Según el informe de la organización de las naciones unidas (ONU) sobre gobierno
electrónico, arrojo que Colombia se encuentra a nivel mundial en el puesto 57, un cuarto puesto
en Suramérica, el puesto 10 en todo el continente americano y el puesto 27 en participación
electrónica; el informe cita que en Suramérica países como chile, Colombia, México y Uruguay
adoptaron gobierno electrónico para mejorar la prestación de servicios (UNITED NATIONS,
2016)1
El Ministerio de Tecnologías de la Información y las Comunicaciones en Colombia, a
partir del 2008 después de que se expidió el decreto 1151 ha venido implementando en todas las
entidades que ejercen funciones públicas los lineamientos generales de la estrategia de gobierno
1UNITED NATIONS, (2016). UNITED NATIONS E-GOVERNMENT SURVEY 2016.
recuperado de http://workspace.unpan.org/sites/Internet/Documents/UNPAN96407.pdf
2
en línea. Para el 2011-2014, dentro de sus objetivos del plan de desarrollo, se planeó la
masificación y uso de las TIC, por lo que su componente principal era gobierno en línea como
parte de la gestión pública.
Dentro del marco de 2014-2018, basado en la Ley 1753 de 2015 y el decreto 280 de
2015, el plan de desarrollo evidencia el compromiso de Colombia con la garantía de los derechos
humanos, calidad de vida y equidad; los cuales definen el marco de acción gubernamental para
los próximos años. En esta instancia la estrategia de gobierno en línea será promotora y
facilitadora de derechos a través del uso y apropiación de las TIC, entregando a los usuarios
trámites y servicios del estado, para alcanzar una comunicación efectiva entre ellos, madurando
los índices de participación y colaboración.
Por lo anterior MINTIC, a través de la dirección de estándares y arquitectura de TI
(DEATI) y la subdirección de seguridad y privacidad de TI, dando fortalecimiento de la gestión
de TI en el estado, ha publicado y actualizado a partir de diciembre de 2011 “El Modelo de
Seguridad y Privacidad de la Información (MSPI)”, el cual se encuentra alineado con el marco de
referencia de arquitectura TI y soporta transversalmente los otros componentes de la estrategia
GEL: TIC para servicios, TIC para gobierno abierto y TIC para gestión.
Este modelo de seguridad y privacidad de la información, fue elaborado conforme a las
buenas prácticas de seguridad y es actualizado periódicamente con el fin de agrupar los cambios
técnicos de la norma 27001 del 2013, la legislación de la ley de protección de datos personales,
3
transparencia y acceso a la información pública, entre otras, las cuales se deben tener en cuenta
para la gestión de la información.
A nivel metodológico es importante tener presente que el modelo de seguridad y
privacidad de la información (Siglas MSPI) cuenta con una serie de guías anexas que ayudan a
las entidades a cumplir lo solicitado permitiendo abordar de manera detallada cada una de las
fases del modelo, buscando a su vez comprender cuáles son los resultados a obtener y como
desarrollarlos, incluyendo los nuevos lineamientos que permiten la adopción del protocolo IPv6
en el estado colombiano.
La implementación del modelo de seguridad y privacidad de la Información - MSPI, en la
entidad está determinado por las necesidades objetivas, los requisitos de seguridad, procesos, el
tamaño y la estructura de la misma, todo con el objetivo de preservar la confidencialidad,
integridad, disponibilidad de los activos de información, garantizando su buen uso y la
privacidad de los datos.
Mediante la adopción del MSPI, por parte de las entidades del estado se busca contribuir
al incremento de la transparencia en la gestión pública, promoviendo el uso de las mejores
4
prácticas de seguridad de la información como base de la aplicación del concepto de seguridad
digital. (MinTIC, 2017)2.
De conformidad con lo anterior, el presente trabajo plantea realizar una revisión de la
madurez sobre el modelo de seguridad incluido en la estratégica de gobierno en línea para tres
soluciones dos del orden territorial y una del orden nacional, teniendo como base los
lineamientos de gobierno en línea proporcionados por MINTIC y las mejores prácticas de
seguridad que se tienen actualmente, adaptándolas y personalizándolas para tener los mejores
resultados.
2MinTIC, (2017). Modelo de Seguridad. Recuperado de
http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html
5
1 Generalidades del trabajo de grado
1.1 Línea de Investigación
Software Inteligente y Convergencia Tecnología.
1.2 Planteamiento del Problema
1.2.1 Antecedentes del problema
Actualmente el robo de información confidencial ya sea personal y/o empresarial es una
problemática que amenaza a todo el planeta, además como las entidades públicas tienen
deficiencias en la atención a ciudadanos y por ende en un servicio deficiente, lento y de mala
calidad, lo cual afecta negativamente al gobierno nacional; Colombia buscó poner a disposición
de los ciudadanos, información sobre el curso de los procesos del estado, con el fin de propiciar
un ambiente transparente de rendición de cuentas y de estimular la confianza en el gobierno
nacional decide implementar la estrategia de gobierno en línea.
Bajo el panorama de la estrategia de gobierno en línea que contempla un eje de seguridad y
privacidad de la información, se identificó un estudio de seguridad corporativo, el cual evidencia
que el 30% de las compañías mundiales se declararon vulnerables respecto al robo de
información, además la complejidad de las tecnologías de la información (TI) la consideraron
como el mayor motor de aumento ante esta actividad delictiva. Los países y regiones más
afectadas por robo, pérdida o daño de la información fueron Indonesia (35%), África (34%),
India (27%), Estados Unidos (26%), Rusia (26%), México (26%), China (21%) y Europa (18%).
6
En el caso de Colombia, aunque no se encuentre entre los países más afectados, el robo de
información preocupa al 27% de los encuestados entre los que se encontraban entidades públicas
(del orden nacional y territorial), todas mostraron estar dispuestas a adoptar medidas concretas:
un 76% pretendían invertir en mayor seguridad TI a partir del 2013, incluido el gobierno
nacional. (Corporación Colombia Digital, 2013)3.
Aunque en la actualidad el país se encuentra bien posicionado en el mundo en manejo de
ciberseguridad, de acuerdo con la clasificación global de la unión internacional de
telecomunicaciones (UIT), donde se ubica a Colombia en el quinto lugar en la lista de las
Américas, por encima de Chile y México, y ocupa el noveno lugar en la tabla mundial, frente a
países como Francia, España, Egipto y Dinamarca. (Camelo, 2015)4, se debe tener en cuenta que
se han forjado importantes delincuentes informáticos; ejemplo de esto fue la violación a los
servidores del centro militar y de inteligencia de Estados Unidos, realizada por un colombiano,
3Corporación Colombia Digital, (2013). Robo de información: una amenaza global.
Recuperado de https://colombiadigital.net/actualidad/noticias/item/4833-robo-de-
informaci%C3%B3n-una-amenaza-global.html
4Leonardo Camelo, (2015). Seguridad de la Informacion en Colombia. Recuperado de
http://seguridadinformacioncolombia.blogspot.com.co/
7
donde se vulneraron los servidores más vigilados del mundo. La tarea se realizó en Bogotá a
través de computadores infectados por un programa creado por el mismo delincuente.
(pulzo.com, 2015)5.
Por todo lo anterior, las entidades públicas colombianas (nacional y/o territorial) no eran la
excepción para poder ser vulneradas, por lo que el gobierno nacional continuaba trabajando en su
estrategia llamada GEL la cual contribuye con la construcción de un estado, con el
abastecimiento de redes para proveer a los ciudadanos servicios y tramites, con el fin de lograr
espacios de participación con las entidades públicas, teniendo en cuenta la confidencialidad,
disponibilidad y seguridad de la información; por lo que a partir del 2008, gobierno en línea se
estructuró de manera que las entidades públicas suministren mejores servicios con la asistencia
de toda la sociedad, mediante la explotación de las TIC.
Asimismo, GEL contempla un modelo de seguridad y privacidad de la información, el cual
está completamente alineado con el marco de referencia de arquitectura TI y soporta
transversalmente los otros componentes de la estrategia: TIC para servicios, TIC para gobierno
5Pulzo.com, (2015). La historia del 'hacker' colombiano que puso en jaque la seguridad
nacional de EE.UU.. Recuperado de http://www.pulzo.com/nacion/la-historia-del-
hacker-colombiano-que-puso-en-jaque-la-seguridad-nacional-de-eeuu/404504.
8
abierto y TIC para gestión, con el fin de facilitar la apropiación del modelo y su correcta
implementación en las entidades del orden nacional y/o territorial, se propone esta nueva versión
que recoge además de los cambios técnicos de la norma, herramientas específicas de privacidad
relacionadas con las normas y los retos que el nuevo marco normativo (ley de datos personales,
transparencia y acceso a la información pública, entre otras) , las cuales se deben tener en cuenta
para la gestión de la información, así como los lineamientos que permiten la adopción del
protocolo IPv6 en el estado colombiano (MinTIC, 2016)6.
Como resultado del proceso de monitoreo y evaluación adelantado por cada entidad y por el
Ministerio TIC, se publica periódicamente el Índice de Gobierno en línea, instrumento
cuantitativo que muestra el Estado del avance de las entidades en la implementación de la
Estrategia Gobierno en línea. Este índice está compuesto por dos rankings (uno nacional y uno
territorial), que muestran las entidades y sectores que más han avanzado en la implementación de
la Estrategia en cada uno de sus ejes. (MinTIC, 2016)7.
6MinTIC, (2016). Modelo de Seguridad y Privacidad de la Información. Recuperado de
http://estrategia.gobiernoenlinea.gov.co/623/articles-8258_recurso_1.pdf
7 MinTIC, (2016). Cómo avanza la estrategia de gobierno en línea. Recuperado de
http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-7651.html
9
1.2.2 Pregunta de investigación
¿Será la estrategia de gobierno en línea, es la que fortalecerá la madurez en seguridad y
privacidad de la información, en las entidades de orden nacional y territorial?
1.2.3 Justificación
El continuo avance de las Tecnologías de la información, el aumento del tráfico y
transacciones por internet, la globalización en temas económicos y la necesidad de conectividad
continua, donde cada individuo es un actor en las diferentes entidades del estado, supone un
significativo reto en cuanto al tema de seguridad y privacidad de la información y además de la
protección de datos. Lo cual está ocasionando un nicho de oportunidades con múltiples
beneficios para la sociedad, pero también un aumento exponencial en la proliferación de delitos
informáticos.
Por lo anterior, la ciber-delincuencia aumenta directamente proporcional al progreso de las TI,
con la implementación de sofisticados métodos de ataque, que para el gobierno nacional
constituye un desafío sustancial que consiste en contrarrestar y controlar estas amenazas, ya sea
por la expedición de decretos, acompañamiento, capacitación y/o apropiación que soporten la
estrategia conjunta de gobierno en línea, donde todas las entidades del estado estén alineadas en
contra de ciber-crimen.
El Estado colombiano, ha reconocido la integración de las TIC como un mecanismo
fundamental para robustecer el desarrollo económico, social, cultural y económico; por tanto, las
ha venido integrando, con el objetivo de mejorar su gestión administrativa en favor del progreso
10
de la sociedad del país, tratando evitar que las entidades públicas se vean amenazadas con el
riesgo de daño en la imagen hacia sus ciudadanos por la negación de los servicios en línea o por
robo de información confidencial.
Un ejemplo de las afectaciones en entidades del orden nacional y territorial, fue la extraña
desaparición de dos discos secretos de la petrolera Repsol, los cuales eran custodiados por la
Agencia Nacional de Hidrocarburos ( EL TIEMPO Casa Editorial, 2015) 8
lo cual evidenció la
poca implementación de políticas y controles a los procesos de custodia de información física
que permitió que fuesen sustraídos 2 discos con información sensible de la firma petrolera, este
caso demuestra que las entidades no están lo suficientemente maduras en temas tan sensibles
como es la seguridad y privacidad de la información
Es de resaltar que la encuesta anual de fraude mundial (Harloff, 2016)9, encontró que el 83%
de las empresas encuestadas en Colombia (del orden nacional, territorial, privadas, mixtas, etc.)
8 EL TIEMPO Casa Editorial, (2016). La extraña desaparición de dos discos secretos de la
petrolera Repsol. Recuperado de http://www.eltiempo.com/archivo/documento/CMS-
15871995
9 Glen Harloff, (2016). GLOBAL FRAUD REPORT Vulnerabilities on the Rise.
Recuperado de http://anticorruzione.eu/wp-
content/uploads/2015/09/Kroll_Global_Fraud_Report_2015low-copia.pdf
11
aseguran haber sido víctimas de al menos un fraude y un 27 % corresponde a fraudes o crímenes
de robo o pérdida de información y que por ello las inversiones previstas por las compañías para
evitar este tipo de delito en los próximos 12 meses serán entre 25% y 40% más altas que en otros
países del mundo. (El Universal, 2010)10
.
Por lo anterior, la cultura de prevención está en aumento y Colombia no es la excepción, ya
que es uno de los países que más está contratando sistemas para las entidades públicas (nacional
y territorial) con el fin de controlar los fraudes dentro de sus organizaciones ya sean de la índole
privado o público, ya que se sustentó que es mucho más económico prevenir que reaccionar ante
un daño. Desde MINTIC se establece que es significativo que los principios del modelo de
seguridad y privacidad de la información se extiendan, usen y apropien al interior de las
entidades públicas (nacional y territorial), con el fin de proteger la información y los sistemas de
información de las mismas.
Por lo anterior, el presente trabajo se sustenta en la importancia de validar la robustez y
situación actual de uno de los ejes con mayor importancia que apoyan la estrategia de Gobierno
10 El Universal, (2010). Empresas: robo de información, el mayor delito. Recuperado de
http://www.eluniversal.com.co/cartagena/econ%C3%B3mica/empresas-robo-de-
informaci%C3%B3n-el-mayor-delito
12
en Línea en Colombia, “el modelo de seguridad y privacidad de la información”; ya que este
preserva la confidencialidad, integridad, disponibilidad y privacidad de la información, mediante
la aplicación de un proceso de gestión del riesgo, brindando confianza a las partes interesadas
acerca de la adecuada gestión de riesgo.
13
2 Objetivos
2.1 Objetivo general
Validar el grado de madurez en seguridad de la información en la que se encuentra una
solución del orden nacional y dos del orden territorial, que estén aplicando la estrategia de
gobierno en línea (GEL).
2.2 Objetivos específicos
Comparar los índices de gobierno en línea de los 2 años inmediatamente anteriores,
tanto para entidades del orden nacional y territorial, validando sus avances en la
implementación de los lineamientos en materia de seguridad de la información.
Verificar la alineación de 3 soluciones (una del orden nacional y dos del orden
territorial) con la estrategia vigente de gobierno en línea, consultando la calificación
en seguridad y privacidad de la información y el índice total de Gobierno en línea de
las mismas.
Determinar objetivamente el nivel de madurez en el que se encuentran las entidades
del orden nacional y territorial con la implementación y mejora del modelo de
seguridad de gobierno en línea versus la lista de chequeo de los 114 controles de
ISO27001 y usando la asociación de la guía de mejores prácticas COBIT con las
métricas implementadas por MINTIC.
14
Emitir conclusiones sobre las ventajas y desventajas encontradas en el modelo de
seguridad de la estrategia de gobierno en línea, cuando es aplicado en entidades del
orden nacional y territorial, teniendo en cuenta sus limitantes y características.
15
3 Marcos de referencia
3.1 Marco conceptual
Dado que este trabajo se enfocó en encontrar el nivel de madurez a nivel de seguridad y
privacidad de la información de soluciones web gubernamentales del orden nacional y territorial,
cuando estas están alineadas con la estratégica de gobierno en línea del gobierno nacional
colombiano; será necesario plantear algunos parámetros que validen los ejes conceptuales sobre
los que se apoyó el objetivo principal planteado.
La convergencia de tecnología a nivel mundial, el gobierno nacional colombiano, cuenta con
una serie de soluciones web de tipo nacional y territorial para los ciudadanos, las cuales tienen
como objetivo apoyar la interacción de los habitantes de Colombia con las entidades públicas.
Estas herramientas deben contar con los pilares que enmarcan la seguridad de la información que
son disponibilidad, integridad y confidencialidad.
Para lo anterior, el Ministerio de Tecnologías de la Información y las Comunicaciones
(MINTIC), creó una estrategia llamada gobierno en línea (GEL) basado en gobierno electrónico,
el cual es un término que se ha venido acuñando para definir la correlación entre internet y las
tecnologías de la información con las instituciones gubernamentales en su intento de modernizar
los servicios y relaciones potenciales con sus ciudadanos y sus respectivos sectores.
GEL, enmarca 4 grandes propósitos que son:
1. Contar servicios en línea de alta calidad para sus ciudadanos,
16
2. Impulsar el posicionamiento y colaboración de la ciudadanía con los servicios brindados
por el Gobierno,
3. Optimizar la gestión de todas sus entidades con todos los colombianos por medio de la
tecnología y por ultimo
4. Garantizar la seguridad y la privacidad de la información, ítem en el que se enmarca este
trabajo de investigación
El eje central a tratar es el modelo de “seguridad y privacidad de la información”,
contemplado en GEL, que tiene como propósito garantizar un adecuado manejo de la
información pública de las entidades, teniendo en cuenta una guía que enfatice un alto nivel en
seguridad con el objeto de proteger la información a nivel físico y lógico, manteniendo su
integridad, disponibilidad y autenticidad. Lo anterior asociado a la privacidad para garantizar la
protección de los derechos a la intimidad y como este hace madurar la seguridad en las entidades
que ejercen funciones públicas en el país.
Por otro lado, la encuesta de gobierno electrónico 2016 de la ONU (Organización de las
Naciones Unidas), evidenció que más gobiernos están adoptando tecnologías de la información y
la comunicación (TIC) para ofrecer servicios y para involucrar a las personas en los procesos de
toma de decisiones en todas las regiones del mundo. (Administración Pública y Gestión del
17
Desarrollo, 2016)11
. Además, mostró que Colombia se encuentra en el cuarto puesto en América
del Sur en implementación y avances relacionados con temas de gobierno en línea. A nivel
mundial, se ubica en el puesto número 57 entre 193 países tal cual se evidencia en la Tabla 1.
(LUZARDO, 2017)12
.
Tabla 1
Ranking mundial avance de gobierno en línea
Rank Country Rank Country
17 Israel 43 Luxemburg
17 Morocco 43 Vietnam
17 Lithuania 43 Bulgaria
17 Montenegro 47 Malaysia
17 Serbia 47 Uzbekistan
22 Estonia 47 Azerbaijan
22 China 50 Portugal
22 Denmark 50 Sri Lanka
25 Malta 50 Republic of Moldova
25 Croatia 50 Mauritius
11 Administración Pública y Gestión del Desarrollo Departamento de Asuntos Económicos y
Sociales, (2016). Gobierno electrónico en apoyo al desarrollo sostenible. Recuperado de
https://publicadministration.un.org/es/Research/UN-e-Government-Surveys
12 Ana María Luzardo, (2017). Así Le Va A Colombia En La Implementación De Gobierno
En Línea. Recuperado de http://www.enter.co/cultura-digital/colombia-digital/colombia-
se-mantiene-en-la-implementacion-de-gobierno-en-linea/
18
27 Colombia 50 Iceland
Fuente: (UNITED NATIONS, 2016)13
Teniendo en cuenta estas tendencias mundiales en gobierno electrónico y los avances en la
implementación de la estrategia de Gobierno en línea en Colombia; MINTIC está obligado a
realizar monitoreo y evaluaciones periódicas que validen y analicen como avanza la estrategia de
Gobierno en Línea en las entidades. Estas evaluaciones periódicas permiten al estado
colombiano conocer la clasificación y el rango en el que se encuentras las entidades en su
progreso y desarrollo de la estrategia en general:
RANKING DE ENTIDADES: Como resultado del proceso de monitoreo y evaluación
adelantado por cada entidad y por el Ministerio TIC, se publica periódicamente el índice de
gobierno en línea, este es instrumento cuantitativo que muestra el estado del avance de las
entidades en la implementación de la estrategia gobierno en línea. Este índice está compuesto por
13UNITED NATIONS, (2016). UNITED NATIONS E-GOVERNMENT SURVEY 2016.
recuperado de http://workspace.unpan.org/sites/Internet/Documents/UNPAN96407.pdf
19
dos rankings (uno nacional y uno territorial), que muestran las entidades y sectores que más han
avanzado en la implementación de la estrategia. (MinTIC, 2016) 14
.
Índice territorial: Se encuentran los resultados del índice de gobierno en línea de las
alcaldías y gobernaciones que reportaron a la dirección de gobierno en línea información de su
avance en la implementación de la estrategia, así como el ranking con las primeras 20 posiciones
de acuerdo a la calificación del índice de gobierno en línea y a los subíndices de gobierno
abierto, de servicios y de eficiencia electrónica.
Partiendo de lo anterior, las entidades territoriales se dividen en departamentos,
municipios, distritos y territorios indígenas, forman parte de la rama ejecutiva y gozan de
autonomía con respecto al gobierno nacional; cuentan con el derecho de gobernarse a sí mismas,
ejercen las competencias asignadas por la constitución y la ley, administran sus propios recursos,
establecen tributos participan en las rentas del estado. (Senado de la república de Colombia,
2016)15
.
14 MinTIC, (2016). Cómo avanza la estrategia de gobierno en línea. Recuperado de
http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-7651.html
15Senado de la República de Colombia, (2016). Nivel territorial. Recuperado de
ftp://backups.senado.gov.co/meci/Manual_MECI/Unidad_1/A_estado_ci/A_2_rama_eje
cutiva/A_2_2_nivel%20territorial/A_2_2_nivter.htm
20
Índice nacional: contiene los resultados del índice de gobierno en línea de las entidades del
orden nacional que reportaron a través del formulario único de reporte de avances en la gestión
(FURAG), información de su avance en la implementación de la estrategia, así como el ranking
con las primeras 20 posiciones de acuerdo a la calificación del índice de Gobierno en línea y a
los subíndices de gobierno abierto, de servicios y de eficiencia electrónica.
Las entidades nacionales son organismos del sector público a nivel nacional con autonomía
propia para cumplir determinadas funciones de acuerdo con su sector y/o actividades para las
cuales fueron creadas.
El ranking de entidades, busca evaluar el “modelo de madurez” en el que se encuentra cada
entidad; dicho modelo instaura una serie de puntos los cuales integrar los componentes, líneas de
actuación, actividades, metas y tiempos para evaluar el proceso progresivo, escalonado y
continúo de los módulos que integran cada una de las “fases del gobierno en línea”
MINTIC con el fin de orientar a las entidades que ejercen funciones públicas, estableció un
“modelo de madurez”, sobre los lineamientos a seguir para establecer, determinar y/o modificar
las operaciones y la prestación de servicios con relación a las directrices establecidas en la
estrategia de gobierno en línea.
21
3.2 Marco legal
Las normas relacionadas con el diseño y desarrollo de la política de Gobierno electrónico en
Colombia (MinTIC, 2016)16
, se encuentran divididas en cinco grandes temas: Marco jurídico
institucional de la estrategia, gobierno abierto, trámites y servicios, gestión TI, por último,
seguridad y privacidad de la información y actualmente están en vigencia.
El Marco jurídico de la estrategia de gobierno en línea, relaciona las siguientes normas:
- Ley 594 de 2000, determina que las entidades del estado podrán incorporar
tecnologías de avanzada en la administración y conservación de sus archivos,
empleando cualquier medio técnico, electrónico, informático, óptico o telemático.
- Ley 1341 de 2009 la cual manifiesta los mecanismos y condiciones para garantizar la
masificación del gobierno en línea.
- Decreto 3107 de 2003 donde se expone la supresión del programa presidencial e
integración de la agenda de conectividad al MINTIC.
- Decreto 1151 de 2008 que describe los lineamientos generales de la estrategia de
gobierno en línea.
16 MinTIC (2016). Marco Regulatorio. Recuperado de:
http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-7650.html
22
- Decreto 235 de 2010 que regula el intercambio de información entre entidades para el
cumplimiento de funciones públicas
- Decreto 2693 de 2012 donde se detallan los lineamientos generales de la estrategia de
gobierno en línea.
- Decreto 2573 de 2014 el cual puntualiza los lineamientos generales de la estrategia de
gobierno en línea.
En cuanto a Seguridad y privacidad de la información las normas son:
- Ley 1266 de 2008 sobre las disposiciones generales de habeas data y se regula el
manejo de la información.
- Ley 1273 de 2009 por medio de la cual se crea un nuevo bien jurídico tutelado -
denominado "de la protección de la información y de los datos.
- Ley estatutaria 1581 de 2012 para la protección de datos personales. (MinTIC,
2016)17
.
- ISO/IEC 27001:2013 norma internacional que describe cómo gestionar la seguridad
de la información en una empresa.
17 MinTIC (2016). ESTRATEGIA DE GOBIERNO EN LINEA. Recuperado de
http://estrategia.gobiernoenlinea.gov.co/623/articles-7941_normatividad.pdf
23
- ISO 22301:2013 proporciona el mejor marco de referencia para gestionar La
continuidad del negocio en una organización.
- ISO 14001:2015 norma internacional de sistemas de gestión ambiental (SGA), que
ayuda a identificar, priorizar y gestionar los riesgos ambientales, como parte de sus
prácticas de negocios habituales.
- COBIT 5 ISACA, modelo para control y objetivos de control para información y
tecnologías relacionadas
24
4 Metodología
4.1 Fases del trabajo de grado
Basándose en el ciclo DEMING ó PHVA (planear, hacer, verificar y actuar) de mejora
continua y apoyándose en las normas ISO 27001, Cobit y la metodología de planificación de
proyectos, actividades y tareas, se verificó el nivel de madurez del modelo de seguridad vigente
en la estrategia GEL aplicada a una entidad del orden nacional y dos del orden territorial.
Las actividades para la verificación, seguirán las técnicas de referencia de la Figura 1 :
Figura 1. Metodología de trabajo basada en el ciclo Deming (PHVA).
25
4.1.1. Planear
Esta etapa de la metodología precisa como se lograron los objetivos de investigación, esto
validando la confiabilidad de la información:
Recolección de información
Se realizó la recolección de información pública sobre historia, objetivo, alineación con
gobierno en línea, etc. También la operación actual de una muestra de los portales de las
entidades de orden nacional y territorial.
Para esta actividad, se revisaron los manuales, instructivos, procedimientos, funciones y
actividades, registro de resultados, estadísticas, normas, políticas y todos los aspectos formales
que se asientan por escrito sobre gobierno en línea y su interacción con las entidades de orden
nacional y territorial. línea (ver anexo a. nacional 2014, anexo b. nacional 2015 anexo c.
territorial 2014 y anexo d. territorial 2015).
4.1.2. Hacer
Básicamente se ejecutaron las siguientes tareas que son dependientes a la información
adquirida en el proceso de recolección.
- Elección de entidades del orden nacional y del orden territorial
La elección de las entidades de orden nacional (1) y del orden territorial (2), se realizó
mediante una mediana estadística ordenando los valores que se tuvieron en cuenta.
Para el caso de orden nacional, se tuvo en cuenta el valor del índice de gobierno en línea
realizado en el 2016, que analizaba el avance del año 2015 y se procedió a obtener la entidad que
26
ocupaba el lugar central de todos los datos cuando éstos estuvieron ordenados de menor a mayor,
esta mediana incorporó el valor de la variable de posición central en un conjunto de datos
ordenados, que para este caso es el índice GEL.
En las entidades del orden territorial se procedió a realizar el mismo procedimiento anterior
del eje central cuando éstos estuvieron ordenados. Posterior a esta elección la capital de dicho
departamento elegido también sería objeto de estudio. Es de anotar que se tendrán en cuenta las
clasificaciones del decreto 2573 de 2014. Esta mediana incorpora el valor de la variable de
posición central en un conjunto de datos ordenados, que para este caso es el índice GEL.
Adicionalmente, se realizó la comparación entre los datos recopilados, posterior a asegurarse
de la calidad de la información recolectada validando las similitudes y diferencias encontradas
entre las entidades de orden nacional y las de orden territorial.
Validación de implementación de los lineamientos GEL que contemplen los requisitos en
materia de seguridad ISO27001:2013
Se validaron los datos de implementación del ranking de índice GEL en el ítem de seguridad y
privacidad de la información con la página actual de la entidad; se creó una lista de chequeo que
contempló los 14 dominios, los 35 objetivos de control y los 114 controles de la norma ISO
27001:2013 versus los requisitos mínimos contemplados en la estrategia de gobierno en línea
(ver anexo e. check list ANLA, anexo f. check list gobernación y anexo g. check list alcaldía
Tunja)
27
4.1.3. Verificar
En este paso se realizó la implementación y evaluación sobre lo validados en el ítem hacer.
- Aplicar lista de chequeo que contemple los requisitos mínimos en materia de
seguridad contemplados en GEL vs ISO27001:2013
Se ejecutó la lista de chequeo que se evidencia en la Tabla 2, para validar el cumplimiento de
los lineamientos GEL en materia de seguridad, asociándolos con la norma ISO27001:2013. Que
se analizó en el ítem 4.24.2 de este documento.
Tabla 2
Componentes globales de la lista de chequeo controles ISO 27001:2013
Control
A.5 política de seguridad de la información
A.6 organización de la seguridad de la
información
A.7 seguridad recursos humanos
A.8 gestión de activos
A.9 control de acceso
A.10 criptografía
A.11 seguridad física y ambiental
A.12 seguridad de las operaciones.
A.13 seguridad de las comunicaciones
A.14 adquisición, desarrollo y mantenimiento de
sistemas.
A.15 relaciones con los proveedores
A.16 gestión de incidentes de seguridad de la
información
A.17 aspectos de seguridad de la información de
la gestión de la continuidad de negocio
A.18 cumplimiento. Fuente: autores
28
- Determinar objetivamente la robustez de las entidades objeto de estudio, teniendo en
cuenta la implementación y mejora del modelo de seguridad y privacidad de la
información de la estrategia de gobierno en línea.
Se conceptuó sobre el nivel de madurez en la que se encuentran las entidades del orden
nacional y/o territorial y se validó el modelo de seguridad y privacidad de la información de la
estrategia de gobierno en línea.
4.1.4. Actuar
Este ítem se centró en realizar las recomendaciones y observaciones basados en los resultados
conseguidos.
- Emitir conclusiones sobre las ventajas y desventajas encontradas en el modelo de
seguridad de la estrategia de gobierno en línea, cuando es aplicado en entidades del
orden nacional y territorial, teniendo en cuenta sus limitantes y características.
Se realizaron las conclusiones y recomendaciones de todo el trabajo realizado.
4.2 Desarrollo
En la actualidad la estrategia de gobierno en línea enmarca 3 (tres) actores claros:
- Ciudadanos: son los que tienen a disposición toda la oferta de canales de
comunicación, trámites y servicios en línea para la interacción con todas las entidades
que ejerzan tareas públicas, por esto es el actor más importarte en la estrategia de
gobierno en línea. Tienen como derecho manifestar y exigir cumplimiento del trabajo
de las entidades.
29
- Funcionarios: tienen la responsabilidad de realizar la implementación de la estrategia,
garantizar su complimiento y monitorear los resultados, para esto es obligación del
mismo conocer la estrategia con el fin de garantizar los objetivos de la estrategia
GEL.
- Otros: (industria TI, academia, organizaciones) apoyan la estrategia con el desarrollo
de alianzas, proyectos y negocios con las entidades del estado. También pueden
participar en el fortalecimiento a la industria de TI.
Para globalizar toda la estrategia y asociarla a los actores principales, esta se centra en 4
(cuatro) ejes temáticos:
- TIC para el gobierno abierto: busca construir un estado más transparente y
colaborativo, donde los ciudadanos participan activamente en la toma de decisiones
gracias a las TIC.
- TIC para servicios: busca crear los mejores trámites y servicios en línea para
responder a las necesidades más apremiantes de los ciudadanos.
- TIC para la gestión: busca darle un uso estratégico a la tecnología para hacer más
eficaz la gestión administrativa.
30
- Seguridad y privacidad de la información: busca guardar los datos de los ciudadanos
como un tesoro, garantizando la seguridad de la información. (MinTIC, 2016) 18
.
El gobierno nacional generó el decreto 2573 de 2014, el cual puntualiza los lineamientos
generales de la estrategia de gobierno en línea. (Secretaría General de la Alcaldía Mayor de
Bogotá D.C., 2014)19
. En el título III " medición, monitoreo y plazos” muestra las obligaciones a
entidades de orden nacional y territorial respecto al porcentaje de cumplimiento.
En la Tabla 3 se muestra la obligación para entidades de orden nacional en el eje de Seguridad
y privacidad de la información:
Tabla 3
Porcentaje de cumplimiento anual de las entidades del orden nacional en seguridad y
privacidad de la información
Componente: Seguridad y
privacidad de la información
Año Cumplimiento
2015 40%
18 MinTIC, (2016). Conoce la estrategia de gobierno en línea. Recuperado de
http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-7650.html
19 Secretaría General de la Alcaldía Mayor de Bogotá D.C. , (2014). DECRETO 2573 DE
2014. Recuperado de
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=60596
31
Componente: Seguridad y
privacidad de la información
2016 60%
2017 80%
2018 100%
2019 Mantener 100%
2020 Mantener 100% Fuente: autores
Para las entidades del orden territorial, el decreto indica una obligación categorizada de
manera diferente:
Gobernaciones de categoría Especial y Primera; alcaldías de categoría Especial, y demás
sujetos obligados de la Administración Pública en el mismo nivel (A).
Gobernaciones de categoría segunda, tercera y cuarta; alcaldías de categoría primera, segunda
y tercera y demás sujetos obligados de la Administración Pública en el mismo nivel (B).
Alcaldías de categoría cuarta, quinta y sexta, y demás sujetos obligados la Administración
Pública en el mismo nivel (C). (Secretaría General de la Alcaldía Mayor de Bogotá D.C. ,
2014)20
.
20 Secretaría General de la Alcaldía Mayor de Bogotá D.C. , (2016). DECRETO 2573 DE
2014. Recuperado de
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=60596
32
Para las entidades agrupadas en A, B y C los plazos serán mostrados en la Tabla 4, para el eje
de Seguridad y privacidad de la información:
Tabla 4
Porcentaje de cumplimiento anual de las entidades del orden territorial en seguridad y
privacidad de la información
Componente: Seguridad y privacidad de la información
Año Cumplimiento
Entidades A Entidades B Entidades C
2015 35% 10% 10%
2016 50% 30% 30%
2017 80% 50% 50%
2018 100% 65% 65
2019 Mantener 100% 80% 80%
2020 Mantener 100% 100% 100% Fuente: Decreto 2573 de 2014.
MINTIC, a través de la dirección de gobierno en línea y de la dirección de estándares y
arquitectura de tecnologías de la Información, diseñó el modelo de monitoreo que permite medir
el avance en la implementación de la estrategia de gobierno en línea, para las entidades del orden
nacional y territorial, este se realiza de manera anual y clasifica a las entidades en su nivel de
cumplimiento.
4.1. Elección de entidades del orden nacional y del orden territorial
Para la elección de la entidad del orden nacional, se procedió a realizar una mediana
aritmética, teniendo en cuenta el índice total de GEL 2015 que dio como resultado la Autoridad
nacional de licencias ambientales “ANLA” la cual pertenece al sector Ambiente y Desarrollo
Sostenible.
33
Para el 2015, la entidad ANLA obtuvo una calificación total del índice de gobierno en línea
de 58/100, respecto a indicador de proceso del índice de Seguridad y Privacidad de la
Información su calificación fue 64/100.
Teniendo en cuenta lo anterior y realizando la respectiva investigación, se encontró que la
estrategia vital de ANLA, en el año 2012, estuvo dentro de las finalistas en los premios de
excelencia de gobierno en línea, puesto que fue una estrategia creada con el fin de facilitar un
punto único de acceso a la gestión y la información de permisos y licencias ambientales para
todo el territorio nacional, a través de internet (Autoridad Nacionale de Licencias Ambientales,
2012)21
.
La Figura 2 muestra la página actual del sitio, la cual se encuentra estructurada con todos los
requerimientos de GEL.
21 ANLA, (2012). VITAL, una estrategia de la ANLA es una de las finalistas en los Premios a
la Excelencia en Gobierno en línea excelGEL 2012. Recuperado de
http://www.anla.gov.co/noticias/vital-una-estrategia-anla-una-las-finalistas-premios-
excelencia-gobierno-linea-excelgel
34
Figura 2. Sitio web “Autoridad nacional de licencias ambientales”
Para la elección del orden territorial, se tomaron en cuenta los 32 departamentos del país
y se realizó la mediana teniendo en cuenta el índice GEL, que dio como resultado la gobernación
de Boyacá, y se eligió su capital para ser objetos de este estudio. Para el 2015, la Gobernación de
Boyacá obtuvo una posición en el ranking de GEL de 18/32 con un índice total de 53/100;
mientras que la Alcaldía de Tunja 393/1094 y 48/100 respectivamente. En la Tabla 5¡Error! No
se encuentra el origen de la referencia. se muestra la información del cuarto eje:
Tabla 5
Índice SPI Gel Orden territorial objeto de estudio
Departamento Nombre
Institución
Subíndice de Seguridad y
Privacidad de la
Información
Posición en el ranking
Subíndice de Seguridad y
Privacidad de la
Información
Boyacá Gobernación 83/100 6/32
Boyacá Alcaldía de Tunja 28/100 556/1094 Fuente: autores
La gobernación de Boyacá, tiene como compromiso brindar un servicio público de calidad,
con la implementación de sólidas bases de desarrollo sostenible, humano y ambiental, mediante
35
procesos de participación, liderazgo público y gestión estratégica; apropiación de valores y
articulación de políticas, tendencias a mejorar las condiciones de vida de la población respecto a
su visión, se espera que para el año 2020 Boyacá, desde su gobernación sea una región prospera
y competitiva, gracias a la generación de cadenas de valor basadas en la ciencia, la tecnología y
la innovación, el aprovechamiento estratégico de su posición geográfica, su diversidad de climas,
culturas, su enorme potencial turístico, minero y agrícola; su infraestructura y conectividad, así
como su profunda responsabilidad social y la conservación del medio ambiente que brinda a su
ciudadanos oportunidades de desarrollo social y económico en condiciones de sostenibilidad,
equidad y seguridad. (Gobernación de Boyacá, 2012)22
.
Respecto a la alcaldía de Tunja, su misión es garantizar el bienestar general y el
mejoramiento de la condición de vida de los habitantes de Tunja, a través de la prestación de
servicios de calidad, en cumplimiento de las competencias definidas en la Constitución Política y
demás normas complementarias y su visión está encaminada a trabajar en equipo, dando
prioridad al interés general y al desarrollo social, con base en el aprovechamiento de nuestras
22 Gobernación de Boyacá, (2016). Misión y Visión. Recuperado de
http://www.boyaca.gov.co/gobernacion/mision-y-vision
36
condiciones culturales y naturales, con alto aprecio por la diversidad y entendiendo el ambiente
como nuestro espacio de vida (Alcaldía de Tunja - Boyacá, 2016))23
.
La Figura 3 muestra la página actual de la gobernación de Boyacá, la cual es objeto de
estudio, se puede identificar que esta se encuentra estructurada con todos los requerimientos de
GEL.
Figura 3. Sitio web “gobernación de Boyacá”
23 Alcaldía de Tunja - Boyacá, (2016). Nuestra alcaldía. Recuperado de http://www.tunja-
boyaca.gov.co/quienes_somos.shtml
37
La Figura 4 muestra la alcaldía de Tunja, objeto de estudio para las entidades del orden
territorial:
Figura 4. Sitio web “alcaldía de Tunja”
4.3 Comparación basada en el índice entre entidades validadas de orden nacional y
territorial
MINTIC, para conocer el avance de la estrategia de Gobierno en Línea en Colombia, en
entidades del orden nacional y territorial, ha implementado una metodología de medición
llamada “Índice de Gobierno en línea” el cual como resultado del monitoreo de los 4 ejes
temáticos que enmarca la estrategia le da un rango y una clasificación a cada entidad evaluada,
para el orden nacional y para el orden territorial.
38
La realización de la medición de índice GEL, permite a las entidades retroalimentar los
procesos de toma de decisiones, ejecutar acciones oportunas que permitan anticiparse a los
problemas, proveer insumos para el mejoramiento de la Estrategia y garantizar la sostenibilidad
de proyectos. (MinTIC)24
.
La medición del índice gel dentro de sus 4 ejes temáticos, subdivide los temas tal y como se
muestra en la
24 MinTIC, (s.f). Abierta la evaluación del Índice Territorial Gobierno en línea. Recuperado
de http://estrategia.gobiernoenlinea.gov.co/623/w3-article-51415.html
39
Figura 5. Para el año 2013, se tuvo un índice de gobierno en línea de 52% entidades
territoriales y 78% de entidades del orden nacional con altos índices de valoración de Gobierno
en línea, lo cual evidencia las capacidades para la innovación y la transformación de la gestión
pública gracias a la tecnología y el mejoramiento continuo de la calidad de los servicios
electrónicos y la interacción con los ciudadanos. (MinTIC, 2014)25
.
25 MinTIC, (2014). Gobierno en Línea presentará balance de resultados en todos los
departamentos del país. Recuperado de http://www.mintic.gov.co/portal/604/w3-article-
6322.html
40
Figura 5. Medición índice gel por ejes temáticos
En la última medición del índice, realizada en 2016, se efectuó el cálculo del 2015, en donde
se observaron importantes avances de las alcaldías y gobernaciones, entre ellos se destaca la
integración del Gobierno en línea a la gestión de las entidades, la implementación de servicios de
consulta y atención interactiva, así como la planeación del crecimiento tecnológico. Además, hay
grandes oportunidades de mejora en lo que respecta a la solución de problemáticas con la
participación abierta de la ciudadanía y la industria, la interoperabilidad en trámites y en
procedimientos con otras entidades, y la construcción de normatividad, planes y políticas de la
entidad con la participación ciudadana. (MinTIC, 2016)26
.
El eje correspondiente a seguridad y privacidad de la información, el cual es el objeto central
de estudio, se subdivide en 3 grandes grupos que son: definición, implementación y monitoreo;
de los cuales se desprenden temáticas relacionadas con los mismo, tal cual se muestra en Figura
7-6
26 MinTIC, (2016). Participación de alcaldías y gobernaciones en índice de Gobierno en
línea 2015. Recuperado de http://www.mintic.gov.co/portal/604/w3-article-15016.html
41
Figura 7-6. Índice gel Seguridad y privacidad de la información
Partiendo de la información de la Figura 7-6, se procedió a realizar un comparativo frente al
estatus de este en las entidades del orden nacional para el 2014 y 2015; esto con el objetivo de
visualizar la evolución presentada.
Tal cual lo muestra la imagen Figura 7 y teniendo en cuenta la Tabla 3¡Error! No se
encuentra el origen de la referencia. para las entidades del orden nacional, se visualiza un
notorio crecimiento en el número de entidades evaluadas y el porcentaje de avance de la misma,
debido a que el porcentaje obligatorio para estas en el 2015 es del 40%.
42
Figura 7. Porcentaje de avance eje Seguridad y privacidad de la información 2014-2015 entidad del orden nacional
Igualmente, como lo muestra la imagen Figura 8 y teniendo en cuenta la Tabla 4, para las
entidades del orden territorial, también se evidencia un alto cumplimiento a la norma, sin superar
las expectativas del porcentaje de avance.
Figura 8. Porcentaje de avance eje Seguridad y privacidad de la información 2014-2015 entidad del orden territorial
Para validar el análisis del índice gel y tener una panorama global y objetivo, se realizó la
validación promedio por sectores y/o departamentos, dependiendo del tipo de entidad (nacional o
territorial).
- Para las entidades del orden nacional, tal y como lo muestra la Figura 9, se evidencia
que el sector con mayor madurez es Inteligencia Estratégica y Contrainteligencia; en
el que se encuentra evaluada solo la entidad “departamento administrativo dirección
43
nacional de inteligencia”, mientras que el sector de la entidad objeto de estudio es
ambiente y desarrollo sostenible con un índice promedio de 51%.
Figura 9. Promedio por categorías 2015 entidades del orden nacional seguridad y privacidad de la
información
- Se procedió a realizar el análisis de los índices por departamentos, para el índice
territorial, con el promedio obtenido de los índices del año 2015, como se muestra a
continuación:
Figura 10. Promedio por departamentos 2015 entidades del orden territorial (alcaldías) seguridad y
privacidad de la información
44
Con un índice GEL para el eje de seguridad y privacidad de la información promedio de 32,9
para el 2015, se evidencia gráficamente que el departamento con mayor crecimiento es Guainía,
pero es de anotar que este departamento solo cuenta con una alcaldía. Mientras que Boyacá tiene
un subíndice de 43%.
Figura 11 Promedio por departamentos 2015 entidades del orden territorial (gobernaciones) seguridad y
privacidad de la información
Teniendo en cuenta la figura anterior se evidencia gráficamente que los tres departamentos
con índice más alto son Sucre con 95%, San Andrés y Cesar con el 92% y Valle del Cauca con el
91%. Mientras que el departamento objeto de estudio se encuentra con un 83%.
4.2. Validación de implementación de los lineamientos gel que contemplen los
requisitos en materia de seguridad iso27001:2013
El MSPI es la recopilación de las mejores prácticas, nacionales e internacionales, para
suministrar requisitos para el diagnóstico, planificación, implementación, gestión y
45
mejoramiento continuo, del Modelo de Seguridad y Privacidad de la Información - MSPI de la
Estrategia de Gobierno en Línea – GEL. (MinTIC, 2017)27
.
Por lo anterior, el alcance de las validaciones de los lineamientos GEL, se asociaron a la
norma ISO IEC 27001:2013, utilizando las tres fases del ciclo de operación del modelo de
seguridad y privacidad de la información MSPI, el cual se muestra en la Figura 12 (International
Organization for Standardization, 2017) 28
:
27MinTIC, (2017). Modelo de Seguridad. Recuperado de
http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html
28International Organization for Standardization, (2017). ISO/IEC 27001:2013. recuperado de
https://www.iso.org/standard/54534.html
46
Figura 12. Marco de Seguridad y Privacidad de la Información
El marco de seguridad y privacidad de la información básicamente es un ciclo PHVA que se
enmarca en el funcionamiento de las cinco (5) fases que lo comprenden como se muestra en la
Figura 13; cada fase cuenta con objetivos, metas y herramientas que admiten que la seguridad y
privacidad de la información sea un sistema de gestión verosímil dentro de las entidades que lo
aplican.
47
Figura 13. Ciclo de operación del modelo de seguridad y privacidad de la información MSPI
Para proporcionar un enfoque del escenario actual de la seguridad de las entidades objeto de
estudio, se procedió a validar el avance del nivel de seguridad; como resultado de la evaluación
de los controles del MSPI vs ISO27001, utilizando los siguientes criterios de evaluación:
NO CONFORME (< =40%): El control no se encuentra implantado.
PARCIALMENTE CONFORME (>40% <= 80%): Se tienen algún nivel de implantación con
relación a los controles que el dominio específico, pero no se hace en su totalidad
CONFORME (>80%): El dominio se encuentra implantado y gestionado.
48
Teniendo en cuenta los criterios anteriores, para la entidad del orden nacional. ANLA se
puede visualizar la Figura 14.
Figura 14. Resultado del Análisis de Seguridad ISO27001 ANLA con la lista de chequeo
Validando la Figura 14 se puede evidenciar que la entidad se encuentra en el criterio
PARCIALMENTE CONFORME (>40% <= 80%), con tendencia a tener los dominios
totalmente implantados y gestionados; la entidad debería centrar su enfoque MSPI en los
controles A6, A11 y A14 primordialmente.
49
Figura 15. Resultado del Análisis de Seguridad ISO27001 GOBERNACIÓN DE BOYACÁ con la
lista de chequeo
La Gobernación de Boyacá se encuentra en el criterio PARCIALMENTE CONFORME
(>40% <= 80%), tal cual lo muestra Figura 15, la calificación media de esta entidad territorial se
encuentra entre el 40% y 50%. Para esta entidad el trabajo primordial debe estar encaminado a
implantar los controles A6, A15 y A17, y a comenzar a gestionar los demás controles.
50
Figura 16. Resultado del Análisis de Seguridad ISO27001 ALCALDÍA DE BOYACÁ con la lista de
chequeo
La entidad con menor grado de implementación es la alcaldía de Boyacá, tal cual se puede
visualizar en Figura 16 ya que se evidencia que muchos de sus controles no se encuentran
implantados, como el A6, A10 y A16, la entidad debería solicitar a MINTIC acompañamiento
para la implementación de sus modelos de los ejes GEL, sobre todo el MSPI.
Las tres entidades presentan el mismo comportamiento en relación a los controles del numeral
A6. Organización de la seguridad de la información, en la Tabla 6 se muestran los controles y
objetivos de control en los que deben hacer mayor énfasis.
Tabla 6
Organización de la seguridad de la información
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN
Numeral Control Objetivo de control
A.6.1. Organización Objetivo. Establecer un marco de
51
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN
Numeral Control Objetivo de control
Interna. referencia de gestión para iniciar y
controlar la implementación y
operación del SGSI
A.6.1.1.
Seguridad de la
Información Roles
y
Responsabilidades.
Se deben definir y asignar todas las
responsabilidades de la seguridad
de la información.
A.6.1.2. Separación de
deberes.
Las tareas y áreas de
responsabilidad en conflicto se
deben separar para reducir las
posibilidades de modificación no
autorizada o no intencional o el uso
indebido de los activos de la
organización
A.6.1.3. Contacto con las
autoridades.
Se debe mantener contactos
apropiados con las autoridades
pertinentes
A.6.1.4
Contacto con
grupos de interés
especial.
Se deben mantener controles
apropiados con grupos de interés
especial u otros foros y
asociaciones profesionales
especializadas en seguridad
A.6.1.5.
Seguridad de la
información en
Gestión de
Proyectos.
La seguridad de la información se
debe tratar en la gestión de
proyectos, independiente del tipo
de proyecto Fuente: MINTIC (MinTIC, 2016)
29.
29MinTIC, (2016). Modelo de Seguridad y Privacidad de la Información. Recuperado de
http://estrategia.gobiernoenlinea.gov.co/623/articles-8258_recurso_1.pdf
52
4.3. Determinar objetivamente la robustez de las entidades objeto de estudio
teniendo en cuenta la implementación y mejora del modelo de seguridad y
privacidad de la información de la estrategia de gobierno en línea.
Utilizando los resultados obtenidos en el punto anterior, donde se validó la implementación de
los lineamientos gel en materia de seguridad ISO27001:2013, se procedió a definir el nivel de
madurez en seguridad de la información de las entidades evaluadas.
Figura 17- Niveles de madurez (MinTIC, 2016)
30.
En nivel de madurez definido por Gobierno en línea se puede visualizar en la
30MinTIC, (2016). Modelo de Seguridad y Privacidad de la Información. Recuperado de
http://estrategia.gobiernoenlinea.gov.co/623/articles-8258_recurso_1.pdf
53
Figura 17, mientras que en la Tabla 7 se presentan los requerimientos de cada uno de los
niveles de madurez con una descripción general (ISACA ORG, 2017)31
.
Tabla 7
Descripción de niveles de madurez en seguridad de la información
# MSPI COBIT
Nivel Descripción Nivel Descripción
0 Nivel
Se han implementado controles en
su infraestructura de TI, seguridad
física, seguridad de recursos
humanos entre otros, sin embargo,
no están alineados a un Modelo de
Seguridad.
No se reconoce la información
como un activo importante para su
misión y objetivos estratégicos.
No se tiene conciencia de la
importancia de la seguridad de la
información en las entidades
Incompleto
El proceso no está
implementado o no
alcanza su propósito. A
este nivel hay muy
poca o carece de
evidencia de algún
logro sistemático del
propósito del proceso
1 Inicial
Se han identificado las debilidades
en la seguridad de la información.
Los incidentes de seguridad de la
información se tratan de forma
reactiva.
Se tiene la necesidad de
implementar el MSPI, para definir
políticas, procesos y
procedimientos que den respuesta
Ejecutado
El proceso
implementado alcanza
su propósito.
31ISACA ORG, (2017). COBIT 5 Spanish. recuperado de
https://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx
54
# MSPI COBIT
Nivel Descripción Nivel Descripción
proactiva a las amenazas sobre
seguridad de la información que se
presentan en la Entidad.
2 Repetible
Se identifican en forma general los
activos de información.
Se clasifican los activos de
información.
Los servidores públicos de la
entidad tienen conciencia sobre la
seguridad de la información.
Los temas de seguridad y
privacidad de la información se
tratan en los comités del modelo
integrado de gestión.
Gestionado
El proceso ejecutado
esta implementado de
forma gestionada y los
resultados de su
ejecución están
establecidos,
controlados y
mantenidos
apropiadamente.
3 Definido
La Entidad ha realizado un
diagnóstico que le permite
establecer el estado actual de la
seguridad de la información.
La Entidad ha determinado los
objetivos, alcance y límites de la
seguridad de la información.
La Entidad ha establecido
formalmente políticas de
Seguridad de la información y
estas han sido divulgadas.
La Entidad tiene procedimientos
formales de seguridad de la
Información
La Entidad tiene roles y
responsabilidades asignados en
seguridad y privacidad de la
información.
La Entidad ha realizado un
inventario de activos de
información aplicando una
metodología.
La Entidad trata riesgos de
Establecido
El proceso gestionado
ahora esta
implementado usando
un proceso definido
que es capaz de
alcanzar sus resultados
de proceso.
55
# MSPI COBIT
Nivel Descripción Nivel Descripción
seguridad de la información a
través de una metodología.
Se implementa el plan de
tratamiento de riesgos
4 Administrado
Se revisa y monitorea
periódicamente los activos de
información de la Entidad.
Se utilizan indicadores para
establecer el cumplimiento de las
políticas de seguridad y privacidad
de la información.
Se evalúa la efectividad de los
controles y medidas necesarias
para disminuir los incidentes y
prevenir su ocurrencia en el futuro
Predecible
El proceso establecido
ahora se ejecuta dentro
de límites definidos
para alcanzar
resultados del proceso.
5 Optimizado
En este nivel se encuentran las
entidades en las cuales la
seguridad es un valor agregado
para la organización.
Se utilizan indicadores de
efectividad para establecer si la
entidad encuentra retorno a la
inversión bajo la premisa de
mejora en el cumplimiento de los
objetivos misionales.
Optimizado
El proceso predecible
es mejorado de forma
continua para cumplir
con las metas
empresariales
presentes y futuras.
Fuente: autores
A partir de la Figura 18, se puede identificar el nivel de robustez de cada una de las entidades.
56
Figura 18. Robustez de las entidades objeto de estudio
Teniendo en cuenta la Tabla 7 y retomando la Figura 18, se puede predecir que para el año
2016, las entidades deberán estar por encima del nivel 3: definido y/o establecido para poder dar
cumplimiento al decreto 2573 DE 2014.
Para llegar al nivel optimizado el nivel de seguridad y privacidad de la información, ya no
debe ser una obligación sino un parámetro estándar beneficioso para la entidad, asociando
indicadores de gestión y acuerdos de niveles de servicio encaminadas a la mejora continua y al
cumplimiento de los objetivos misionales.
57
5 Conclusiones
Después del estudio realizado, se pueden evidenciar como las entidades de orden territorial,
han tenido un avance importante en el fortaleciendo la Estrategia de Gobierno en Línea, sobre
todo en el eje de seguridad y privacidad de la información, aunque la brecha en relación con las
entidades de orden nacional es bastante amplia.
Basándose en los resultados obtenidos se pudo identificar que los lineamientos de gobierno en
línea en materia de seguridad y privacidad de la información si contemplan los requisitos de la
norma ISO 27001:2013, además se evidenció la necesidad de mantener la confidencialidad,
integridad y disponibilidad de la información corporativa especialmente la clasificada como
crítica y la información personal.
Las entidades objeto de estudio, han trabajado en crear una política que define completamente
objetivos, alcance y límites de la seguridad de la información. La Gobernación de Boyacá y la
Alcaldía de Tunja (entidades del orden territorial), no han llevado a cabo campañas de
divulgación de sus políticas que le permitan al servidor público apropiarlas y hacer uso de ellas.
Se verificó que el ítem que se encuentra con valoración más baja en las entidades objeto de
estudio, es el de organización de la seguridad de la información el cual tiene como objetivo
establecer un marco de referencia de gestión para iniciar y controlar la implementación y
operación del SGSI, puesto que no se encontró evidencia de la designación de roles y
responsabilidades de seguridad de la información, no existen documentos de separación de
58
deberes, contacto con las autoridades y grupos de interés especial, ni gestión en proyectos de
seguridad de la información.
La entidad de orden nacional ANLA, se encuentra en un estado de madurez intermedio, por lo
que es vital implementar un conjunto de prácticas que reconozcan sus debilidades y estén
encaminadas a permitir la transformación ágil y gradual en los procesos con debilidades.
59
6 Recomendaciones
El estado colombiano no debería realizar por ningún motivo una ampliación de plazos a
los ya establecidos en el decreto 2573 de 2014, ya que es obligación de las entidades trabajar
para cumplirlos, dándole la importancia que merece el MSPI contemplado en GEL.
Se deben robustecer las áreas de tecnología en la mayoría de entidades y así garantizar a los
ciudadanos que sus datos están seguros, son confiables y están disponibles para atender a sus
necesidades.
Se recomienda a MINTIC como líder de la estrategia de gobierno en línea, fortalecer los
mecanismos de apoyo, aporte, capacitación, orientación y acompañamiento a los líderes de las
entidades para concientizarlas y apropiarlas respecto a la seguridad y privacidad de la
información. Demarcando la importancia y los efectos del no seguir los lineamientos de
seguridad y lograr la implementación exitosa del modelo.
Se recomienda que se realicen auditorías externas para valorar el avance del índice MSPI,
adicionalmente a la evaluación GEL.
MINTIC debería apoyar la iniciativa de coevaluación de la campaña de índice GEL entre
entidades, así existirían estrategias de feedback o retroalimentación para optimizar la
implantación y evolución de GEL en las entidades.
60
7 Bibliografía
EL TIEMPO Casa Editorial. (2 de junio de 2015). ELTIEMPO.com. Obtenido de La extraña
desaparición de dos discos secretos de la petrolera Repsol:
http://www.eltiempo.com/archivo/documento/CMS-15871995
Corporación Colombia Digital. (29 de 04 de 2013). Corporación Colombia Digital. Obtenido de
https://colombiadigital.net/actualidad/noticias/item/4833-robo-de-informaci%C3%B3n-
una-amenaza-global.html
Administración Pública y Gestión del Desarrollo. (30 de marzo de 2016).
publicadministration.un.org. Obtenido de Gobierno electrónico en apoyo al desarrollo
sostenible: https://publicadministration.un.org/es/Research/UN-e-Government-Surveys
Alcaldía de Tunja - Boyacá. (23 de noviembre de 2016). tunja-boyaca.gov.co. Obtenido de
Nuestra alcaldía: de http://www.tunja-boyaca.gov.co/quienes_somos.shtml
Anderson, R. (2008). Security Engineering (Segunda ed.). Cambridge: WILEY. Obtenido de
http://blog.segu-info.com.ar/2013/02/libro-gratuito-de-seguridad-de-la.html
Autoridad Nacionale de Licencias Ambientales. (11 de diciembre de 2012). anla.gov.co.
Obtenido de VITAL, una estrategia de la ANLA es una de las finalistas en los Premios a
la Excelencia en Gobierno en línea excelGEL 2012.:
http://www.anla.gov.co/noticias/vital-una-estrategia-anla-una-las-finalistas-premios-
excelencia-gobierno-linea-excelgel
61
Bertolín, J. A. (2008). Seguridad de la información. Redes, informática y sistemas de
información. Madrid, España: Editorial Paraninfo. Obtenido de http://blog.segu-
info.com.ar/2013/02/libro-gratuito-de-seguridad-de-la.html
Camelo, L. (17 de junio de 2015). Obtenido de Seguridad de la Informacion en Colombia:
http://seguridadinformacioncolombia.blogspot.com.co/
Corporación Colombia Digital. (29 de Abril de 2013). Corporación Colombia Digital. Obtenido
de Robo de información: una amenaza global:
https://colombiadigital.net/actualidad/noticias/item/4833-robo-de-informaci%C3%B3n-
una-amenaza-global.html
EL TIEMPO Casa Editorial. (27 de enero de 2016). ELTIEMPO.com. Obtenido de En 2015,
cibercrimen generó pérdidas por US$ 600 millones en Colombia:
http://www.eltiempo.com/archivo/documento/CMS-16493604
El Universal. (6 de diciembre de 2010). eluniversal.com.co. Obtenido de Empresas: robo de
información, el mayor delito:
http://www.eluniversal.com.co/cartagena/econ%C3%B3mica/empresas-robo-de-
informaci%C3%B3n-el-mayor-delito
Gobernación de Boyacá. (23 de mayo de 2012). boyaca.gov.co. Obtenido de Misión y Visión:
http://www.boyaca.gov.co/gobernacion/mision-y-vision
62
Harloff, G. (14 de Septiembre de 2016). GLOBAL FRAUD REPORT Vulnerabilities on the Rise.
Obtenido de http://anticorruzione.eu/wp-
content/uploads/2015/09/Kroll_Global_Fraud_Report_2015low-copia.pdf
International Organization for Standardization. (6 de Junio de 2017). ISO/IEC 27001:2013.
Obtenido de https://www.iso.org/standard/54534.html
ISACA ORG. (22 de Febrero de 2017). Obtenido de COBIT 5 Spanish:
https://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx
LUZARDO, A. M. (11 de abril de 2017). enter.co. Obtenido de ASÍ LE VA A COLOMBIA EN
LA IMPLEMENTACIÓN DE GOBIERNO EN LÍNEA: http://www.enter.co/cultura-
digital/colombia-digital/colombia-se-mantiene-en-la-implementacion-de-gobierno-en-
linea/
MinTIC. (s.f.). Obtenido de Abierta la evaluación del Índice Territorial Gobierno en línea:
http://estrategia.gobiernoenlinea.gov.co/623/w3-article-51415.html
MinTIC. (20 de junio de 2014). mintic.gov.co. Obtenido de Gobierno en Línea presentará
balance de resultados en todos los departamentos del país:
http://www.mintic.gov.co/portal/604/w3-article-6322.html
MinTIC. (8 de noviembre de 2016). gobiernoenlinea. Obtenido de CÓMO AVANZA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA:
http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-7651.html
63
MinTIC. (8 de noviembre de 2016). gobiernoenlinea.gov.co. Obtenido de CONOCE LA
ESTRATEGIA DE GOBIERNO EN LÍNEA:
http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-7650.html
MinTIC. (8 de noviembre de 2016). gobiernoenlinea.gov.co. Obtenido de ESTRATEGIA DE
GOBIERNO EN LÍNEA: http://estrategia.gobiernoenlinea.gov.co/623/articles-
7941_normatividad.pdf
MinTIC. (11 de marzo de 2016). gobiernoenlinea.gov.co. Obtenido de Modelo de seguridad y
pribacidad de la información: http://estrategia.gobiernoenlinea.gov.co/623/articles-
8258_recurso_1.pdf
MinTIC. (8 de abril de 2016). mintic.gov.co. Obtenido de Participación de alcaldías y
gobernaciones en índice de Gobierno en línea 2015:
http://www.mintic.gov.co/portal/604/w3-article-15016.html
MinTIC. (19 de febrero de 2017). Ministerio de Tecnologías de la Información y las
Comunicaciones . Obtenido de Modelo de Seguridad:
http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html
pulzo.com. (12 de octubre de 2015). Obtenido de La historia del 'hacker' colombiano que puso en
jaque la seguridad nacional de EE.UU.: http://www.pulzo.com/nacion/la-historia-del-
hacker-colombiano-que-puso-en-jaque-la-seguridad-nacional-de-eeuu/404504
64
Secretaría General de la Alcaldía Mayor de Bogotá D.C. (12 de 12 de 2014).
alcaldiabogota.gov.co. Obtenido de DECRETO 2573 DE 2014:
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=60596
Secretaría General de la Alcaldía Mayor de Bogotá D.C. . (12 de 12 de 2014).
alcaldiabogota.gov.co. Obtenido de DECRETO 2573 DE 2014:
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=60596
Senado de la república de Colombia. (8 de noviembre de 2016). senado.gov.co. Obtenido de
NIVEL TERRITORIAL:
ftp://backups.senado.gov.co/meci/Manual_MECI/Unidad_1/A_estado_ci/A_2_rama_ejec
utiva/A_2_2_nivel%20territorial/A_2_2_nivter.htm
UNITED NATIONS. (3 de Agosto de 2016). UNITED NATIONS E-GOVERNMENT SURVEY
2016. Obtenido de
http://workspace.unpan.org/sites/Internet/Documents/UNPAN96407.pdf
66
8 Glosario
CHECKLIST: lista de chequeo, (anglicismo) es una lista sistemática de nombres de personas
o cosas que se usa para referencia, control, comparación, verificación o identificación.
Equivalencia: lista de control, lista de verificación.
CIBER-DELINCUENTES: son personas que utilizan medios y recursos informáticos para
realizar actividades delictivas principalmente dirigidos a la confidencialidad, la integridad y la
disponibilidad de los sistemas, redes y datos cibernéticos, además del abuso de estos.
CONPES: Consejo Nacional de Política Económica y Social
FEEDBACK: palabra del inglés que significa retroalimentación; podemos utilizarla como
sinónimo de respuesta o reacción, o, desde un punto de vista más técnico, para referirnos a un
método de control de sistemas.
FURAG: Formulario Único de Reporte de Avances en la Gestión
GEL: Estrategia de Gobierno en Línea
MINTIC: ministerio de las tecnologías de la información y las comunicaciones
MODELO DE MADUREZ: modelo de evaluación de los procesos de una organización
(buenas prácticas, medición análisis)
MSPI: Modelo de Seguridad y Privacidad de la Información
PHVA: planear, hacer, verificar y actuar
TIC: tecnologías de la información y comunicaciones
67
9 Anexos
9.1 Anexo a. Nacional 2014
nacional 2014.xlsx
9.2 Anexo b. Nacional 2015
nacional 2015.xlsx
9.3 Anexo c. Territorial 2014
territorial 2014.xlsx
9.4 Anexo d. Territorial 2015
territorial 2015.xlsx
Recommended