PLAN ESTRATÉGICO DE SEGURIDAD INFORMATICA Y DE LA

Plan Estratégico de Seguridad Informática y de la Información

PLAN ESTRATÉGICO DE SEGURIDAD INFORMATICA Y DE LA INFORMACIÓN DEL INVIAS

2019

Bogotá, diciembre 2018


FORMATO PRELIMINAR AL DOCUMENTO

Título: PLAN ESTRATÉGICO DE SEGURIDAD INFORMATICA Y DE LA INFORMACIÓN

Fecha dd/mm/aaaa: 12/12/2018

Resumen: Este documento tiene como objetivo describir las políticas en materia de seguridad

informática y de la información en el Instituto Nacional de Vías basada en el Marco de

Referencia para la gestión de TI del Estado colombiano y las dimensiones de MIPG

Palabras Claves: Seguridad de la Información

Arquitectura TI

Marco de Referencia

MIPG

Formato: DOC

Autor (es): MAURICIO OSPINA REYES

ANDRES SOLORZA SANABRIA

BERTHA MARIA BECERRA RUIZ

EDUARDO ZAMORA ESGUERRA

Aprobó: GERMAN PEÑA MATEUS

Jefe Oficina Asesora de Planeación

HISTORIA

VERSIÓN FECHA CAMBIOS INTRODUCIDOS

1.0 28/12/2018 Versión inicial


TABLA DE CONTENIDO

1 Introducción 2 Justificación

2.1 Alcance del MSPI 2.2 Objetivo

2.3 Marco Legal y Normativo 2.4 Metodología 2.5 Antecedentes

3. Contexto Organizacional 3.1 Plan Estratégico Institucional PEI 3.2 Estructura Organizacional 3.3 Modelo de Negocio de TI

4. Percepción de la Gestión de Seguridad Ti 4.1 Diagnóstico de la Gestión de Seguridad de TI

4.1.1 Diagnóstico de la Seguridad de la Información 5 Plan de Acción de Seguridad de la Información

5.1 Implementación y Seguimiento de Políticas de Seguridad 5.1.1 Actividades a desarrollar

5.1.2 Dominio de la Norma ISO/IEC 27001:2013 5.1.3 Implementación y Monitoreo

5.2 Generación de la Organización de Seguridad 5.2.1 Descripción 5.2.2 Actividades a desarrollar 5.2.3 Dominio de la Norma ISO/IEC 27001:2013 5.2.4 Implementación y Monitoreo

5.3 Documentación del SGSI y Cumplimiento con los Requerimientos de Gel (Gobierno Digital) 5.3.1 Descripción

5.3.2 Actividades a desarrollar 5.3.3 Dominio de la Norma ISO/IEC 27001:2013 5.3.4 Implementación y Monitoreo

5.4 Generación de Indicadores 5.4.1 Descripción 5.4.2 Actividades a desarrollar 5.4.3 Dominio de la Norma ISO/IEC 27001:2013 5.4.4 Implementación y Monitoreo

5.5 Controles sobre los funcionarios desde la vinculación hasta la desvinculación 5.5.1 Descripción



5.6 Concienciación y Educación 5.6.1 Descripción 5.6.2 Actividades a desarrollar 5.6.3 Dominio de la Norma ISO/IEC 27001:2013 5.6.4 Implementación y Monitoreo 5.7 Vinculación a Foros y Grupos de Interés 5.7.1 Descripción 5.7.2 Actividades a desarrollar 5.7.3 Dominio de la Norma ISO/IEC 27001:2013 5.7.4 Implementación y Monitoreo 5.8 Generación de Guías de Clasificación de la Información y Procedimientos de Manejo

5.8.1 Descripción 5.8.2 Actividades a desarrollar 5.8.3 Dominio de la Norma ISO/IEC 27001:2013 5.8.4 Implementación y Monitoreo

5.9 Clasificación de la Información y Aplicación de Procedimientos de Manejo 5.9.1 Descripción 5.9.2 Actividades a desarrollar 5.9.3 Dominio de la Norma ISO/IEC 27001:2013 5.9.4 Implementación y Monitoreo 5.10 Gestión del Acceso Lógico 5.10.1 Descripción 5.10.2 Actividades a desarrollar 5.10.3 Dominio de la Norma ISO/IEC 27001:2013

5.10.4 Implementación y Monitoreo 5.11 Revisión y Ajustes de Perfiles en Sistemas de Información, Servicios de Red y Recursos Tecnológicos

5.11.1 Descripción 5.11.2 Actividades a desarrollar 5.11.3 Dominio de la Norma ISO/IEC 27001:2013 5.11.4 Implementación y Monitoreo

5.12 Gestión del Acceso Físico 5.12.1 Descripción 5.12.2 Actividades a desarrollar 5.12.3 Dominio de la Norma ISO/IEC 27001:2013 5.12.4 Implementación y Monitoreo

5.13 Establecimiento y Monitoreo de las Condiciones Ambientales 5.13.1 Descripción



5.14 Seguridad de los Equipos fuera de las Instalaciones 5.14.1 Descripción 5.14.2 Actividades a desarrollar 5.14.3 Dominio de la Norma ISO/IEC 27001:2013 5.14.4 Implementación y Monitoreo 5.15 Seguridad en la Reutilización de Equipos 5.15.1 Descripción 5.15.2 Actividades a desarrollar 5.15.3 Dominio de la Norma ISO/IEC 27001:2013 5.15.4 Implementación y Monitoreo 5.16 Mantenimiento y Pruebas de Utilidades de Soporte y Equipos de Cómputo 5.16.1 Descripción


5.17 Implementación de Controles Criptográficos 5.17.1 Descripción 5.17.2 Actividades a desarrollar 5.17.3 Dominio de la Norma ISO/IEC 27001:2013 5.17.4 Implementación y Monitoreo

5.18 Documentación y Mantenimiento de Procedimientos Operativos 5.18.1 Descripción

5.18.2 Actividades a desarrollar 5.18.3 Dominio de la Norma ISO/IEC 27001:2013 que cubre 5.18.4 Implementación y Monitoreo

5.19 Gestión del Cambio 5.19.1 Descripción 5.19.2 Actividades a desarrollar 5.19.3 Dominio de la Norma ISO/IEC 27001:2013 5.19.4 Implementación y Monitoreo

5.20 Generación y Verificación de Copias de Respaldo 5.20.1 Descripción 5.20.2 Actividades a desarrollar 5.20.3 Dominio de la Norma ISO/IEC 27001:2013 5.20.4 Implementación y Monitoreo

5.21 Gestión de la Capacidad


5.21.1 Descripción 5.21.2 Actividades a desarrollar

5.21.3 Dominio de la Norma ISO/IEC 27001:2013 5.21.4 Implementación y Monitoreo

5.22 Separación de Ambientes de Pruebas y Producción 5.22.1 Descripción


5.23 Registros de Auditoría y Correlación de Eventos 5.23.1 Descripción 5.23.2 Actividades a desarrollar 5.23.3 Dominio de la Norma ISO/IEC 27001:2013

5.23.4 Implementación y Monitoreo 5.24 Análisis de Vulnerabilidades Técnicas 5.24.1 Descripción 5.24.2 Actividades a desarrollar 5.24.3 Dominio de la Norma ISO/IEC 27001:2013 5.24.4 Implementación y Monitoreo 5.25 Definición de Estándares de Seguridad 5.25.1 Descripción 5.25.2 Actividades a desarrollar 5.25.3 Dominio de la Norma ISO/IEC 27001:2013 5.25.4 Implementación y Monitoreo 5.26 Definición y Aplicación de Estándares de Desarrollo Seguro 5.26.1 Descripción 5.26.2 Actividades a desarrollar 5.26.3 Dominio de la Norma ISO/IEC 27001:2013 5.26.4 Implementación y Monitoreo 5.27 Aseguramiento de Plataforma: Redes, Servidores y Bases de Datos 5.27.1 Descripción 5.27.2 Actividades a desarrollar 5.27.3 Dominio de la Norma ISO/IEC 27001:2013 5.27.4 Implementación y Monitoreo 5.28 Aseguramiento de Plataforma: Sistemas de Información

5.28.1 Descripción 5.28.2 Actividades a desarrollar 5.28.3 Dominio de la Norma ISO/IEC 27001:2013 5.28.4 Implementación y Monitoreo 5.29 Aseguramiento de Plataforma: Estaciones de Usuario


5.29.1 Descripción 5.29.2 Actividades a desarrollar 5.29.3 Dominio de la Norma ISO/IEC 27001:2013 5.29.4 Implementación y Monitoreo 5.30 Segmentación de Red a Nivel de Comunicaciones (Routers, Switches) 5.30.1 Descripción 5.30.2 Actividades a desarrollar 5.30.3 Dominio de la Norma ISO/IEC 27001:2013 5.30.4 Implementación y Monitoreo 5.31 Revisión y Ajuste de los Dispositivos de Seguridad (Firewall, IDS, IPS) 5.31.1 Descripción 5.31.2 Actividades a desarrollar 5.31.3 Dominio de la Norma ISO/IEC 27001:2013 5.31.4 Implementación y Monitoreo 5.32 Migración del Protocolo de Conectividad IPv4 a IPv6 5.32.1 Descripción 5.32.2 Actividades a desarrollar 5.32.3 Dominio de la Norma ISO/IEC 27001:2013 5.32.4 Implementación y Monitoreo 5.33 Control de Versiones de Código Fuente de los Sistemas de Información 5.33.1 Descripción 5.33.2 Actividades a desarrollar 5.33.3 Dominio de la Norma ISO/IEC 27001:2013 5.33.4 Implementación y Monitoreo 5.34 Revisión de Código Fuente de los Sistemas de Información 5.34.1 Descripción 5.34.2 Actividades a desarrollar 5.34.3 Dominio de la Norma ISO/IEC 27001:2013 5.34.4 Implementación y Monitoreo 5.35 Seguridad en el Intercambio de Información 5.35.1 Descripción 5.35.2 Actividades a desarrollar 5.35.3 Dominio de la Norma ISO/IEC 27001:2013 5.35.4 Implementación y Monitoreo 5.36 Definición y Establecimiento de Acuerdos de Niveles de Servicio

5.36.1 Descripción 5.36.2 Actividades a desarrollar 5.36.3 Dominio de la Norma ISO/IEC 27001:2013 5.36.4 Implementación y Monitoreo 5.37 Controles sobre los Terceros


5.37.1 Descripción 5.37.2 Actividades a desarrollar 5.37.3 Dominio de la Norma ISO/IEC 27001:2013 5.37.4 Implementación y Monitoreo 5.38 Análisis de Impacto al Negocio (Business Impact Analysis – BIA) 5.38.1 Descripción 5.38.2 Actividades a desarrollar 5.38.3 Dominio de la Norma ISO/IEC 27001:2013 5.38.4 Implementación y Monitoreo 5.39 Contingencia Tecnológica 5.39.1 Descripción 5.39.2 Actividades a desarrollar 5.39.3 Dominio de la Norma ISO/IEC 27001:2013 5.39.4 Implementación y Monitoreo 5.40 Gestión de Incidentes 5.40.1 Descripción 5.40.2 Actividades a desarrollar 5.40.3 Dominio de la Norma ISO/IEC 27001:2013 5.40.4 Implementación y Monitoreo 5.41 Gestión del Licenciamiento de Software 5.41.1 Descripción 5.41.2 Actividades a desarrollar 5.41.3 Dominio de la Norma ISO/IEC 27001:2013 5.41.4 Implementación y Monitoreo 5.42 Auditoría Interna y/o Externa al SGSI 5.42.1 Descripción 5.42.2 Actividades a desarrollar 5.42.3 Dominio de la Norma ISO/IEC 27001:2013 5.42.4 Implementación y Monitoreo 5.43 Revisión de Documentación del SGSI y de los Requerimientos de GEL (Gobierno Digital) 5.43.1 Descripción 5.43.2 Actividades a desarrollar 5.43.3 Dominio de la Norma ISO/IEC 27001:2013 5.43.4 Implementación y Monitoreo 5.44 Revisión y Medición de Indicadores 5.44.1 Descripción 5.44.2 Actividades a desarrollar 5.44.3 Dominio de la Norma ISO/IEC 27001:2013 5.44.4 Implementación y Monitoreo 5.45 Revisión y Ajustes del Análisis de Riesgos y Plan de Tratamiento


5.45.1 Descripción 5.45.2 Actividades a desarrollar 5.45.3 Dominio de la Norma ISO/IEC 27001:2013 5.45.4 Implementación y Monitoreo PLAN DE ACCION Y CRONOGRAMA DE PROYECTOS


1. INTRODUCCIÓN

El INVIAS y particularmente la Oficina Asesora de Planeación, inició un proceso de entendimiento del negocio de TI, toda vez que en

el año 2014 el Grupo de TI, pasó de ser una unidad netamente operativa, adscrita al Secretaría General Administrativa a un Grupo

Estratégico y a depender de la Oficina Asesora de Planeación y ello demandó iniciar un entendimiento del “negocio” e inició el proceso

en 2015 con el adelantamiento de dos factores que se demandan en el entorno de tecnología, de una parte la contratación de

Arquitectura Empresarial y de otra un diagnóstico de Seguridad y Privacidad de la Información, que derivaron en la necesidad de

contar con un plan estratégico de tecnologías de la información y las comunicaciones completamente alineado con los

lineamientos establecidos por el Ministerio de Tecnologías de la Información y las Comunicaciones, en el marco de referencia de

arquitectura empresarial del estado IT4+ y la implementación de las dimensión de Gestión con Valores para Resultados (3) de MIPG

y sus políticas de Gobierno Digital y Seguridad Digital y naturalmente alineadas con el Plan Estratégico de Tecnología y Sistemas de

Información (PETI).

Estas dos políticas, le dan valor a la seguridad de la información y a la seguridad de la informática y propenden con la orientación de

los recursos presupuestales asignados a la Oficina Asesora de Planeación definir de manera armónica las soluciones e inversiones

de TI en la materia en un horizonte de cuatro (4) años contribuyendo al logro de los objetivos estratégicos del Instituto.

El Modelo de Seguridad y Privacidad de la Información y las acciones que debían adelantarse se desarrollaron en fases que

permitieran entender la complejidad del tema e identificar las “debilidades”, pero buscando iniciar gestiones para garantizar la

seguridad de la infraestructura y los aplicativos en desarrollo y ejecución con base a la realidad operacional en la entidad.

Desde hace varios años, el incremento de la tecnología permitió de manera paralela el incremento de los hackers y los ataques

cibernéticos, esta situación no fue ajena para el Instituto y por ello desde hace varios años ha contratado agentes externos para el

diagnóstico y acciones en materia de seguridad, frente a ello y en desarrollo de MIPG, se hace necesario definir políticas en materia

de seguridad informática y de la información.

2. JUSTIFICACIÓN

Para la entidad la información, los procesos, el recurso humano, la infraestructura y los sistemas de información, son los principales

activos. La integridad, confidencialidad, y disponibilidad de información son componentes esenciales para mantener un nivel


competitivo y confiable, necesario para lograr los objetivos del Instituto y asegurar la rentabilidad social de los proyectos alineados a

los requerimientos legales del estado. Cada vez son más las amenazas que afectan a los sistemas de información poniendo en

evidencia las vulnerabilidades existentes e inherentes de cada uno de los activos de información.

La seguridad de la información no solo compete a TI y tampoco debe estar sujeta a controles técnicos, sino que requiere una presencia

activa de toda y cada una de las partes del Instituto con el apoyo y compromiso directo de la Alta Dirección, teniendo en cuenta todos

los agentes involucrados en los procesos, tanto internos como externos. Existen un gran número de normativas y buenas prácticas

que sirven de guía en la implementación del modelo de la seguridad y privacidad de la información, que contemplan la implantación

de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de estos, soportados con políticas

de seguridad y procedimientos adecuados para mantener el sistema de gestión.

El Modelo de seguridad y privacidad de la información (MSPI) ayuda a establecer estas políticas y procedimientos, procesos, en

relación con los objetivos de negocio de la organización, con objeto de mantener el nivel de exposición siempre en el nivel más bajo

de riesgo.

Con un sistema MSPI, el Instituto conoce los riesgos, sus vulnerabilidades y amenazas a los que está sometida sus activos de

información y los asume, minimiza, transfiere o controla mediante una metodología definida, documentada, difundidas, que se revisa

y mejora continuamente.

2.1 Alcance del MSPI

El Modelo de Seguridad y Privacidad de la Información del INVIAS, define la estrategia, el marco de seguridad, la alineación de la

política de seguridad con el plan estratégico institucional y el sectorial, la relación de la gestión de TI con otras áreas y con otras

Relación entre amenazas – activos – riesgos – controles (ISO 27001)


entidades y las políticas en la materia.

2.2 Objetivo

El objetivo de este documento es definir las Políticas de Seguridad y Privacidad de la Información para el Instituto Nacional de Vías

INVIAS, en cumplimiento del Modelo de Seguridad y Privacidad, alineado con la Dimensión de Gestión con Valores para Resultados

del Modelo Integrado de Planeación y Gestión (MIPG) en las políticas de Gobierno Digital y Seguridad Digital y con las orientaciones

que define la Norma NTC-ISO-IEC-27001.

2.3 Marco Legal y Normativo

Para mantener una línea en el tiempo referida a tecnologías de información, seguridad de la información, gobierno digital, MIPG y

demás normativa, es oportuno relacionar la normatividad asociada al tema.

• Ley 527 de 1999. Ley de Comercio Electrónico

• Decreto 1747 de 2000. Entidades de certificación, los certificados y las firmas digitales

• Conpes 3072 de 2000. Agenda de Conectividad

• Directiva 2 de 2000 Presidencia de la República. Plan de Acción de la Estrategia de Gobierno en Línea

• Ley 594 de 2000. Ley General de Archivos

• Ley 790 de 2002. Programa de reforma de la administración pública

• Conpes 3248 de 2003. Renovación de la administración pública

• Ley 812 de 2003. Renovación de la administración pública

• Decreto 3107 de 2003. Supresión del Programa Presidencial e Integración de la Agenda de Conectividad al MinTic

• Decreto 3816 de 2003. Comisión intersectorial de políticas y de gestión de la información para la gestión pública

• Conpes 3292 de 2004. Proyecto de racionalización y automatización de trámites

• Ley 1341 de 2009. Mecanismo y condiciones para garantizar la masificación de Gobierno en línea

• Decreto 235 de 2010. Intercambio de información entre entidades para el cumplimiento de funciones públicas

• Directiva Presidencial No. 09 de 2010: para la elaboración y articulación de los planes estratégicos sectoriales e

institucionales y para la implementación del Sistema de Monitoreo de Gestión y Resultados.

• Documento Conpes 3701 de 2011, Departamento Nacional de Planeación - lineamientos de políticas para ciberseguridad y


ciberdefensa

• Norma NTC 5854 de 2012. Accesibilidad a páginas web

• Ley 1581 de 2012, por la cual dictan disposiciones para la protección de datos personales.

• Decreto 2364 de 2012. Firma electrónica

• Decreto 2693 de 2012. Lineamientos Generales de la Estrategia de Gobierno en Línea

• Decreto 32 de 2013, por el cual se crea la Comisión Nacional Digital y de Información Estatal.

• Decreto 2573 de 2014 Por el cual se establecen los lineamientos generales de la Estrategia de Gobierno Digital, se

reglamenta parcialmente la Ley 1341 de 2009 y se dictan otras disposiciones.

• Ley 1712 de 2014. Ley de Transparencia y del derecho de acceso a la información pública nacional

• Decreto 1074 de 2015. Decreto Único Reglamentario del sector Comercio, Industria y Turismo

• Decreto 1078 de 2015 Decreto Único Sectorial. Lineamientos Generales de la Estrategia de Gobierno en Línea

• Decreto 1081 de 2015. Reglamentario Único. Decreto 103 de 2015. Reglamento sobre la gestión de información pública

• Resolución 3564 de 2015. Reglamentaciones asociadas a la Ley de Transparencia y acceso a la información pública

• Decreto 415 de 2016. Lineamientos para el fortalecimiento institucional en materia de tecnologías de información y las

comunicaciones

• Resolución 2405 de 2016. Por el cual se adopta el modelo del Sello de Excelencia Gobierno en línea y se conforma su comité

• Documento Conpes 3854 de 2016, Departamento Nacional de Planeación - política nacional de seguridad digital.

• Manual Operativo Sistema de Gestión Modelo Integrado de Gestión MIPG 2017 V2

• Decreto 612 de 2018. Por el cual se fijan directrices para integración de los planes institucionales estratégicos al Plan de

Acción por parte de las entidades del estado

2.4 Metodología

El desarrollo del MSPI, se encuentra alienada fundamentalmente en la metodología definida por Mintic. Se acoge como punto de

partida el documento Formato e implementación de Políticas de Seguridad y Privacidad de la Información anexo al Manual de

Seguridad y Privacidad de Gobierno en Línea (GEL) (hoy Gobierno Digital) en su versión actualizada. De manera complementaria, se

agregan capítulos que no contempla el documento propuesto por GEL de temas incluidos en el Anexo A de la norma ISO/IEC

27001:2013 de gran importancia para la construcción de un Manual de Políticas de Seguridad y Privacidad.


2.5 Antecedentes

El INVIAS ha venido gestionando la identificación de riesgos en materia de seguridad de la información e informática y ha venido

implementando controles a través de controles de acceso tanto externos como internos y ha venido adquiriendo herramientas

informáticas que sean el apoyo de la gestión de la infraestructura, es así como ha adquirido software para controles perimetrales

(Firewall), software para controles de virus en equipos de usuario final (Antivirus) herramientas de ofimática en la nube (Office 365) y

contratado diagnósticos de seguridad de la información (Séltika 2012 y 2015) y en el marco de las acciones realizadas, expidió sendos

actos administrativos: El Manual de Políticas y Normas de Seguridad de la Información y la Resolución XXXX de 2015, mediante la

cual de actualizaron las políticas que en materia de seguridad de la información, había adoptado el Instituto en el 2014.

3. Contexto Organizacional

3.1 Plan Estratégico Institucional – PEI

Evidentemente, las acciones que en materia de seguridad se implementen, deberán estar alineadas al Plan Estratégico Institucional

de la Entidad, el cual se encuentra bajo la siguiente ruta: https://www.invias.gov.co/index.php/informacion-institucional/hechos-de-

transparencia/planeacion-gestion-y-control/planes. Toda vez que el mismo debe estar alineado con el plan de gobierno, se hará

indispensable ajustar a principios de 2019 el PETI, dando alcance al nuevo plan de gobierno.

3.2 Estructura organizacional

La estructura organizacional es la que se encuentra publicada en la intranet de la Entidad, ubicado en la ruta:

http://intrainvias/intrainvias/index.php/nuestra-entidad/esquema-organizacional y en la página web de la entidad con la ruta:

https://www.invias.gov.co/index.php/informacion-institucional/organigrama2018

3.3 Modelo de negocio de TI

Los procesos relacionados con la gestión de TI, se encuentran clasificados como procesos estratégicos para el cumplimiento de la

misión del INVIAS, dentro del mapa de procesos vigente, disponible en el sitio web de la Entidad, bajo la siguiente ruta:

https://www.invias.gov.co/index.php/archivo-y-documentos/cnsc/procedimientos-invias/procedimientos-procesos-estrategicos/7457-gestion-de-tecnologias-de-informacion-y-comunicacion

4. Percepción de la Gestión de Seguridad de TI

Para el análisis de la situación actual, se utilizó como principal insumo el resultado del diagnóstico adelantado por Séltika en materia

https://www.invias.gov.co/index.php/informacion-institucional/hechos-de-

http://intrainvias/intrainvias/index.php/nuestra-entidad/esquema-organizacional




de seguridad durante 2012 y 2015, quienes realizaron entrevistas, hacking ético, además con la revisión de los procedimientos que

conforman el Sistema de Calidad del INVIAS. En principio las gestiones de seguridad adelantadas en el Instituto han sido suficientes

para satisfacer los requerimientos técnicos que en materia de seguridad, demanda la necesidad de seguridad en todas las

instituciones; frente a la necesidad de fortalecer los esquemas de seguridad del Instituto y evaluar la conveniencia de adoptar los

protocolos de seguridad que promueve la norma ISO 27001, hubo necesidad de adelantar los diagnósticos mencionados y hacer un

plan de acción que acogiera las recomendaciones del consultor en sus dos intervenciones y como resultado de ello, se obtuvieron

sendos diagnósticos y las acciones que se recomiendan para mejorar el estado de la seguridad de la información y de la informática.

4.1 Diagnóstico de Seguridad de TI

El Instituto desde siempre ha venido adelantando gestiones en materia de seguridad, el paso más fuerte en este sentido fue el

diagnóstico adelantado en 2012 para conocer el estado del Instituto en la materia y que se resume en las siguientes líneas:

✓ “No se encontraron normas y/o procedimientos asociados a la política, así que estos se deben definir, especificando los

procedimientos y normas que apoyan la política dentro del documento de política.

✓ La norma ISO/IEC 27001 habla de la seguridad de la información y no de seguridad informática, así que se recomienda que las

políticas de la institución se orienten a seguridad de la información más que a seguridad informática, teniendo en cuenta los

aspectos de la seguridad que no son relacionados con la tecnología, sino con los procesos o las personas.

✓ Se debe elaborar y establecer una política para el intercambio de información, con procedimientos que apoyen la protección de

la información intercambiada contra, interceptación, copiado, modificación, enrutamiento inadecuado y destrucción.

✓ Se debe realizar e implantar una política de copias de respaldo apoyada de normas y procedimientos claros para la generación

y restauración de copias de respaldo.

✓ Se debe verificar que en el plan de continuidad del negocio que se encuentre implantado tenga aspectos de seguridad como los

activos críticos de la institución, el impacto que pueden causar los incidentes de seguridad, y demás consideraciones de

seguridad de la información que se deben tener en cuenta.

✓ Se debería tomar en cuenta el anexo 5 de GEL para la elaboración de la política, específicamente en el punto donde se establecen

las doce (12) políticas de seguridad que soportan el SGSI.

✓ Se recomienda definir una política para el Control de Acceso Físico, esta se deberá encontrar apoyada de normas y

procedimientos que la alineen frente al dominio nueve (9) de la norma ISO/IEC 27001

✓ Se recomienda establecer una política para el uso de dispositivos móviles, esta deberá estas apoyada por las normas y

procedimientos pertinentes.

✓ Se recomienda alinear todos los documentos frente al estándar manejado dentro de la institución para la elaboración de

documentos.

✓ Se recomienda que cada norma apoye exclusivamente a una política, en cambio cada política si puede tener varias normas y

procedimientos asociados.

✓ Se recomienda establecer una política para el cumplimiento de la obligaciones legales, regulatorias y contractuales establecidas.


✓ Se debe considerar establecer una política de clasificación de la información y posteriormente realizar una alineación junto a la

política de control de acceso.

✓ Se debe establecer una política de seguridad de los recursos humanos, que se encuentre apoyada por normas y procedimientos

referentes a la seguridad del personal.

✓ Se debe establecer una política de seguridad para la gestión de incidentes, apoyada por procedimientos y normas asociados.”

En 2015 y frente a las nuevas condiciones del mercado, frente a unos nuevos riesgos, hubo necesidad de volver a hacer un diagnóstico

de la seguridad de la información del Instituto, obteniéndose en resumen el siguiente diagnóstico:

❖ “No se encontró relación entre la caracterización del Proceso Gestión de Tecnologías de Información y Comunicación con los procedimientos e instructivos entregados para revisión.

❖ La mayoría de la documentación entregada y revisada correspondía a información propia de la gestión del servicio de tecnología más que ha información referente al modelo de Seguridad de la Información del Instituto. Los procedimientos, instructivos y formatos, de manera general son bastante antiguos, por lo que se recomienda su revisión y actualización, manteniéndose alineados con el Proceso Gestión de Tecnologías de Información y Comunicación.

❖ En sesión de trabajo realizada en las instalaciones del Instituto fue presentada la matriz de riesgos de seguridad. Aun así, durante la revisión de la documentación realizada no se evidenció dicho documento; por tal razón, se recomienda la verificación de su vigencia.

❖ Se recomienda actualizar las Políticas de Seguridad de la Información en concordancia con la versión 2013 de la norma ISO/IEC 27001 y la versión actualizada del Modelo de Seguridad y Privacidad de la Información publicado por Gobierno en Línea (GEL).

❖ No se encontraron normas y/o procedimientos que muestren una asociación directa con las Políticas de Seguridad de la Información, por lo cual dichas normas y/o procedimientos deben ser elaborados y establecidos por el Instituto.”

Estos dos diagnósticos y con diferencia de tres años entre uno y otro, muestra que hay hoy por hoy situaciones similares en dos

períodos completamente diferentes y que implican la necesidad de adelantar gestiones inmediatas en materia de seguridad desde la

infraestructura y de otro lado iniciar las gestiones administrativas tendientes a cumplir con parámetros mínimos de seguridad dentro

de los sistemas internos.

Aunque la percepción de seguridad ha mejorado, y se ha evidenciado que no es una tarea exclusiva de TI, la gestión no es suficiente

y frente a las nuevas amenazas y los casos mundiales de ataques cibernéticos, las acciones deben ser más contundentes y requieren

acciones inmediatas que mejoren no sólo la percepción, si no que sean acciones reales.

La organización aún no ha tomado la conciencia de ser una organización basada en procesos, su modelo de gobernabilidad aún está

basado en jerarquías del organigrama y administra en forma piramidal y no basada en el cumplimiento y monitoreo de unos procesos

de negocio, en materia de seguridad, esto es aún más notorio.


La toma de decisiones de INVIAS con respecto a la inversión en proyectos de TI, ha sido más consistente en los últimos años y

consulta las necesidades planteadas por los Coordinadores en el Plan de Inversión de TI del Instituto, amén a que los recursos puedan

resultar insuficientes para la transformación de TI y frente a los nuevos retos que demanda la transformación digital no sólo del

Instituto, si no del sector gobierno y particularmente en materia de seguridad.

La estructura funcional ha limitado el esquema de una política de gerencia del conocimiento. El personal de TI - experto, ha desertado

debido a que han ido en busca de nuevas oportunidades, y/o personal pensionado y no hay cubrimiento eficiente de estos cargos y

muchos se han llevado el “conocimiento ganado en la organización”, la estructura de TI, no es una estructura de mercado que permita

hacer ajustes rápidos, es la típica estructura gubernamental burocrática y lenta en la toma de decisiones. No se realiza la transferencia

del conocimiento. Aunque como resultado del último concurso para ingresar a carrera administrativa, ingresaron a la entidad nuevos

ingenieros con perfiles que pueden coadyuvar en el manejo de seguridad informática y de la información; y se mejoró el nivel

profesional de TI, los niveles de los profesionales son muy bajo, lo que no permite traer ”expertos”; se han vinculado profesionales de

muy bajo perfil o recién egresados, que no le aportan a la organización conocimiento (Profesionales 1 y 5) para hacer cambios de

mayor envergadura, se debería pensar en reestructurar tecnología con profesionales altamente especializados, de nivel 15 en

adelante. En materia de seguridad se tiene un funcionario de nivel técnico como el “experto en seguridad”, este experticia ha sido el

conocimiento ganado en la entidad y con un factor de “curiosidad profesional”, toda vez que su formación profesional no es vinculante

con la formación en ciencias de computación o similares y uno de los ingenieros recién vinculados, ha ido aprendiendo y aportando

al tema de seguridad y actúa como backup del técnico, muestra una debilidad funcional y estructural en materia de seguridad.

La tendencia en el mercado es contar con un “Oficial” de seguridad, sin embargo, los perfiles de la estructura funcional definida por el

Departamento Administrativo de la Función Pública y el Manual de funciones y perfiles de la entidad, distan mucho de corresponder

a una necesidad técnica, operativa y de requisitos de TI.

4.1.1 Diagnóstico de la Seguridad de la Información

SITUACION IDENTIFICADA

Con base en los diagnósticos adelantados, en el numeral 4.1, se deben realizar acciones de mejora o planes de acción que se

indican a continuación.

ACCIONES DE MEJORA

✓ Actualizar, implantar y socializar el Manual de Objetivos, Políticas y Normas de Seguridad de la Información


✓ Actualizar, implantar y socializar la Resolución con la cual se adoptó el Manual de Objetivos, Políticas y Normas de Seguridad

de la Información

✓ Alinear permanentemente el modelo de gestión y seguridad de la información, con la arquitectura y el negocio.

✓ Mantener información y formación permanente sobre la necesidad de mantener esquemas de seguridad a nivel de usuario final

para toma de conciencia.

✓ Actualizar la matriz de riesgos de TI

✓ Iniciar acciones de ejecución de los proyectos para adopción de las mejores prácticas en materia de seguridad a la luz de ISO-

27001 y con base en el siguiente listado de actividades y/o proyectos y/o controles derivados del análisis de la consultoría

adelantada.

A continuación, se presentan aquellos controles del Anexo A de la norma ISO/IEC 27001:2013 que mitigan total o parcialmente vulnerabilidades de seguridad, relacionadas en el análisis de riesgos de seguridad llevado a cabo por el INVIAS.

El nombre de las vulnerabilidades se presenta tal como aparecen en la matriz de riesgos.

A.5 Política de Seguridad de Información

A.5.1 Gestión y Dirección para Seguridad de la Información Vulnerabilidades

A.5.1.1 Documento de Política de Seguridad de la Información org15 Ausencia de control de activos per8 Ausencia de políticas

A.5.1.2 Revisión a la Política de Seguridad de la Información per8 Ausencia de políticas

A.6 Organización de Seguridad de la Información

A.6.1 Organización interna

A.6.1.1 Roles y Responsabilidades de Seguridad de la Información org12 Ausencia de definición de roles y responsabilidades

A.6.1.2 Segregación de Funciones org12 Ausencia de definición de roles y responsabilidades

A.6.2 Dispositivos móviles y teletrabajo

A.6.2.1 Política de dispositivos móviles per8 Ausencia de políticas

A.7 Seguridad de Recursos Humanos

A.7.2 Durante la contratación

A.7.2.2 Concientización, educación y entrenamiento en Seguridad de la Información

per3 Entrenamiento insuficiente per5 Falta de conciencia acerca de la seguridad

A.8 Gestión de Activos


A.8.1 Responsabilidad sobre los activos

A.8.1.1 Inventario de activos org15 Ausencia de control de activos

A.8.1.3 Uso aceptable de los activos org15 Ausencia de control de activos per4 Uso incorrecto de SW y HW

A.8.1.4 Devolución de Activos org15 Ausencia de control de activos

A.8.2 Clasificación de la información

A.8.2.1 Clasificación de Información org11 Ausencia de procedimiento para clasificación de la información

A.8.2.2 Etiquetado de Información org11 Ausencia de procedimiento para clasificación de la información

A.8.2.3 Manejo de activos

hw10 Copia no controlada hw8 Almacenamiento sin protección org11 Ausencia de procedimiento para clasificación de la información org15 Ausencia de control de activos

A.8.3 Manejo de medios

A.8.3.1 Gestión de Medios Removibles hw8 Almacenamiento sin protección org15 Ausencia de control de activos

A.8.3.2 Disposición de Medios sw4 Disposición o reutilización de medios de almacenamiento

A.9 Control de Acceso

A.9.1 Requerimientos del negocio para el control de acceso

A.9.1.1 Política de Control de Acceso per8 Ausencia de políticas

A.9.2 Administración de acceso de usuarios

A.9.2.1 Registro y cancelación de usuarios red6 Ausencia de identificación y autentificación sw13 Ausencia de mecanismos de identificación y autenticación

A.9.2.2 Asignación de acceso a usuarios

sw6 Ausencia errada de los derechos de acceso red6 Ausencia de identificación y autentificación sw13 Ausencia de mecanismos de identificación y autenticación red8 Transferencia de contraseña

A.9.2.3 Gestión de derechos de acceso privilegiados sw6 Ausencia errada de los derechos de acceso red6 Ausencia de identificación y autentificación sw13 Ausencia de mecanismos de identificación y autenticación

A.9.2.4 Gestión de información de autenticación de usuarios

sw14 Tablas de contraseñas sin protección sw15 Gestión deficiente de las contraseñas red6 Ausencia de identificación y autentificación sw13 Ausencia de mecanismos de identificación y autenticación

A.9.3 Responsabilidades de los usuarios


A.9.3.1 Uso de la información de autenticación red8 Transferencia de contraseña sw15 Gestión deficiente de las contraseñas

A.9.4 Control de acceso a sistemas y aplicaciones

A.9.4.1 Restricción de acceso a la información red6 Ausencia de identificación y autentificación sw13 Ausencia de mecanismos de identificación y autenticación

A.9.4.2 Procedimientos de autenticación segura red6 Ausencia de identificación y autentificación sw13 Ausencia de mecanismos de identificación y autenticación

A.9.4.3 Sistema de administración de contraseñas sw14 Tablas de contraseñas sin protección sw15 Gestión deficiente de las contraseñas

A.10 Criptografía

A.10.1 Controles criptográficos

A.10.1.1 Política de Controles Criptográficos per8 Ausencia de políticas

A.11 Seguridad Física y Medioambiental

A.11.1 Áreas seguras

A.11.1.1 Perímetro de Seguridad Física Lug1 Uso inadecuado o descuidado del control de acceso físico sw22 Ausencia de protección física

A.11.1.2 Controles de Acceso Físico Lug1 Uso inadecuado o descuidado del control de acceso físico sw22 Ausencia de protección física red2 Líneas de comunicación sin protección

A.11.1.3 Seguridad de oficinas, recintos e instalaciones Lug1 Uso inadecuado o descuidado del control de acceso físico sw22 Ausencia de protección física red2 Líneas de comunicación sin protección

A.11.1.4 Protección contra amenazas externas y ambientales hw7 Susceptibilidad en la variación de temperatura

A.11.1.5 Trabajo en áreas seguras Lug2 Ubicación en un área susceptible Lug1 Uso inadecuado o descuidado del control de acceso fisco sw22 Ausencia de protección física

A.11.1.6 Áreas de carga y descarga Lug1 Uso inadecuado o descuidado del control de acceso físico sw22 Ausencia de protección física

A.11.2 Equipos

A.11.2.1 Ubicación y protección de los equipos Lug2 Ubicación en un área susceptible

A.11.2.2 Utilidades de soporte Hw6 Susceptibilidad en la variación del voltaje Lug3 Red energética inestable

A.11.2.3 Seguridad del Cableado red2 Líneas de comunicación sin protección red4 Conexión deficiente de los cables


A.11.2.4 Mantenimiento de los Equipos hw1 Mantenimiento insuficiente / instalación fallida de los medios de mantenimiento hw2 Ausencia de esquema de remplazo periódico

A.11.2.7 Disposición o reutilización segura de los equipos hw9 Falta de cuidado en la disponibilidad final hw2 Ausencia de esquema de remplazo periódico

A.11.2.9 Política de escritorio limpio y pantalla limpia per8 Ausencia de políticas

A.12 Seguridad en las Operaciones

A.12.1 Procedimientos operativos y responsabilidades

A.12.1.1 Procedimientos operativos documentados sw10 Ausencia de documentación

A.12.1.2 Gestión del Cambio org7 Ausencia de controles de cambios sw19 Ausencia de control o cambio ineficaz

A.12.2 Protección contra código malicioso

A.12.2.1 Protección contra código malicioso sw20 Descarga y uso no controlado de SW per4 Uso incorrecto de SW y HW

A.12.3 Copias de seguridad

A.12.3.1 Copias de seguridad de la Información sw21 Ausencia de copias de respaldo

A.12.4 Registro y monitoreo

A.12.4.1 Registros de eventos sw5 Ausencia de pistas de auditoria

A.12.4.2 Protección de los registros de auditoría sw5 Ausencia de pistas de auditoria

A.12.4.3 Registros de administradores y operadores sw5 Ausencia de pistas de auditoria

A.12.5 Control del software operacional

A.12.5.1 Instalación de software en los sistemas operativos sw20 Descarga y uso no controlado de SW per4 Uso incorrecto de SW y HW

A.12.6 Gestión de vulnerabilidades técnicas

A.12.6.1 Gestión de vulnerabilidades técnicas sw11 Configuración incorrecta de parámetros sw16 Habilitación de servicios innecesarios sw2 Defectos bien conocidos en el SW

A.12.6.2 Restricciones en la instalación de software sw20 Descarga y uso no controlado de SW per4 Uso incorrecto de SW y HW

A.13 Seguridad en las Comunicaciones

A.13.1 Gestión de seguridad en la red

A.13.1.1 Controles de Red

red10 Conexión de la red pública sin protección red3 Trafico sensible sin protección red9 Gestión inadecuada de la red sw16 Habilitación de servicios innecesarios sw20 Descarga y uso no controlado de SW


A.13.1.2 Seguridad de los servicios de red red10 Conexión de la red pública sin protección red3 Trafico sensible sin protección red9 Gestión inadecuada de la red

A.13.1.3 Segmentación de redes red10 Conexión de la red pública sin protección red3 Trafico sensible sin protección red9 Gestión inadecuada de la red

A.13.2 Intercambio de información

A.13.2.1 Políticas y procedimientos de intercambio de información per8 Ausencia de políticas

A.13.2.3 Mensajería Electrónica red1 Ausencia de pruebas de envío o recepción de mensajes

A.14 Adquisición, Desarrollo y Mantenimiento de Sistemas

A.14.1 Requisitos de seguridad de los sistemas de información

A.14.1.1 Análisis y especificación de los requisitos de seguridad de la información

sw17 SW nuevo o inmaduro sw18 Especificaciones incompletas

A.14.2 A.14.2 Seguridad en los procesos de desarrollo y soporte

A.14.2.1 Política de desarrollo seguro per8 Ausencia de políticas

A.14.2.2 Procedimientos de control de cambios en sistemas org7 Ausencia de controles de cambios sw19 Ausencia de control o cambio ineficaz

A.14.2.3 Revisión técnica de las aplicaciones después de cambios en la plataforma

sw1 Ausencia o insuficiencia de pruebas del SW

A.14.2.4 Restricciones en los cambios a los paquetes de software org7 Ausencia de controles de cambios sw19 Ausencia de control o cambio ineficaz sw17 SW nuevo o inmaduro

A.14.2.7 Desarrollo por terceras partes org6 Respuesta inadecuada al mantenimiento de servicio

A.14.2.8 Pruebas de seguridad del sistema sw1 Ausencia o insuficiencia de pruebas del SW sw17 SW nuevo o inmaduro

A.14.2.9 Pruebas de aceptación del sistema sw1 Ausencia o insuficiencia de pruebas del SW sw17 SW nuevo o inmaduro

A.15 Relaciones con terceras partes

A.15.1 Seguridad de la información en las relaciones con terceras partes

A.15.1.1 Política de seguridad de la información para relaciones con terceras partes

per8 Ausencia de políticas

A.15.1.2 Abordar la seguridad en los acuerdos con terceras partes org6 Respuesta inadecuada al mantenimiento de servicio


A.15.1.3 Cadena de suministro de las Tecnologías de la Información y las Comunicaciones

org6 Respuesta inadecuada al mantenimiento de servicio

A.15.2 Gestión de la prestación de servicios de terceras partes

A.15.2.1 Monitoreo y revisión de los servicios provistos por terceras partes


A.15.2.2 Manejo de cambios en los servicios provistos por terceras partes


A.17 Aspectos de Seguridad de la Información de la Gestión de Continuidad del Negocio

A.17.1 Seguridad de la información en la continuidad del negocio

A.17.1.1 Planear la seguridad de la información en la continuidad del negocio

org10 Ausencia de planes de continuidad

A.17.1.2 Implementar la seguridad de la información en la continuidad del negocio


A.17.1.3 Verificar, revisar y evaluar la seguridad de la información en la continuidad del negocio


A.17.2 A.17.2 Redundancia

A.17.2.1 A.17.2.1 Disponibilidad de instalaciones de procesamiento de información


A.18 Cumplimiento

A.18.1 Cumplimiento con los requisitos legales y contractuales

A.18.1.2 Derechos de propiedad intelectual sw7 SW ampliamente distribuido per4 Uso incorrecto de SW y HW sw20 Descarga y uso no controlado de SW

A.18.1.3 Protección de registros hw8 Almacenamiento sin protección

A.18.2 Revisiones de seguridad de la información

A.18.2.1 Revisión independiente de seguridad de la información org3 Ausencia de procedimientos de monitoreo

A.18.2.2 Cumplimiento con políticas y estándares de seguridad per8 Ausencia de políticas sw11 Configuración incorrecta de parámetros sw16 Habilitación de servicios innecesarios

A.18.2.3 Revisión del cumplimiento técnico sw11 Configuración incorrecta de parámetros sw16 Habilitación de servicios innecesarios


CONTROLES QUE NO ESTAN ASOCIADOS A VULNERABILIDADES

En la siguiente tabla se relacionan aquellos controles del Anexo A de la norma ISO/IEC 27001:2013 que no pueden ser asociados a las vulnerabilidades identificadas en el análisis de riesgos de seguridad llevado a cabo por el INVIAS. Se recomienda identificar vulnerabilidades que sean mitigadas por estos controles para futuros análisis de riesgos, en la medida en que resulten aplicables para el Instituto.

A.6 Organización de Seguridad de la Información

A.6.1 Organización interna

A.6.1.3 Contacto con las Autoridades

A.6.1.4 Contacto con Grupos de Interés

A.6.1.5 Seguridad de la información en Gestión de Proyectos

A.6.2 Dispositivos móviles y teletrabajo

A.6.2.2 Teletrabajo

A.7 Seguridad de Recursos Humanos

A.7.1 Previo a la contratación

A.7.1.1 Selección

A.7.1.2 Términos y Condiciones del Empleo

A.7.2 Durante la contratación

A.7.2.1 Responsabilidades de la Dirección

A.7.2.3 Proceso Disciplinario

A.7.3 Terminación o cambio de trabajo

A.7.3.1 Responsabilidades de Terminación

A.8 Gestión de Activos

A.8.1 Responsabilidad sobre los activos

A.8.1.2 Propiedad de los activos

A.8.3 Manejo de medios

A.8.3.3 Transferencia Física de Medios

A.9 Control de Acceso

A.9.1 Requerimientos del negocio para el control de acceso

A.9.1.2 Acceso a redes y servicios de red

A.9.2 Administración de acceso de usuarios

A.9.2.5 Revisión de los derechos de acceso de los usuarios

A.9.2.6 Remoción o ajuste de derechos de acceso

A.9.4 Control de acceso a sistemas y aplicaciones


A.9.4.4 Uso de utilidades

A.9.4.5 Control de acceso al código fuente de programas

A.10 Criptografía

A.10.1 Controles criptográficos

A.10.1.2 Administración de Llaves

A.11 Seguridad Física y Medioambiental

A.11.2 Equipos

A.11.2.5 Retiro de activos

A.11.2.6 Seguridad de los equipos y activos fuera de las instalaciones

A.11.2.8 Equipos desatendidos

A.12 Seguridad en las Operaciones

A.12.1 Procedimientos operativos y responsabilidades

A.12.1.3 Gestión de la Capacidad

A.12.1.4 Separación de ambientes de desarrollo, pruebas y producción

A.12.4 Registro y monitoreo

A.12.4.4 Sincronización de reloj

A.12.7 Consideraciones de auditoría de sistemas de información

Controles de auditoría de sistemas de información

A.13 Seguridad en las Comunicaciones

A.13.2 Intercambio de información

A.13.2.2 Acuerdos de intercambio de información

A.13.2.4 Acuerdos de confidencialidad o no divulgación

A.14 Adquisición, Desarrollo y Mantenimiento de Sistemas

A.14.1 Requisitos de seguridad de los sistemas de información

A.14.1.2 Protección de servicios de aplicaciones en redes publicas

A.14.1.3 Protección de los servicios de transacciones en aplicaciones

A.14.2 Seguridad en los procesos de desarrollo y soporte

A.14.2.5 Principios de ingeniería para sistemas seguros

A.14.2.6 Entorno de desarrollo seguro

A.14.3 Datos de prueba

A.14.3.1 Protección de los datos de prueba

A.16 Gestión de incidentes de Seguridad

A.16.1 Gestión de incidentes de seguridad de la información y mejoras


A.16.1.1 Responsabilidades y procedimientos

A.16.1.2 Reporte de los eventos de seguridad de la información

A.16.1.3 Reporte de las debilidades de seguridad de la información

A.16.1.4 Evaluación y decisión de los eventos de seguridad de la información

A.16.1.5 Respuesta a los incidentes de seguridad de la información

A.16.1.6 Aprendizaje de los Incidentes de Seguridad de la Información

A.16.1.7 Recolección de Evidencia

A.18 Cumplimiento

A.18.1 Cumplimiento con los requisitos legales y contractuales

A.18.1.1 Identificación de la legislación aplicable y los requisitos contractuales

A.18.1.4 Protección de los datos y privacidad de la información personal

A.18.1.5 Regulación de controles criptográficos

VULNERABILIDADES NO APLICABLES EN UN ANALISIS DE RIESGOS DE SEGURIDAD

En la siguiente tabla se relacionan aquellas vulnerabilidades identificadas en el análisis de riesgos de seguridad que no corresponden a vulnerabilidades de seguridad o, que, si bien son válidas para un tipo de análisis como este, no pueden ser mitigadas por controles de seguridad del Anexo A de la norma ISO/IEC 27001:2013 porque se relacionan directamente con los requerimientos obligatorios del Sistema de Gestión de Seguridad de la Información (SGSI).

org5 Ausencia de valorización de riesgos

hw4 Sensibilidad a la radiación electrónica

Lug4 Ausencia de políticas para uso correcto de medios de comunicación

sw8 En términos de tiempo uso de datos errados en el programa de aplicación

org4 Ausencia de auditorias

org8 Ausencia en el control de documentos SGSI

org9 Ausencia en la supervisión de documentos SGSI

org16 Ausencia de revisiones regulares

sw3 Ausencia de terminación de sesión

sw23 Falla en la producción de informes de gestión

sw9 Interfaz de usuario compleja

org18 Ausencia de procedimientos de cumplimiento


Las actividades y/o vulnerabilidades identificadas implican una gestión casi personalizada y el compromiso de todos y cada uno de los funcionarios y contratistas de TI.

5 PLAN DE ACCION DE SEGURIDAD DE LA INFORMACION

Tomando como insumos la matriz de riesgos de seguridad de la información generada por el INVIAS en el año 2014 y

actualizada en 2018, el Análisis GAP de controles del Anexo A de la norma ISO/IEC 27001:2013 realizado y los requisitos que

pide el Modelo actualizado de Seguridad y Privacidad de Gobierno en Línea (GEL) (hoy Gobierno Digital), entre ellos el

documento de Autodiagnóstico de la Norma ISO 27001 suministrado por el Ministerio de las Tecnologías de Información y las

Comunicaciones (MinTIC), a continuación se presenta un grupo de proyectos propuestos orientados a implantar o mejorar el

estado de los controles de seguridad en el INVIAS.

Estos proyectos se encuentran alineados con los requerimientos obligatorios y los controles del Anexo A de la norma ISO/IEC

27001:2013, así como con los requerimientos del Modelo de Seguridad y Privacidad de Gobierno en Línea (GEL) (hoy Gobierno

Digital) y los hallazgos de las pruebas técnicas de vulnerabilidades realizadas por la consultoría en 2012 y 2015 sobre la

plataforma tecnológica del Instituto.

Se generó una Hoja de Ruta (Roadmap) para desarrollo de proyectos, distribuyendo y asignando prioridad a los proyectos

durante tres (3) períodos de tiempo; esta Hoja de Ruta sirve de guía para el desarrollo de dichos proyectos, permitiendo al

Instituto modificar la prioridad de estos según se considere pertinente, dado que están sujetos a consideraciones

presupuestales y de disponibilidad de recursos humanos por parte del Instituto Nacional de Vías INVIAS.

5.1 IMPLEMENTACIÓN Y SEGUIMIENTO DE POLITICAS DE SEGURIDAD

Descripción

Tiene el objetivo de llevar a cabo la implementación y posterior seguimiento a las políticas de seguridad de la información que se encuentran definidas para el INVIAS, con el fin de obtener el compromiso de todos los funcionarios, contratistas y terceros frente a la seguridad de la información.

5.1.1 Actividades a desarrollar

Las actividades a desarrollar durante la ejecución de este proyecto:

❖ Desarrollar una política global de seguridad y políticas específicas orientadas a los temas que recomiendan Gobierno en Línea (GEL) (hoy Gobierno Digital) y los dominios del Anexo A de la norma ISO/IEC 27001:2013.

❖ Revisar las políticas de seguridad de la información que se han aprobado en INVIAS. ❖ Divulgar e implementar las políticas de seguridad de la información una vez revisadas y aprobadas.


❖ Hacer seguimiento al cumplimiento de las políticas de seguridad de la información, con el fin de verificar su acatamiento y aceptación por parte de los funcionarios y contratistas del Instituto.

❖ Revisar periódicamente las políticas de seguridad de la información y, realizar ajustes de ser necesario, con el fin de garantizar que son adecuadas y funcionales para el Instituto.

5.1.2 Dominio de la Norma ISO/IEC 27001:2013

Si bien la norma ISO 27001 no es el fin institucional, si es el medio mediante el cual se logran las mejores prácticas que en materia de Seguridad de la Información debe adoptar la entidad. Este proyecto apoya el numeral cinco (5) y el dominio cinco (5) del anexo A de la norma ISO/IEC 27001:2013, específicamente en política de seguridad; además, apoya los dominios del seis (6) al dieciocho (18) del anexo A de la misma norma, en donde la existencia de políticas de seguridad de la información es un factor crítico de éxito.

5.1.3 Implementación y Monitoreo

A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:

❖ Comité Institucional de Desarrollo y Gestión. ❖ Oficina Asesora de Planeación (como líder del SGSI).

5.2 GENERACIÓN DE LA ORGANIZACIÓN DE SEGURIDAD

5.2.1 Descripción

Tiene como propósito establecer los roles y responsabilidades encargados de la seguridad de la información en el INVIAS desde el nivel directivo hasta el operativo.


A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto: ❖ Verificar si dentro de las funciones del Comité Institucional de Desarrollo y Gestión se encuentran la generación de los

lineamientos en seguridad de la información y la aprobación de la documentación y las estrategias generadas para la operación del Sistema de Gestión de Seguridad de la Información (SGSI).

❖ Fortalecer y reasignar funciones al grupo de trabajo encargado de liderar los aspectos tácticos y operativos relacionados con la seguridad de la información, definiendo entre otras cosas el Oficial de Seguridad.

❖ Dar a conocer a las áreas o grupos de trabajo con responsabilidad indirecta sobre temas relacionados con seguridad de la información sus responsabilidades, de acuerdo con lo establecido por la norma ISO/IEC 27001:2013. Estas áreas son, entre otras: la Subdirección Administrativa (en temas relacionados con el talento humano y la seguridad física y medioambiental), la Oficina de Control Interno (en relación con las auditorias y revisiones al SGSI y la Oficina Asesora Jurídica (en la generación de conceptos y revisiones de requisitos propios del SGSI).


❖ Documentar formalmente la organización de seguridad de la información en el Instituto y divulgar las responsabilidades a los comités, áreas o grupos de trabajo involucrados.


Este proyecto apoya parcialmente el dominio seis (6) del anexo A de la norma ISO/IEC 27001:2013.


A continuación, se definen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:

❖ Comité Institucional de Desarrollo y Gestión. ❖ Oficina Asesora de Planeación (como líder del SGSI). ❖ Subdirección Administrativa.

5.3 DOCUMENTACIÓN DEL SGSI Y CUMPLIMIENTOCON LOS REQUERIMIENTOS DE GEL

5.3.1 Descripción

Busca el desarrollo de la documentación correspondiente al Sistema de Gestión de Seguridad de la Información (SGSI) en cumplimiento a los requisitos del Modelo de Seguridad y Privacidad de Gobierno en Línea (GEL) (hoy Gobierno Digital), necesaria para posteriormente operar, dar seguimiento, revisar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información (SGSI).


A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:

❖ Definir alcance del Sistema de Gestión de Seguridad de la Información (SGSI). ❖ Definir políticas y objetivos del Sistema de Gestión de Seguridad de la Información (SGSI). ❖ Identificar los requisitos legales exigidos al INVIAS en términos de protección de la información. ❖ Aplicar la metodología de gestión de riesgos de seguridad de la información. ❖ Identificar, valorar y generar el inventario de activos de información para el Proceso de Gestión de tecnologías de información y

comunicaciones. ❖ Analizar y evaluar los riesgos de seguridad para el Proceso de Gestión de tecnologías de información y comunicaciones,

considerando aspectos referentes a cambios en el proceso, los activos de información, la plataforma tecnológica, nuevas amenazas y efectividad de los controles implementados.

❖ Generar el plan de tratamiento de riesgos en función de los controles del Anexo A de la norma ISO/IEC27001:2013. ❖ Generar la Declaración de Aplicabilidad. ❖ Elaborar los documentos restantes del Modelo de Seguridad (políticas, normas y procedimientos del SGSI).


❖ Obtener la aprobación del Modelo de Seguridad y de la implementación y operación del SGSI. ❖ Propiciar la integración del SGSI con otros Sistemas de Gestión del INVIAS.


Este proyecto apoya los numerales cuatro (4) y seis (6) de la norma ISO/IEC 27001:2013, que cubren los aspectos relacionados con el Sistema de Gestión de Seguridad del Información (SGSI).




5.4 GENERACIÓN DE INDICADORES

5.4.1 Descripción

Se basa en la generación de indicadores para el modelo de seguridad de la información del Instituto Nacional de Vías INVIAS, con el objetivo de adquirir métricas frente a su eficacia y eficiencia.


A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto: ❖ Identificar y generar los indicadores más adecuados para el modelo de seguridad de la información del Instituto, considerando

las recomendaciones del Modelo de Seguridad y Privacidad de GEL y la madurez del modelo en el INVIAS. ❖ Implementar los indicadores generados, con el fin de generar registros en cada uno de ellos. ❖ Monitorear los indicadores creados de acuerdo con los registros generados en cada uno de ellos, con el fin de verificar si el

objetivo del indicador se cumple o si el mismo requiere un ajuste de acuerdo con su comportamiento; esta actividad se desarrolla con detalle en un proyecto propuesto en este documento.


Este proyecto apoya el numeral seis (6) de la norma ISO/IEC 27001:2013.




❖ Oficina Asesora de Planeación (como líder del SGSI).

5.5 CONTROLES SOBRE LOS FUNCIONARIOS DESDE LA VINCULACIÓN HASTA LA DESVINCULACIÓN

5.5.1 Descripción

Busca que los funcionarios y contratistas del Instituto, conozcan la importancia de la seguridad de la información, y de sus funciones y responsabilidades con esta desde el momento de la vinculación con el Instituto, hasta el momento de su desvinculación.


A continuación, se presentan las actividades a desarrollar para la ejecución de este proyecto: ❖ Establecer en el proceso de vinculación aspectos a tener en cuenta como la verificación de los roles de los funcionarios vinculados

para saber a qué tipo de información clasificada van a tener acceso y los posibles riesgos. ❖ Incorporar en el proceso de inducción a los funcionarios la divulgación de las funciones y responsabilidades frente a la seguridad

de la información desde su vinculación, hasta su desvinculación. ❖ Actualizar, en conjunto con la Oficina Asesora Jurídica, los documentos correspondientes a acuerdos o cláusulas confidencialidad

durante el proceso de vinculación de funcionarios y/o contratistas, con el fin que estos conozcan y acepten la responsabilidad sobre la información a la que tienen acceso y/o procesan.

❖ Actualizar el proceso de desvinculación de funcionarios o contratistas, así como los cambios de cargo de funcionarios, aspectos referentes a la entrega de información, derechos de acceso, puestos de trabajo y bienes de manera formal y documentada.

❖ Comunicar en el proceso de desvinculación las responsabilidades frente a la seguridad de la información que permanecen en el tiempo.


Este proyecto apoya parcialmente el numeral siete (7) y los dominios siete (7), ocho (8) y nueve (9) del anexo A de la norma ISO/IEC 27001:2013.



❖ Comité Institucional de Desarrollo y Gestión. ❖ Subdirección Administrativa.


5.6 CONCIENCIACIÓN Y EDUCACIÓN

5.6.1 Descripción

La seguridad es un concepto que atañe a todos en el Instituto, el objetivo de este acápite es fomentar concienciación y educación de todos los funcionarios, contratistas y terceros del Instituto Nacional de Vías frente a la importancia de la protección de la información dentro de sus actividades y como sus acciones contribuyen a optimizar la seguridad de la información y al logro de los objetivos del Sistema de Gestión de Seguridad de la Información (SGSI).


A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto: ❖ Generar de manera permanente, programas de concienciación de seguridad de la información, considerando aspectos tales

como los grupos objetivo, funciones, responsabilidades y habilidades; dichos programas deben considerar que en cada periodo de concienciación y educación se cubran grupos objetivo y temarios específicos, iniciando por grupos de usuario final, hasta alcanzar grupos con conocimientos en seguridad de la información y la Alta Dirección, debe incluirse la actualización de campañas de seguridad a través de diferentes medios.

❖ Desarrollar los programas de concienciación de seguridad de la información, a través de la realización de charlas, folletos, pendones u otra herramienta que se considere, para posteriormente medir su efectividad en cada uno de los grupos objetivo que reflejen los niveles conciencia en seguridad de la información.

❖ Revisar periódicamente el nivel de apropiación del Modelo de Seguridad y Privacidad de la información en los funcionarios, contratistas y terceros, a través de métricas, con el fin de identificar la necesidad de reforzar las charlas, sesiones de trabajo, talleres y herramientas utilizadas.


Este proyecto apoya parcialmente el numeral siete (7) y el dominio siete (7) del anexo A de la norma ISO/IEC 27001:2013, específicamente en concientización, educación y entrenamiento en seguridad de la información; además, apoya otros dominios como el ocho (8), once (11), doce (12), trece (13) y dieciséis (16) de la misma norma, en donde la concientización y educación es un factor crítico para el éxito.



❖ Comité Institucional de Desarrollo y Gestión. ❖ Oficina Asesora de Planeación (como líder del SGSI). ❖ Subdirección Administrativa. ❖ Secretaría General – Grupo de Comunicaciones


5.7 VINCULACIÓN A FOROS Y GRUPOS DE INTERES

5.7.1 Descripción

Tiene como propósito crear y mantener vínculos con foros y grupos de interés relacionados con seguridad de la información, estándares internacionales y buenas prácticas, aplicables al Instituto Nacional de Vías INVIAS.


A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto: ❖ Identificar temas de interés relacionados con seguridad de la información, estándares internacionales y buenas prácticas

aplicables al Instituto. ❖ Establecer vínculos con foros y grupos de asociaciones profesionales o entidades reconocidas, como por ejemplo ISACA, ISC2

y NIST, de acuerdo con los temas de interés planteados, con el fin de estar siempre actualizados en nuevas tecnologías, productos, estándares, marcos de referencia, buenas prácticas, amenazas y vulnerabilidades.


Este proyecto apoya parcialmente el dominio seis (6) del anexo A de la norma ISO/IEC 27001:2013, específicamente en contacto con grupos de interés.




5.8 GENERACIÓN DE GUIAS DE CLASIFICACIÓN DE LA INFORMACIÓN Y PROCEDIMIENTOS DE MANEJO

5.8.1 Descripción

El objetivo es generar los lineamientos para llevar a cabo el proceso de clasificación de información, de acuerdo con su grado de sensibilidad e importancia, definiendo guías de clasificación y un conjunto de procedimientos de manejo de la información para el Instituto Nacional de Vías INVIAS.


A continuación, se presentan las actividades a desarrollar para la ejecución de este proyecto:


❖ Definir los criterios de seguridad de la información (confidencialidad, integridad y disponibilidad) por los cuales será clasificada la información.

❖ Verificar la legislación vigente en temas de clasificación de la información y, de acuerdo con ella, definir los niveles o categorías en los cuales será clasificada la información en relación con su nivel de sensibilidad.

❖ Generar guías o metodologías de clasificación de la información donde se presenten las categorías de clasificación de la información.

❖ Especificar para cada categoría de clasificación de información procedimientos de manejo que incluyan, entre otros, acceso, procesamiento, almacenamiento, transmisión, destrucción segura y etiquetado, considerando las tablas de retención documental existentes en el Instituto.

❖ Divulgar las guías de clasificación de la información y procedimientos de manejo.


Este proyecto apoya el dominio ocho (8) del anexo A de la norma ISO/IEC 27001:2013



❖ Oficina Asesora de Planeación (como líder del SGSI). ❖ Subdirección Administrativa.

5.9 CLASIFICACIÓN DE LA INFORMACIÓN Y APLICACIÓN DE PROCEDIMIENTOS DE MANEJO

5.9.1 Descripción

El objetivo es clasificar la información del INVIAS aplicando las guías de clasificación de la información y los procedimientos de manejo establecidos.


A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto: ❖ Identificar los propietarios de la información al interior de las áreas o procesos del INVIAS. ❖ Clasificar la información en las áreas o procesos de acuerdo con las guías de clasificación de la información. ❖ Implantar los procedimientos de manejo establecidos para la información clasificada en cada una de las áreas o procesos.


Este proyecto apoya el dominio ocho (8) del anexo A de la norma ISO/IEC 27001:2013.




❖ Oficina Asesora de Planeación (como líder del SGSI). ❖ Subdirección Administrativa. ❖ Propietarios de los activos de información.

5.10 GESTIÓN DEL ACCESO LÓGICO

5.10.1 Descripción

El objetivo es establecer una gestión adecuada del acceso lógico en la plataforma tecnológica, considerando los entornos de usuario y los ambientes de desarrollo, pruebas y producción del Instituto Nacional de Vías INVIAS, con el fin de proteger los servicios de procesamiento y almacenamiento de información.


A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto: ❖ Instaurar y ejecutar el procedimiento de administración de usuarios y contraseñas a través del cual se formalizan las solicitudes

de acceso y los privilegios correspondientes. ❖ Implantar los controles de acceso lógico correspondientes de acuerdo con los servicios de red, los componentes de la plataforma

tecnológica o los sistemas de información, considerando los riesgos a los que se encuentra expuesta la información contenida en ellos y las políticas de seguridad de la información.

❖ Establecer los perfiles y roles de acceso lógico de usuarios o grupos de usuarios, considerando segregación de funciones y limitación de accesos según necesidad de uso, de acuerdo con sus funciones y las políticas de seguridad de la información.

❖ Monitorear la efectividad de los controles de acceso lógico implantados, con el objetivo de generar propuestas de mejora de acuerdo con las políticas de seguridad de la información.


Este proyecto apoya los dominios seis (6), nueve (9) y doce (12) del anexo A de la norma ISO/IEC 27001:2013.



❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Propietarios de los Activos de Información.


❖ Supervisores de Contratos con Terceros.

5.11 REVISIÓN Y AJUSTES DE PERFILES EN SISTEMAS DE INFORMACION, SERVICIOS DE RED Y RECURSOS TECNOLÓGICOS

5.11.1 Descripción

Tiene como objetivo asegurar que todo el personal con acceso a los sistemas de información, servicios de red, y cualquier

recurso de la plataforma tecnológica del Instituto Nacional de Vías INVIAS, cuente con un perfil acorde a las labores y funciones

que desempeña.



❖ Revisar los perfiles y roles de acceso lógico de usuarios o grupos de usuarios, de acuerdo con las funciones de cargo y las

políticas de seguridad de la información en cada uno de los sistemas de información existentes, servicios de red y recursos

tecnológicos, con fin de ratificar o de ser necesario ajustar, los perfiles y roles de acuerdo con los cambios detectados

durante la revisión.

❖ Llevar a cabo cuando resulte necesario, el ajuste de los perfiles y roles, siguiendo el procedimiento de administración de

usuarios y contraseñas por el cual se deben realizar este tipo de cambios, generando registros de control.


Este proyecto apoya los dominios seis (6), doce (12), trece (13), catorce (14), quince (15) y dieciocho (18) del anexo A de la

norma ISO/IEC 27001:2013.



❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Propietarios de los Activos de Información. ❖ Supervisores de Contratos con Terceros. ❖ Subdirección Administrativa.


5.12 GESTION DEL ACCESO FISICO

5.12.1 Descripción

El objetivo es establecer una gestión adecuada del acceso físico para las instalaciones del Instituto Nacional de Vías INVIAS,

con el fin de proteger las áreas de almacenamiento y procesamiento de información.



❖ Identificar las áreas que pueden considerarse restringidas, teniendo en cuenta el tipo de información que se almacena o

procesa y la sensibilidad de dicha información.

❖ Evaluar y ajustar los controles de acceso físico existentes, considerando aspectos como las labores correspondientes al

cargo y las políticas de seguridad de la información, para las diferentes áreas, especialmente para las áreas identificadas

como sensibles, con el fin de permitir acceso solo a personal autorizado.

❖ Implementar el procedimiento de control de acceso físico, con el fin de establecer controles sobre el acceso físico y generar

registros.

❖ Monitorear, de manera periódica, la efectividad de los controles de acceso físico establecidos, con el objetivo de generar

propuestas de mejora de acuerdo con las políticas de seguridad de la información y los análisis de riesgos realizados.


Este proyecto apoya el dominio once (11) del anexo A de la norma ISO/IEC 27001:2013.



❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Subdirección Administrativa.

5.13 ESTABLECIMIENTO Y MONITOREO DE LAS CONDICIONES AMBIENTALES

5.13.1 Descripción

Tiene como objetivo establecer y monitorear las condiciones ambientales y de las instalaciones donde se encuentra la

plataforma tecnológica del Instituto Nacional de Vías INVIAS.




❖ Mantener las instalaciones donde se encuentra ubicada la plataforma tecnológica del Instituto libre de materiales

combustibles o peligrosos como cartón, papel y líquidos inflamables.

❖ Evaluar las condiciones de las instalaciones donde se encuentra ubicada la plataforma tecnológica, verificando las

condiciones de manejo de incendios, altas temperaturas, humedad, inundaciones, contaminación por polvo y cualquier otra

forma de desastre natural o artificial; de ser necesario llevar a cabo la adecuación necesarias.

❖ Evaluar las condiciones de seguridad física del Instituto para ver si se protegen las instalaciones donde se encuentra ubicada

la plataforma tecnológica ante amenazas ambientales y verificar la necesidad de controles adicionales a los existentes.

❖ Realizar un monitoreo periódico de las instalaciones donde se encuentra ubicada la plataforma tecnológica, con el objetivo

de ratificar o ajustar consideraciones referentes a incendios, altas temperaturas, humedad, inundaciones, contaminación

por polvo, materiales combustibles o peligrosos, almacenamiento de equipos de cómputo y medios, y cualquier otro aspecto

que pueda afectar las condiciones de las instalaciones.





❖ Oficina Asesora de Planeación (responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Subdirección Administrativa.

5.14 SEGURIDAD DE LOS EQUIPOS FUERA DE LAS INSTALACIONES

5.14.1 Descripción

El objetivo es establecer las medidas de control adecuadas para la movilización fuera de las instalaciones de los equipos de

cómputo, dispositivos móviles y cualquier medio electrónico que contenga información correspondiente al Instituto Nacional de

Vías INVIAS, con el fin de proteger la información contenida en ellos.




❖ Realizar, en apoyo con el proyecto de concienciación y educación, la divulgación correspondiente de los riesgos a los que se

ven expuestos los equipos de cómputo, dispositivos móviles y cualquier otro medio que contenga información, cuando son

retirados del Instituto.

❖ Establecer los mecanismos adecuados con el fin de evitar la fuga de información en los equipos de cómputo, dispositivos

móviles y cualquier otro medio que contenga información, a través del uso de controles como los criptográficos.





❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Subdirección Administrativa.

5.15 SEGURIDAD EN LA REUTILIZACIÓN DE EQUIPOS

5.15.1 Descripción

El objetivo es establecer medidas de control seguras para la reutilización de los equipos de cómputo, dispositivos móviles y

cualquier medio electrónico que contenga o haya contenido información correspondiente al Instituto Nacional de Vías INVIAS,

con el fin de proteger la información contenida en ellos.



❖ Establecer cuáles serán los mecanismos y herramientas para la eliminación de información y reutilización segura de los

equipos de cómputo, dispositivos móviles y cualquier medio electrónico que contenga o haya contenido información,

considerando métodos como la destrucción física, borrado o sobre-escritura segura y la protección de la información durante

la vida útil del dispositivo.

❖ Establecer un procedimiento que defina las acciones a seguir en caso de eliminación de información o reutilización de un

equipo de cómputo, dispositivo móvil y cualquier medio electrónico que contenga o haya contenido información; dicho

procedimiento debe generar registros de las actividades realizadas.



Este proyecto apoya los dominios ocho (8), once (11) y dieciocho (18) del anexo A de la norma ISO/IEC 27001:2013.



❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información).

5.16 MANTENIMIENTO Y PRUEBAS DE UTILIDADES DE SOPORTE Y EQUIPOS DE COMPUTO

5.16.1 Descripción

El objetivo es la realización de mantenimientos y pruebas en las utilidades de soporte y equipos de cómputo del Instituto

Nacional de Vías INVIAS, con el fin de prevenir fallas de hardware.



❖ Realizar periódicamente mantenimientos preventivos y, de ser necesarios correctivos, a todas las utilidades de soporte como

sistemas de extinción de incendios, UPS, aire acondicionado, plantas eléctricas y cableado estructurado; además, se deben

llevar a cabo mantenimientos periódicos a los equipos de cómputo en general.

❖ Generar registros acordes a los mantenimientos, preventivos o correctivos realizados a las utilidades de soporte y equipos

de cómputo, en donde se detalle información relacionada con el mantenimiento, como componentes involucrados, motivo

de la realización, fecha y tiempo de duración del mantenimiento.

❖ Ejecutar periódicamente pruebas a las utilidades de soporte, con el objetivo de garantizar su óptimo funcionamiento;

adicionalmente, dichas pruebas deben ser documentadas, detallando siempre los aspectos más relevantes de las mismas.





❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información).


❖ Subdirección Administrativa.

5.17 IMPLEMENTACION DE CONTROLES CRIPTOGRAFICOS

5.17.1 Descripción

El objetivo es realizar la implementación de controles criptográficos, con el fin de mitigar él envió de información sensible en

texto claro, obteniendo así un fortalecimiento de la plataforma tecnológica del Instituto Nacional de Vías INVIAS.



❖ Identificar y establecer la herramienta adecuada para aplicar controles criptográficos, considerando aspectos como

algoritmos y tipos de llaves criptográficas, y evaluando alternativas como PGP o GPG.

❖ Almacenar las llaves criptográficas en un repositorio central, el cual debe contar con protección contra modificación, pérdida

o destrucción.

❖ Establecer los lineamientos para el uso adecuado de los controles criptográficos.

❖ Llevar cabo la implementación de los controles criptográficos considerando los lineamientos para su uso.

❖ Definir y establecer procedimientos para la administración de llaves criptográficas, si resulta aplicable, considerando

aspectos como fechas finales de uso, retiro de llaves, destrucción de llaves, usuarios autorizados para su uso, registros y

auditoria, y copias de respaldo de las mismas.


Este proyecto apoya los dominios diez (10) y trece (13) del anexo A de la norma ISO/IEC 27001:2013.



❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Subdirección Administrativa. ❖ Terceros proveedores de sistemas de información.

5.18 DOCUMENTACIÓN Y MANTENIMIENTO DE PROCEDIMIENTOS OPERATIVOS

5.18.1 Descripción

Tiene como propósito la elaboración, establecimiento y mantenimiento de los procedimientos operativos relacionados con las


actividades necesarias para la operación de los aspectos tecnológicos del Instituto Nacional de Vías INVIAS.



❖ Elaborar la documentación correspondiente a los procedimientos de operación y configuración de los diferentes

componentes tecnológicos de la plataforma, como encendido y apagado de equipos, generación de copias de respaldo,

manejo de medios, gestión de correo electrónico y procedimientos relacionados con seguridad, entre otros.

❖ Establecer los procedimientos de operación elaborados, con el fin de llevar a cabo las actividades propias de los aspectos

tecnológicos de manera consistente.

❖ Mantener los procedimientos de operación, a través del monitoreo de su aplicabilidad, y de ser necesario generar cambios

controlados en ellos.

5.18.3 Dominio de la Norma ISO/IEC 27001:2013 que cubre

Este proyecto apoya parcialmente el dominio doce (12) del anexo A de la norma ISO/IEC 27001:2013, específicamente en

procedimientos operativos documentados; además, apoya parcialmente otros dominios como ocho (8), nueve (9), once (11),

doce (12), trece (13), catorce (14) y dieciséis (16) en donde la documentación y mantenimiento de procedimientos operativos

es un factor crítico para el éxito.



❖ Oficina Asesora de Planeación (como responsable por la Plataforma Tecnológica y los Sistemas de Información).

5.19 GESTIÓN DEL CAMBIO

5.19.1 Descripción

El objetivo proyecto es definir como se deben controlar los cambios en los sistemas operativos, servicios de red, aplicativos y

sistemas de procesamiento de información del Instituto Nacional de Vías INVIAS.




❖ Formalizar el comité o grupo que revisará y aprobará los cambios en los componentes de la plataforma tecnológica y los

sistemas de información.

❖ Establecer un procedimiento para el control de cambios el cual considere aprobación formal, evaluación de impactos

potenciales, registro de cambios, planificación de cambios y pruebas.

❖ Establecer procedimientos de emergencia que incluyan responsabilidades de cancelación, recuperación o eventos anómalos

en la realización de cambios en la plataforma tecnológica.

❖ Divulgar y establecer los procedimientos de control de cambios, con el objetivo de socializar ante las partes interesadas el

cómo se deben llevar a cabo los nuevos cambios.

❖ Validar aspectos a tener en cuenta frente a los cambios como actividades, pruebas, operaciones de restauración o rollback,

tiempos estimados, resultados esperados y recursos requeridos para ejecutar el cambio.

❖ Hacer revisiones posteriores a la realización de los cambios en la plataforma tecnológica y los sistemas de información.


Este proyecto apoya los dominios doce (12) y catorce (14) del anexo A de la norma ISO/IEC 27001:2013



❖ Comité de Planeación Estratégica de TI. ❖ Oficina Asesora de Planeación (responsable por la plataforma tecnológica y los sistemas de información).

5.20 GENERACIÓN Y VERIFICACIÓN DE COPIAS DE RESPALDO

5.20.1 Descripción

Busca mantener la integridad y disponibilidad de la información a través de la generación de copias de respaldo y pruebas de

restauración de estas, con el fin de garantizar que la información se lograría recuperar después de un desastre o falla que

afecte la plataforma tecnológica del Instituto Nacional de Vías INVIAS.



❖ Elaborar el procedimiento de copias de respaldo junto a un formato asociado en el cual se deben consignar los registros de

dichas copias.

❖ Divulgar y establecer el procedimiento de copias de respaldo junto con el formato asociado.


❖ Definir la frecuencia de generación de copias de respaldo considerando aspectos como los requisitos de seguridad de la

información involucrada y la importancia de la continuidad en la operación.

❖ Definir el sitio de custodia externa y, de ser necesario, suscribir los contratos o convenios para dicha custodia.

❖ Establecer períodos para realizar pruebas de restauración de información aleatorias a partir de las copias de respaldo.

❖ Determinar el tiempo de retención de las copias de respaldo teniendo en cuenta la importancia de la información respaldada

y los requisitos legales que rigen al Instituto.

❖ Evaluar la necesidad de instaurar controles criptográficos a las copias de respaldo, considerando los requisitos legales

aplicables al Instituto.


Este proyecto apoya los dominios ocho (8) y doce (12) del anexo A de la norma ISO/IEC 27001:2013



❖ Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información).

5.21 GESTIÓN DE LA CAPACIDAD

5.21.1 Descripción

El objetivo es mantener la capacidad de los recursos tecnológicos en niveles adecuados, considerando aspectos como tiempos

de respuesta, necesidades actuales y necesidades futuras para el Instituto Nacional de Vías INVIAS.



❖ Crear, establecer y mantener un plan de capacidad actualizado que refleje las necesidades presentes y futuras del Instituto.

❖ Verificar periódicamente el uso de los recursos, capacidad y rendimiento de la plataforma tecnológica y de los servicios

provistos por esta.

❖ Evaluar las necesidades de capacidad frente a los servicios tecnológicos prestados y las posibilidades de almacenamiento

de dichos servicios y de la información asociada (local, en la nube u otras posibilidades).

❖ Identificar y remediar los problemas e incidencias de rendimiento y capacidad de la plataforma tecnológica y de los servicios

provistos por esta, con el fin de proveer mejoras para el Instituto.


❖ Llevar a cabo la administración de la plataforma tecnológica y de los servicios provistos por esta, considerando siempre los

objetivos y el impacto de estos, frente a los niveles de rendimiento y capacidad actuales.

❖ Realizar acciones proactivas con el objetivo de mejorar el rendimiento y la capacidad de la plataforma tecnológica y de los

servicios provistos por esta.

❖ Generar información estadística del uso de recursos y capacidad de la plataforma tecnológica para utilizar como información

de base para las proyecciones de capacidad periódicas.


Este proyecto apoya el dominio doce (12) del anexo A de la norma ISO/IEC 27001:2013.




5.22 SEPARACIÓN DE AMBIENTES DE PRUEBAS Y PRODUCCIÓN

5.22.1 Descripción

Tiene como objetivo establecer la separación de los ambientes de pruebas y producción del Instituto Nacional de Vías INVIAS,

con el fin mitigar los riesgos que se presentan al contar con ambientes unificados.



❖ Evaluar y, de ser posible, establecer la separación lógica y física de los ambientes de pruebas y producción en apoyo con los

proyectos de segmentación de red, gestión de acceso lógico y gestión de acceso físico propuestos en este documento.

❖ Establecer el procedimiento aplicable y los registros correspondientes al paso entre los ambientes de pruebas y producción.

❖ Definir los datos que serán utilizados en el ambiente de pruebas.

❖ Acogerse a la gestión de cambios y cuando sea necesario actualizar los ambientes productivos a partir de los ambientes de

pruebas.


Este proyecto apoya los dominios doce (12) y catorce (14) del anexo A de la norma ISO/IEC 27001:2013.





5.23 REGISTROS DE AUDITORIA Y CORRELACIÓN DE EVENTOS

5.23.1 Descripción

Tiene como objetivo la gestión de los registros de auditoría y la correlación de eventos de los diferentes componentes de la

plataforma tecnológica y los sistemas de información presentes en el Instituto Nacional de Vías INVIAS.



❖ Definir y establecer las características de la información a ser contenida en los registros de auditoría de los diferentes

componentes de la plataforma tecnológica como servidores, dispositivos de seguridad, dispositivos de comunicaciones y

equipos de cómputo en general, así como en los sistemas de información con el fin de garantizar que los registros de

auditoría puedan llegar a facilitar actividades de investigación y monitoreo.

❖ Establecer las herramientas o mecanismos para establecer un repositorio único que permita el análisis de los registros de

auditoría previamente definidos para la plataforma tecnológica.

❖ Indicar a los terceros proveedores de sistemas de información las definiciones de los registros de auditoría requeridos en

los sistemas de información a ser construidos y/o modificados.

❖ Establecer el tiempo de retención y los controles de protección adecuados para la conservación de los registros de auditoría,

considerando aspectos como la capacidad de los medios donde se almacenan, los tipos de eventos críticos, requerimientos

de normas o estándares y los usuarios que cuentan con el perfil adecuado para acceder a ellos.

❖ Asignar responsabilidades para el monitoreo y revisión de los registros de auditoría.

❖ Elaborar e implantar procedimientos para el monitoreo, correlación y análisis de los registros de auditoría, de acuerdo con

las características y tipo de componente de la plataforma tecnológica y los sistemas de información.


Este proyecto apoya los dominios doce (12) y dieciocho (18) del anexo A de la norma ISO/IEC 27001:2013.




❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Terceros proveedores de sistemas de información y de componentes de la plataforma tecnológica. ❖ Oficina de Control Interno.

5.24 ANÁLISIS DE VULNERABILIDADES TÉCNICAS

5.24.1 Descripción

Tiene como objetivo realizar un análisis de vulnerabilidades técnicas sobre la plataforma tecnológica del Instituto Nacional de

Vías INVIAS, con el fin de identificar brechas de seguridad a través de la explotación de vulnerabilidades, para que estas

conlleven a una posterior reducción de dichas brechas de seguridad, reflejándose en mejoras en la eficacia y eficiencia de los

controles.



❖ Realizar recopilación de información, con el objetivo de identificar objetivos específicos (servidores, enrutadores, firewalls,

accesos externos, entre otros) en las redes que serán objeto del análisis de vulnerabilidades técnicas.

❖ Llevar a cabo un proceso de enumeración, con el fin de obtener y clasificar los posibles vectores de ataque.

❖ Ejecutar un análisis de la información y resultados del proceso de enumeración, para determinar posibles brechas de

seguridad o falsos positivos en los vectores de ataque definidos.

❖ Efectuar la explotación o ataque a los objetivos seleccionados, aprovechando las vulnerabilidades descubiertas y

determinando el impacto de las mismas en los activos donde se encuentran.

❖ Elaborar un documento donde se informen detalladamente los resultados obtenidos durante todo el proceso de análisis de

vulnerabilidades técnicas, como las vulnerabilidades detectadas, el impacto de cada una de ellas y las medidas a tomar

para su posterior remediación.

A partir de este proyecto se deben ejecutar los proyectos de aseguramiento de plataforma tecnológica, sistemas de información

y equipos de cómputo de usuarios.


Este proyecto apoya el dominio doce (12) del anexo A de la norma ISO/IEC 27001:2013, específicamente en gestión de las

vulnerabilidades técnicas, además, apoya los dominios trece (13), catorce (14) y dieciocho (18).




❖ Oficina Asesora de Planeación (como responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Terceros proveedores de sistemas de información y de componentes de la plataforma tecnológica.

5.25 DEFINICIÓN DE ESTANDARES DE SEGURIDAD

5.25.1 Descripción

Tiene como objetivo establecer estándares de seguridad, en los diferentes componentes de la plataforma tecnológica del

Instituto Nacional de Vías INVIAS.



❖ Seleccionar estándares de seguridad aplicables a la plataforma tecnológica del INVIAS, tomando como referencia guías de

aseguramiento elaboradas por asociaciones profesionales o Institutos con reconocimiento internacional, por ejemplo, NIST.

❖ Ajustar los estándares a las necesidades del INVIAS y a sus características de particulares de funcionalidad de la plataforma

tecnológica.

❖ Ejecutar los estándares y realizar pruebas en ambientes provistos para este fin a los componentes de la plataforma

tecnológica involucrados.

❖ Implementar los estándares de acuerdo con los lineamientos de control de cambios y validar el éxito de la puesta en

producción de los componentes de la plataforma tecnológica involucrados.


Este proyecto apoya los dominios doce (12), trece (13), catorce (14) y dieciocho (18) del anexo A de la norma ISO/IEC

27001:2013.



❖ Oficina Asesora de Planeación (como responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Terceros proveedores de sistemas de información y de componentes de la plataforma tecnológica.


5.26 DEFINICIÓN Y APLICACIÓN DE ESTANDARES DE DESARROLLO SEGURO

5.26.1 Descripción

Tiene como objetivo establecer y aplicar estándares para el desarrollo seguro de software en el Instituto Nacional de Vías

INVIAS.



❖ Identificar riesgos de seguridad en los lenguajes de desarrollo de las aplicaciones, considerando técnicas de ataque como

Cross Site Scripting – XSS (inyección de código malicioso para su posterior ejecución que puede realizarse a sitios web,

aplicaciones locales o al propio navegador) o SQL Injection (creación o alteración de comandos SQL para exponer datos

ocultos, sobrescribir valores o ejecutar comandos a nivel de sistema en el equipo que hospeda la base de datos), entre otros.

❖ Analizar estándares o guías de desarrollo en las que se implementen controles para mitigar los riegos identificados.

❖ Ajustar los estándares o guías a las necesidades del Instituto y a sus características de particulares de desarrollo de software.

❖ Notificar a los terceros proveedores de sistemas de información los estándares o guías construidos para que los ejecuten

en la fase de construcción de software.

❖ Realizar pruebas de seguridad con el fin de validar la efectividad de los estándares o guías implementados a nivel de

desarrollo de software.


Este proyecto apoya el dominio catorce (14) del anexo A de la norma ISO/IEC 27001:2013.



❖ Oficina Asesora de Planeación (como responsable por la Plataforma Tecnológica y los sistemas de información). ❖ Terceros proveedores de sistemas de información.

5.27 ASEGURAMIENTO DE PLATAFORMA: REDES, SERVIDORES Y BASES DE DATOS

5.27.1 Descripción

El objetivo es realizar el aseguramiento de la plataforma tecnológica, en sus componentes de redes, servidores y bases de

datos; adicionalmente, apoyar la mitigación de vulnerabilidades detectadas en estos componentes durante la ejecución del


proyecto de análisis de vulnerabilidades técnicas, obteniendo así un fortalecimiento de la plataforma tecnológica del Instituto

Nacional de Vías INVIAS.



❖ Llevar a cabo el aseguramiento correspondiente a los componentes de red considerando aspectos como el bloqueo de

puertos, fortalecimiento de las credenciales de acceso, registros de auditoría, buenas prácticas aplicables y guías de

aseguramiento provistas por el fabricante de acuerdo con las características y modelo del componente de red.

❖ Realizar el aseguramiento correspondiente a los servidores considerando aspectos como el bloqueo de puertos,

fortalecimiento de las credenciales de acceso, registros de auditoría, políticas de software, actualización de parches de

seguridad, buenas prácticas y guías de aseguramiento de acuerdo con el sistema operativo y los servicios que provea el

servidor.

❖ Efectuar el aseguramiento correspondiente a las bases de datos considerando aspectos como el uso controlado de puertos,

fortalecimiento de las credenciales de acceso y métodos de autenticación, registros de auditoría, políticas de administración

del motor de base de datos, almacenamiento cifrado de la información, transmisión segura de información, buenas prácticas

y guías de aseguramiento de acuerdo con el motor de base de datos y los servicios que este provea.


Este proyecto apoya los dominios doce (12) y trece (13) del anexo A de la norma ISO/IEC 27001:2013.



❖ Oficina Asesora de Planeación (como responsable de la Plataforma Tecnológica y los Sistemas de Información). ❖ Terceros proveedores de sistemas de información.

5.28 ASEGURAMIENTO DE PLATAFORMA: SISTEMAS DE INFORMACION

5.28.1 Descripción

El objetivo es realizar el aseguramiento de los sistemas de información; adicionalmente, apoyar la mitigación de

vulnerabilidades detectadas en este componente durante la ejecución del proyecto de análisis de vulnerabilidades técnicas,

obteniendo así un fortalecimiento de la plataforma tecnológica del Instituto Nacional de Vías INVIAS.




❖ A partir del análisis del código fuente de las aplicaciones certificar que no existe código malicioso, fugas de información y

errores en el desarrollo de software que permitan generar fallas de seguridad.

❖ Verificar que las aplicaciones a ser analizadas no se encuentren instaladas por defecto.

❖ Efectuar el fortalecimiento de las interfaces de administración de las aplicaciones, a través del cambio de rutas de acceso,

puertos, usuarios, contraseñas y roles.


Este proyecto apoya los dominios doce (12) y catorce (14) del anexo A de la norma ISO/IEC 27001:2013.



❖ Oficina Asesora de Planeación (como responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Terceros proveedores de sistemas de información.

5.29 ASEGURAMIENTO DE PLATAFORMA: ESTACIONES DE USUARIO

5.29.1 Descripción

El objetivo es realizar el aseguramiento de la plataforma tecnológica, en el componente de estaciones de usuario;

adicionalmente, apoyar la mitigación de vulnerabilidades detectadas en este componente durante la ejecución del proyecto de

análisis de vulnerabilidades técnicas, obteniendo así un fortalecimiento de la plataforma tecnológica del Instituto Nacional de

Vías INVIAS.



❖ Realizar la configuración de protocolos, puertos y servicios necesarios para el desarrollo de las labores en las estaciones de

usuario del Instituto.

❖ Establecer políticas de dominio y listas de acceso que rijan las configuraciones de las estaciones de usuario.


❖ Renombrar las cuentas de administrador y proteger o deshabilitar las cuentas de invitado en las estaciones de usuario, con

el fin mitigar los riesgos relacionados con los nombres de usuario y cuentas por defecto.

❖ Verificar y optimizar los procesos y servicios de arranque de los sistemas operativos de las estaciones de usuario.

❖ Actualizar los componentes de software y los parches de seguridad de las estaciones de usuario siguiendo los lineamientos

para la gestión del cambio.

❖ Habilitar y personalizar los mecanismos de auditoria y monitoreo de las estaciones de usuario, considerando aspectos como

la generación de registros sobre las acciones de los administradores, eliminación de registros de auditoria y acceso a

diferentes elementos del sistema.

❖ Seguir buenas prácticas y guías de aseguramiento de acuerdo con el sistema operativo con el que cuenten las estaciones

de usuario.


Este proyecto apoya los dominios once (11) y doce (12) del anexo A de la norma ISO/IEC 27001:2013.




5.30 SEGMENTACION DE RED A NIVEL DE COMUNICACIONES (ROUTERS, SWITCHES)

5.30.1 Descripción

Tiene como objetivo realizar y/o revisar la segmentación de red, a través de la identificación de los recursos de la plataforma

tecnológica que así lo requieren, debido al servicio que proveen o a la sensibilidad de la información que almacenan y/o

procesan del Instituto Nacional de Vías INVIAS.



❖ Definir los segmentos de la red por áreas funcionales que componen el Instituto, ayudando así a identificar y separar los

perfiles de usuario que componen cada una de estas áreas.

❖ Definir segmentos adicionales por los cuales circulará tráfico relacionado únicamente a servicios, voz y vídeo (los dos últimos

podrían ir en uno solo).


❖ Determinar sobre cada uno de los segmentos la distribución de los recursos tecnológicos, conforme al servicio que prestan,

definiendo de esta manera cuáles deben ser accedidos única y exclusivamente desde el interior de la red, y cuáles podrían

recibir conexión desde el exterior de la misma, y de esta manera adecuar las necesidades de uso de la DMZ.

❖ Documentar la segmentación definida de tal manera que se pueda seguir a futuro un control de cambios sobre la misma.

❖ Identificar la necesidad de adquisición de equipos de comunicaciones faltantes como routers o switches, con el fin de poner

en marcha la segmentación definida de acuerdo con los procesos o procedimientos de control de cambios.


Este proyecto apoya el dominio trece (13) del anexo A de la norma ISO/IEC 27001:2013.




5.31 REVISIÓN Y AJUSTE DE LOS DISPOSITIVOS DE SEGURIDAD (FIREWALL, IDS, IPS)

5.31.1 Descripción

Tiene como objetivo la revisión de la configuración de los dispositivos de seguridad y realización de ajustes de ser necesario, a

través de la identificación de los recursos de la plataforma tecnológica que así lo requieren, debido al servicio que proveen o a

la sensibilidad de la información que almacenan y/o procesan del Instituto Nacional de Vías INVIAS.



❖ Verificar en la configuración del Firewall el tráfico entrante y saliente, con el fin de identificar mejoras en los filtros de tráfico

a partir de estándares de seguridad y recomendaciones del proveedor del componente; adicionalmente, se debe validar que

los puertos abiertos en la configuración del Firewall estén autorizados y aun se encuentren en uso.

❖ Evaluar las políticas configuradas en el IDS e IPS, con el fin de definir si se cumple con los objetivos de detección y prevención

de intrusos planteados inicialmente.

❖ Realizar los ajustes identificados sobre los dispositivos de Firewall, IDS e IPS, considerando efectuar un monitoreo constante

sobre los cambios realizados.



Este proyecto apoya los dominios trece (13) y dieciocho (18) del anexo A de la norma ISO/IEC 27001:2013.




5.32 MIGRACIÓN DEL PROTOCOLO DE CONECTIVIDAD IPv4 A IPv6

5.32.1 Descripción

Tiene como propósito dar cumplimiento a un requerimiento del Modelo de Seguridad y Privacidad de Gobierno en Línea (Hoy

Gobierno Digital), para las entidades del estado colombiano con miras a lograr objetivos de innovación tecnológica.


A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto, acogiendo lo propuesto por la

Guía Transición de IPV4 a IPV6 para Colombia de Gobierno en Línea (GEL) (Hoy Gobierno Digital):

❖ Realizar el diagnóstico de la situación actual y planear la implementación de IPv6. Algunas de las principales actividades

son:

➢ Elaboración y/o validación del inventario de activos de información de servicios tecnológicos (hardware y software),

identificando cuáles equipos soportan IPv6, cuales requieren actualizarse y cuáles no soportan el nuevo protocolo.

➢ Análisis, diseño y desarrollo del plan de diagnóstico del protocolo IPv4 a IPv6.

➢ Identificación de la topología de red y evaluación del grado de afinamiento del protocolo IPv6 a nivel de hardware y

software con miras a preparar la nueva infraestructura de red.

➢ Generación del plan detallado del proceso de transición hacia IPv6.

➢ Planeación de la migración de los siguientes servicios tecnológicos: Servicio de Resolución de Nombres (DNS), Servicio

de Asignación Dinámica de Direcciones IP (DHCP), Directorio Activo, Servicios WEB, Servidores de Monitoreo, Validación

del Servicio de Correo Electrónico, Validación del Servicio de la Central Telefónica, Servicio de Backups, Servicio de

Comunicaciones Unificadas e Integración entre Sistemas de Información.

➢ Validación del estado actual de los sistemas de información, los sistemas de comunicaciones y evaluación de la

interacción entre ellos cuando se adopte el protocolo IPv6.

➢ Identificación de la configuración y los esquemas de seguridad de la red de comunicaciones y sistemas de información.

➢ Revisión de las políticas de enrutamiento para IPv6 entre los segmentos de red internos, previa evaluación de los mismos.


➢ Validación previa de la infraestructura tecnológica que permita medir el grado de avance en la adopción del

protocoloIPv6.

➢ Establecimiento del protocolo de pruebas para la validación de aplicativos, equipos de comunicaciones, plan de

seguridad y coexistencia de los protocolos IPv4 e IPv6.

➢ Capacitación a funcionarios de los Grupos de TI en IPv6 y sensibilización al personal del Instituto a fin de dar a conocer

el nivel de impacto del nuevo protocolo.

❖ Implementar el protocolo IPv6. Algunas de las principales actividades son:

➢ Habilitación del direccionamiento IPv6 para cada uno de los componentes de hardware y software.

➢ Montaje, ejecución y corrección de configuraciones del piloto de pruebas de IPv6, simulando el comportamiento de la

red de comunicaciones, agregando carga, servicios y usuarios finales.

➢ Aplicación del modelo de transición de IPv6 en la red, permitiendo la coexistencia de los protocolos IPv4 e IPv6.

➢ Validación de la funcionalidad de los siguientes servicios y aplicaciones sobre IPv6: Servicio de Resolución de Nombres

(DNS), Servicio de Asignación Dinámica de Direcciones IP (DHCP), Directorio Activo, Servicios WEB, Servidores de

Monitoreo, Validación del Servicio de Correo Electrónico, Validación del Servicio de la Central Telefónica, Servicio de

Backups, Servicio de Comunicaciones Unificadas, Servicios VPN, Integración entre Sistemas de Información, Sistemas

de Almacenamiento, servicios de administración de red.

➢ Activación de las políticas de seguridad de IPv6 en los equipos de seguridad y comunicaciones (servidores AAA, firewalls,

NAC, y equipos perimetrales de conformidad con los RFC de seguridad en IPv6).

➢ Trabajo en coordinación con el (los) proveedor (es) de servicios de Internet para lograr la conectividad integral en IPv6

desde el interior de las redes LAN, hacia el exterior de las redes WAN.

❖ Probar la funcionalidad de IPv6. Algunas de las principales actividades son:

➢ Pruebas y monitoreo de la funcionalidad de IPv6 en los sistemas de información, sistemas de almacenamiento, sistemas

de comunicaciones y servicios.

➢ Análisis de información y pruebas de funcionalidad del nuevo protocolo frente a las políticas de seguridad perimetral, de

servidores de cómputo, servidores de comunicaciones y equipos de comunicaciones.

➢ Afinamiento de las configuraciones de hardware, software y servicios.

➢ Elaboración de un inventario final de servicios, aplicaciones y sistemas de comunicaciones bajo el funcionamiento del

protocolo IPv6.

5.32.3 Tiempo estimado de ejecución

El tiempo de ejecución para este proyecto debe ser establecido por la Oficina Asesora de Planeación del Instituto, acorde con

los requerimientos de cumplimiento exigidos por el Modelo de Seguridad y Privacidad de Gobierno en Línea (Hoy Gobierno

Digital) y los ajustes a los cronogramas de MIPG, en especial la parte correspondiente al plan y estrategia de transición de IPv4

a IPv6.



Este proyecto apoya un requerimiento del Modelo de Seguridad y Privacidad de GEL (Hoy Gobierno Digital) no contemplando

en el Anexo A de la norma ISO/IEC 27001:2013.




5.33 CONTROL DE VERSIONES DE CODIGO FUENTE DE LOS SISTEMAS DE INFORMACION

5.33.1 Descripción

Tiene como propósito establecer un mecanismo de control para mantener un historial de cambios sobre los programas de

código fuente de los sistemas de información del INVIAS, permitiendo su utilización para el desarrollo futuro de manera vigilada.



❖ Definir la herramienta de mercado para control de versiones de programas de código fuente.

❖ Definir si los mecanismos de almacenamiento de los programas de código fuente que deba gestionar la herramienta serán

centralizados o distribuidos.

❖ Asignar un responsable del sistema de control de versiones y definir sus responsabilidades.

❖ Generar y establecer el procedimiento o instructivo para realizar cambios sobre los programas de código fuente almacenados

en la herramienta seleccionada.

❖ Verificar con una periodicidad establecida el registro histórico de las acciones realizadas con cada programa o conjunto de

programas.


Este proyecto apoya los dominios nueve (9) y catorce (14) del Anexo A de la norma ISO/IEC 27001:2013.





5.34 REVISION DE CODIGO FUENTE DE LOS SISTEMAS DE INFORMACION

5.34.1 Descripción

Tiene como objetivo garantizar que el código fuente de los sistemas de información del Instituto Nacional de Vías INVIAS esté

libre de problemas de seguridad, con el fin de evitar posibles ataques y fraudes. Este análisis debe ser constante y pre-requisito

para la publicación de código en el ambiente de producción.



❖ Definir o actualizar la metodología de revisión del código fuente de los sistemas de información del Instituto.

❖ Definir las herramientas de revisión de código a ser utilizadas.

❖ Ejecutar análisis manuales y automatizados a los sistemas de información del INVIAS.

❖ Documentar los hallazgos de los análisis realizados.

❖ Generar el plan de remediación para las situaciones encontradas.

❖ Realizar una revisión post corrección de los hallazgos.


Este proyecto apoya el dominio catorce (14) del Anexo A de la norma ISO/IEC 27001:2013.




5.35 SEGURIDAD EN EL INTERCAMBIO DE INFORMACIÓN

5.35.1 Descripción

El objetivo es mantener la seguridad de la información que se intercambia tanto dentro como fuera de las instalaciones del

Instituto Nacional de Vías INVIAS.




❖ Identificar y establecer la herramienta adecuada para aplicar controles criptográficos en el intercambio de información de

acuerdo con las necesidades y considerando aspectos como algoritmos de cifrado, tipo de licencia y evaluando alternativas

posibles como PGP, GPG, VeraCrypt y BitLocker.

❖ Almacenar las llaves criptográficas y las copias de seguridad de las mismas en un repositorio central, el cual debe contar

con protección contra modificación, pérdida o destrucción.

❖ Establecer los lineamientos para el uso adecuado de los controles criptográficos, considerando aspectos relacionados con

legislación y necesidad de uso.

❖ Instaurar acuerdos de intercambio de información entre partes externas y el Instituto, considerando los lineamientos de uso

de los controles criptográficos y consecuencias legales por el manejo inadecuado de la información.


Este proyecto apoya los dominios ocho (8), trece (13) y quince (15) del anexo A de la norma ISO/IEC 27001:2013.



❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Terceros proveedores de servicios con los cuales hay intercambio de información. ❖ Supervisores de Contratos con Terceros.

5.36 DEFINICIÓN Y ESTABLECIMIENTO DE ACUERDOS DE NIVELES DE SERVICIO

5.36.1 Descripción

Tiene como propósito la definición y establecimiento de Acuerdos de Niveles de Servicio (ANS), donde se consideren los

objetivos, niveles de servicio, estructuras organizacionales, niveles de escalamiento y responsabilidades del proveedor del

servicio y el Instituto Nacional de Vías INVIAS.




❖ Definir el diseño de la estructura de Acuerdo de Nivel de Servicio (ANS) más adecuado para satisfacer las necesidades del

Instituto, considerando opciones como servicio, cliente y multinivel.

❖ Definir los requisitos del nivel de servicio considerando aspectos como soluciones, resultados y objetivos deseados, con el

fin de cumplir adecuadamente los Acuerdos de Niveles de Servicio (ANS).

❖ Establecer los Acuerdos de Niveles de Servicio (ANS) de acuerdo con el diseño y los requisitos de nivel de servicio

seleccionados.

❖ Monitorear el rendimiento de los Acuerdos de Niveles de Servicio (ANS) con el fin de verificar el cumplimiento de los mismos

y la satisfacción de los usuarios; asimismo, con los resultados obtenidos de la labor de monitoreo se pueden examinar y

ajustar los acuerdos con el objetivo de mejorar la prestación de los servicios.


Este proyecto apoya parcialmente los dominios catorce (14) y quince (15) del anexo A de la norma ISO/IEC 27001:2013.



❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Supervisores de Contratos con Terceros.

5.37 CONTROLES SOBRE LOS TERCEROS

5.37.1 Descripción

Tiene como objetivo mantener la seguridad de la información en los servicios de procesamiento y almacenamiento de

información del Instituto Nacional de Vías INVIAS a los cuales tienen acceso terceras partes o personal provisto por estas.



❖ Identificar los riesgos con terceras partes o con personal provisto por ellas, para la información y, los servicios de

procesamiento y almacenamiento de la misma.

❖ Implementar los controles lógicos y físicos necesarios para proteger la información que no debe ser accesible a terceras

partes o a personal provisto por ellas.


❖ Establecer los requisitos legales y obligaciones contractuales que se deberían tener en cuenta en las relaciones con terceras

partes o personal provisto por ellas, incluyendo temas como el cumplimiento de las políticas de seguridad, acuerdos o

clausulas para el intercambio de información y acuerdos o cláusulas de confidencialidad.

❖ Implantar y divulgar las funciones y responsabilidades frente a la seguridad de la información, que le competen al personal

provisto por terceras partes que cuente con acceso a la plataforma tecnológica o la información contenida en ella.

❖ Establecer en el proceso de finalización de contrato, aspectos referentes a la entrega de bienes, información, derechos de

acceso y puestos de trabajo de manera formal, por parte del personal provisto por terceras partes.

❖ Monitorear el cumplimiento de los Acuerdos de Niveles de Servicio con el fin de verificar el cumplimiento de los niveles de

servicio acordados y la satisfacción de los usuarios frente a estos, con el objetivo de proponer mejoras sobre los mismos.


Este proyecto apoya los dominios ocho (8), nueve (9), once (11), trece (13), catorce (14) y quince (15) del anexo A de la norma

ISO/IEC 27001:2013.



❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Supervisores de Contratos con Terceros.

5.38 ANALISIS DE IMPACTO AL NEGOCIO (BUSINESS IMPACT ANALYSIS – BIA)

5.38.1 Descripción

Tiene como propósito realizar un Análisis de Impacto al Negocio (BIA – Business Impact Analysis) por medio de la identificación,

categorización y priorización de los procesos misionales, evaluando la no disponibilidad de los mismos, al interior del Instituto

Nacional de Vías INVIAS.



❖ Identificar los procesos misionales del Instituto para su supervivencia en el momento de una interrupción, teniendo en

cuenta cuales de ellos son claves para que entren en operación rápidamente.

❖ Establecer los puntos y tiempos objetivos de recuperación. El Punto Objetivo de Recuperación (Recovery Point Objective -

RPO) representa la tolerancia a la pérdida de información que se puede presentar durante la interrupción de un proceso y


permite establecer el punto en el tiempo al cual la información debe ser recuperado, en caso de presentarse un siniestro. El

Tiempo Objetivo de Recuperación (Recovery Time Objective – RTO) representa el periodo de tiempo requerido para que se

restablezca la operación de sus servicios de red, sistemas de información o recursos tecnológicos y sus funciones, después

de presentarse un evento contingente.

❖ Recolectar la información para lograr el entendimiento de las actividades realizadas al interior de los procesos evaluados,

con personas que forman parte de cada uno de ellos. Valorar los impactos: legal, financiero, operacional y reputacional para

cada proceso.

❖ Consolidar la información recolectada, analizarla y presentar cifras para los impactos evaluados.

❖ Analizar y presentar los hallazgos por proceso sobre los puntos objetivos de recuperación y tiempos objetivos de recuperación

definidos (RPO y RTO respectivamente).

❖ Establecer la importancia de los procesos, definiendo los niveles de criticidad. Dicha importancia permite establecer la

prioridad para restablecer los procesos dentro del tiempo de interrupción permitido.

❖ Identificar los servicios de red, sistemas de información y recursos tecnológicos asociados a los procesos identificados con

mayor criticidad para poder elaborar un Plan de Contingencia Tecnológica que permita su recuperación.

❖ Identificar los tiempos críticos de operación, para posteriormente, al establecer las estrategias de recuperación, poder

determinar la disponibilidad que deben tener los servicios, aplicativos y recursos tecnológicos durante los tiempos críticos

de operación.

❖ Identificar procesos alternos que permitan continuar operando en caso de presentarse una interrupción.


Este proyecto apoya un requerimiento del Modelo de Seguridad y Privacidad de GEL no contemplando en el Anexo A de la norma

ISO/IEC 27001:2013.



❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). ❖ Terceros expertos.

5.39 CONTINGENCIA TECNOLÓGICA

5.39.1 Descripción

Tiene como propósito restaurar los servicios de red, recursos tecnológicos y sistemas de información asociados a los procesos

identificados con mayor criticidad del Instituto Nacional de Vías INVIAS, de forma rápida, eficiente y con el menor costo y

pérdidas posibles, tomando como insumos los resultados del análisis de riesgos y del Análisis de Impacto al Negocio (BIA).




❖ Determinar los servicios de red, sistemas de información y recursos tecnológicos críticos y utilizar los resultados del análisis

de riesgos para conocer las principales amenazas a la seguridad y/o operación de dichos servicios, sistemas y recursos.

❖ Establecer los requisitos de recuperación, a través de un Plan de Respaldo, el cual contempla los controles

preventivos antes de que se materialice una amenaza identificada en el análisis de riesgos. Algunas de las principales

actividades son:

➢ Establecimiento del centro alterno

➢ Establecimiento de contratos de alquiler de equipos, canales alternos de comunicaciones y Acuerdos de Niveles de

Servicio (ANS)

➢ Verificación de la existencia y cubrimiento de las pólizas de seguro

➢ Establecimiento de procedimientos de recuperación y vuelta a la normalidad, consistentes con los escenarios y

estrategias de recuperación definidos.

➢ Actualización permanente y mantenimiento del inventario de software

➢ Mantenimientos periódicos a los equipos de cómputo y las utilidades de soporte

➢ Realización de copias de respaldo tanto de información como de configuraciones

➢ Garantía de custodia externa de las copias de respaldo

➢ Revisiones periódicas de las copias de respaldo

➢ Simulacros por desastres naturales

➢ Simulacros por fallas graves de las comunicaciones o la plataforma tecnológica

❖ Definir las acciones a seguir en el evento de una contingencia tecnológica, a través de un Plan de Emergencia, el cual

contempla las contramedidas y controles necesarios durante la materialización de una amenaza, o inmediatamente

después con el fin de mitigar los efectos adversos de la amenaza, de manera consistente con las estrategias de recuperación

establecidas. Entre estas actividades se encuentran:

➢ Activación del grupo encargado de la contingencia tecnológica

➢ Activación del centro alterno, canales alternos de comunicaciones y de los contratos de alquiler de equipos informáticos

➢ Gestión de los incidentes informáticos

➢ Re-direccionamiento de las comunicaciones

➢ Restauración de las copias de respaldo según la prioridad de recuperación identificada

➢ Reanudación de las operaciones desde el centro alterno

❖ Restablecer las operaciones normales, a través de un Plan de Recuperación, el cual contempla las medidas

necesarias después de materializada y controlada la amenaza, con el fin de restaurar los servicios de red, sistemas de

información y recursos tecnológicos tal y como se encontraban antes de la materialización de la amenaza. Algunas de sus

actividades se relacionan a continuación:

➢ Evaluación de daños


➢ Traslado de datos desde el centro alterno a las instalaciones habituales

➢ Recuperación y reanudación de las actividades

➢ Desactivación del centro alterno, canales alternos de comunicaciones y de los contratos de alquiler de equipos

➢ Reclamaciones a la compañía de seguros

❖ Revisar y actualizar los Planes de Contingencia Tecnológica.


Este proyecto apoya parcialmente el dominiodiecisiete (17) del anexo A de la norma ISO/IEC 27001:2013.




5.40 GESTIÓN DE INCIDENTES

5.40.1 Descripción

Tiene como propósito que todos los incidentes relacionados con seguridad de la información se comuniquen formalmente, se

analicen, se contengan, se investiguen y sean solucionados, tomando las acciones correctivas correspondientes de manera

oportuna.



❖ Establecer canales para el reporte de eventos de seguridad de la información.

❖ Clasificar los eventos que corresponden y no corresponden a incidentes de seguridad de la información.

❖ Definir y establecer procedimientos para asegurar una adecuada gestión de los incidentes de seguridad de la información,

considerando aspectos como el tratamiento del incidente y la recolección de evidencia cuando así se requiera. De ser

necesario, poner denuncia ante las autoridades competentes.

❖ Capacitar al personal sobre que es un incidente de seguridad de la información y cuál es el procedimiento que se debe

seguir en caso de presentarse uno.

❖ Establecer los mecanismos que se usaran para la recolección de evidencias.

❖ Instaurar mecanismos para cuantificar y monitorear todos los tipos, volúmenes y costos de los incidentes de seguridad de

la información.


❖ Generar una base de conocimiento y futura consulta, con la documentación de los incidentes de la seguridad de la

información presentados, registrando la solución a incidentes resueltos.


Este proyecto apoya los dominios siete (7) y dieciséis (16) del anexo A de la norma ISO/IEC 27001:2013.



❖ Oficina Asesora de Planeación (como líder del SGSI). ❖ Oficina de Control Interno.

5.41 GESTIÓN DEL LICENCIAMIENTO DE SOFTWARE

5.41.1 Descripción

Tiene como propósito evitar el incumplimiento de las leyes relacionadas con derechos de autor y controlar el licenciamiento del

software utilizado en el Instituto Nacional de Vías INVIAS.



❖ Establecer procedimientos y controles para asegurar el cumplimiento de la legislación aplicable a material con derechos de

propiedad intelectual.

❖ Definir los responsables de monitorear las licencias utilizadas con una periodicidad establecida.

❖ Deshabilitar las licencias no utilizadas en el momento de dar de baja los equipos de cómputo o reasignarlos.


Este proyecto apoya parcialmente los dominios siete (7), ocho (8) y dieciocho (18) del anexo A de la norma ISO/IEC 27001:2013.



❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información).


5.42 AUDITORIA INTERNA Y/O EXTERNA AL SGSI

5.42.1 Descripción

Tiene como propósito presentar el proceso de las auditorías tanto internas como externas, donde se realice la evaluación del

modelo de seguridad de la Información, incluyendo su alcance, políticas, objetivos, estructura organizacional y los controles de

seguridad implantados por el INVIAS.



❖ Definir los objetivos y establecer el alcance de la auditoría.

❖ Si se trata de una auditoría interna, se debe definir el equipo auditor; en caso de una auditoría externa se debe contratar el

equipo auditor con un tercero.

❖ Elaborar el plan de auditoria, estableciendo el tipo de auditoria a realizar, el equipo auditor, las fechas previstas para llevar

a cabo la auditoría, la documentación de referencia y las personas que deben participar en la auditoria.

❖ Preparar la auditoría, llevando a cabo las siguientes actividades:

➢ Establecimiento de la estrategia de la auditoría, por procesos o por controles específicos

➢ Preparación de las listas de verificación con los aspectos que serán auditados

➢ Revisión de la documentación disponible previamente

➢ Preparación de la agenda de trabajo

❖ Ejecutar la auditoría, teniendo en consideración la realización de las siguientes actividades:

➢ Reunión de inicio de la auditoría con el área líder de la misma, presentando los objetivos, el alcance, la metodología, el

grupo de personas a entrevistar y el itinerario

➢ Evaluación de cumplimiento de acuerdo con las listas de chequeo elaboradas

➢ Revisión y análisis de los hallazgos

❖ Elaborar el informe de auditoría y presentar los hallazgos y recomendaciones.

5.42.3 Tiempo estimado de ejecución

El tiempo de ejecución para este proyecto dependerá del tipo de auditoría que se vaya a realizar y se estima que el tiempo

puede oscilar entre dos (2) y tres (3) semanas y del personal que se asigne a esta actividad.


Este proyecto apoya el numeral nueve (9) y parcialmente el dominio dieciocho (18) del anexo A de la norma ISO/IEC

27001:2013.




❖ Oficina Asesora de Planeación (como líder del SGSI). ❖ Oficina de Control Interno o Equipo de trabajo de Auditoria Externa.

5.43 REVISIÓN DE DOCUMENTACIÓN DEL SGSI Y DE LOS REQUERIMIENTOS DE GEL (Gobierno Digital)

5.43.1 Descripción

Busca realizar la revisión de la documentación del Sistema de Gestión de Seguridad de la Información (SGSI), dado que, el Instituto Nacional de Vías INVIAS deberá cumplir con los requisitos exigidos por él y por el Modelo de Seguridad y Privacidad de Gobierno en Línea (GEL) para posteriormente operar, hacer seguimiento, revisar, mantener y mejorar el SGSI.


A continuación, se presentan las actividades a desarrollar:

❖ Reevaluar o confirmar el alcance del SGSI. ❖ Evaluar el cumplimiento de la política y objetivos del SGSI. ❖ Aplicar nuevos análisis de acuerdo con la metodología de gestión de riesgos definida. ❖ Identificar, valorar y/o revalorar el inventario de activos de información para el alcance definido. ❖ Analizar y evaluar los riesgos de seguridad para los activos de información del alcance definido, teniendo en cuenta el análisis

de riesgo ya existente y considerando aspectos referentes a cambios en los procesos, los activos de información, la tecnología, nuevas amenazas y la efectividad de los controles implementados.

❖ Reevaluar y, de ser necesario, ajustar el plan de tratamiento de riesgos en función de los controles del Anexo A de la norma ISO/IEC27001:2013.

❖ Reevaluar y, de ser necesario, ajustar la declaración de aplicabilidad. ❖ Reevaluar el modelo de seguridad y la documentación que lo conforma (políticas, normas y procedimientos del SGSI,

organización de la seguridad). ❖ Obtener la aprobación del modelo de seguridad y de la implementación y operación del SGSI en caso de realizar cambios en

este.


Este proyecto apoya los numerales cuatro (4) y seis (6) de la norma ISO/IEC 27001:2013 que tratan sobre el Sistema de Gestión

de Seguridad del Información, sus requisitos, establecimiento y gestión; adicionalmente, apoya los dominios siete (7) y

dieciocho (18) del anexo A de la misma norma.





5.44 REVISIÓN Y MEDICIÓN DE INDICADORES

5.44.1 Descripción

Tiene como objetivo la revisión y medición de los indicadores del modelo de seguridad de la información del Instituto Nacional

de Vías INVIAS, con el objetivo de monitorear sus métricas frente a su eficacia y eficiencia.



❖ Revisar y medir los indicadores existentes de acuerdo con los registros generados en cada uno de ellos durante el periodo

de tiempo que han estado en uso y no han sido revisados, con el fin de verificar si el objetivo del indicador se cumple o si el

mismo requiere un ajuste de acuerdo con su comportamiento.

❖ Ajustar los indicadores si estos no generan valor al modelo de seguridad de la información, considerando aspectos como la

madurez del modelo y la información considerada como relevante en el mismo.


Este proyecto apoya el numeral nueve (9) de la norma ISO/IEC 27001:2013.




5.45 REVISIÓN Y AJUSTES DEL ANALISIS DE RIESGOS Y PLAN DE TRATAMIENTO

5.45.1 Descripción

Busca revisar y ajustar el análisis de riesgos y plan de tratamiento existentes en el Instituto Nacional de Vías INVIAS, con el fin


de identificar nuevos riesgos o cambios en los niveles de riesgos por cambios en los procesos, la plataforma tecnológica o los

controles aplicables.



❖ Reevaluar los niveles de las zonas de riesgo que fueron acordadas y utilizadas para el desarrollo del análisis de riesgo inicial,

con el objetivo de mantener o cambiar la rigurosidad de las mismas.

❖ Notificar que el análisis de riesgos se va a realizar a nivel de procesos, por tipologías de activos de información.

❖ Realizar la valoración de impacto de los tipos de activos frente a la confidencialidad, integridad y disponibilidad, teniendo en

cuenta la metodología usada para el desarrollo del análisis de riesgos de seguridad de la información.

❖ Identificar nuevas o reevaluar las amenazas y vulnerabilidades a las que se ven expuestas los tipos de activos.

❖ Valorar la probabilidad de ocurrencia de la combinación de amenazas y vulnerabilidades.

❖ Valorar el nivel de los riesgos en las zonas establecida y asignar la prioridad de atención (Baja, Moderada, Alta o Muy Alta).

❖ Seleccionar los controles del Anexo A de la norma ISO/IEC 27001:2013 apropiados para mitigar las vulnerabilidades

identificadas y, de ser necesario, controles adicionales.

❖ Establecer un plan de tratamiento de riesgos teniendo en cuenta las opciones de evitar, aceptar o transferir los riegos y la

guía de aplicación de los controles seleccionados.


Este proyecto apoya los numerales cuatro (4), seis (6) y ocho (8) de la norma ISO/IEC 27001:2013 y adicionalmente el dominio

ocho (8) de su anexo A.





En el cuadro siguiente, se resumen las actividades y Plan de Acción en materia de Seguridad de la Información.

❖ PLAN DE ACCION Y CRONOGRAMA DE PROYECTOS

No. PROYECTO DESCRIPCION ACTIVIDADES IMPLEMENTACION

Y MONITOREO

NUMERAL O DOMINIO DE LA NORMA

ISO 27001:2013

QUE CUBRE

TIEMPO ESTIMA

DO (SEMAN

AS)

PERIODO

TIEMPO ESTIMAD

O (SEMANA

S)/ PERIODO

S

1 IMPLEMENTACIÓN Y SEGUIMIENTO DE POLITICAS DE SEGURIDAD

Tiene el objetivo de llevar a cabo la implementación y posterior seguimiento a las políticas de seguridad de la información que se encuentran definidas para el INVIAS, con el fin de obtener el compromiso de todos los funcionarios, contratistas y terceros frente a la seguridad de la información

Desarrollar una política global de seguridad y políticas específicas orientadas a los temas que recomiendan Gobierno en Línea (GEL) y los dominios del Anexo A de la norma ISO/IEC 27001:2013. Aprobar las políticas de seguridad de la información que se han desarrollado para el INVIAS. Divulgar e implementar las políticas de seguridad de la información una vez aprobadas. Dar seguimiento al cumplimiento de las políticas de seguridad de la información, con el fin de verificar su acatamiento y aceptación por parte de los funcionarios y contratistas del instituto. Revisar periódicamente las políticas de seguridad de la información y, realizar ajustes de ser necesario, con el fin de garantizar que son adecuadas y funcionales para el instituto.

Comité de Desarrollo Administrativo. Oficina Asesora de Planeación (como líder del SGSI)

Numeral 5 Todos los

dominios del Anexo A

4 1 4

2 GENERACIÓN DE LA ORGANIZACIÓN DE SEGURIDAD

Tiene como propósito establecer los roles y responsabilidades encargados de la seguridad de la información en el INVIAS desde el nivel directivo hasta el operativo

Verificar si dentro de las funciones del Comité de Desarrollo Administrativo se encuentran la generación de los lineamientos en seguridad de la información y la aprobación de la documentación y las estrategias generadas para la operación del Sistema de Gestión de Seguridad de la Información (SGSI). Fortalecer y reasignar funciones al grupo de trabajo encargado de liderar los aspectos tácticos y operativos relacionados con la seguridad de la información. Dar a conocer a las áreas o grupos de trabajo con responsabilidad indirecta sobre temas relacionados con seguridad de la información sus responsabilidades, de acuerdo con lo establecido por la norma ISO/IEC 27001:2013. Estas áreas son, entre otras: la Subdirección Administrativa (en temas relacionados con el talento humano y la seguridad física y medioambiental), la Oficina de Control Interno (en relación con las auditorias y revisiones al SGSI y la Oficina Asesora Jurídica (en la generación de conceptos y revisiones de requisitos propios del SGSI). Documentar formalmente la organización de seguridad de la información en el instituto y divulgar las responsabilidades a los comités, áreas o grupos de trabajo involucrados

Comité de Desarrollo Administrativo. Oficina Asesora de Planeación (como líder del SGSI). Subdirección Administrativa

Dominio 6 4 1 4


3

DOCUMENTACIÓN DEL SGSI Y CUMPLIMIENTO CON LOS REQUERIMIENTOS DE GEL

Busca el desarrollo de la documentación correspondiente al Sistema de Gestión de Seguridad de la Información (SGSI) en cumplimiento a los requisitos del Modelo de Seguridad y Privacidad de Gobierno en Línea (GEL), necesaria para posteriormente operar, dar seguimiento, revisar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información (SGSI).

Definir alcance del Sistema de Gestión de Seguridad de la Información (SGSI). Definir política y objetivos del Sistema de Gestión de Seguridad de la Información (SGSI). Identificar los requisitos legales exigidos al INVIAS en términos de protección de la información. Aplicar la metodología de gestión de riesgos de seguridad de la información. Identificar, valorar y generar el inventario de activos de información para el Proceso de Gestión de tecnologías de información y comunicaciones. Analizar y evaluar los riesgos de seguridad para el Proceso de Gestión de tecnologías de información y comunicaciones, considerando aspectos referentes a cambios en el proceso, los activos de información, la plataforma tecnológica, nuevas amenazas y efectividad de los controles implementados. Generar el plan de tratamiento de riesgos en función de los controles del Anexo A de la norma ISO/IEC 27001:2013. Generar la Declaración de Aplicabilidad. Elaborar los documentos restantes del Modelo de Seguridad (políticas, normas y procedimientos del SGSI). Obtener la aprobación del Modelo de Seguridad y de la implementación y operación del SGSI. Propiciar la integración del SGSI con otros Sistemas de Gestión del INVIAS.

Comité de Desarrollo Administrativo. Oficina Asesora de Planeación (como líder del SGSI).

Numerales 4 y 6

8 1 8

4 GENERACIÓN DE INDICADORES

Se basa en la generación de indicadores para el modelo de seguridad de la información del Instituto Nacional de Vías INVIAS, con el objetivo de adquirir métricas frente a su eficacia y eficiencia

Identificar y generar los indicadores más adecuados para el modelo de seguridad de la información del instituto, considerando las recomendaciones del Modelo de Seguridad y Privacidad de GEL y la madurez del modelo en el INVIAS. Implementar los indicadores generados, con el fin de generar registros en cada uno de ellos. Monitorear los indicadores creados de acuerdo con los registros generados en cada uno de ellos, con el fin de verificar si el objetivo del indicador se cumple o si el mismo requiere un ajuste de acuerdo a su comportamiento; esta actividad se desarrolla con detalle en un proyecto propuesto en este documento

Oficina Asesora de Planeación (como líder del SGSI).

Numeral 6 2 1 2

5

CONTROLES SOBRE LOS FUNCIONARIOS DESDE LA VINCULACIÓN HASTA LA DESVINCULACIÓN

Busca que los funcionarios y contratistas del Instituto Nacional de Vías INVIAS, conozcan la importancia de la seguridad de la información, y de sus funciones y responsabilidades con esta desde el momento de la vinculación con el instituto, hasta el momento de su desvinculación.

Establecer en el proceso de vinculación aspectos a tener en cuenta como la verificación de los roles de las funciones vinculados para saber a qué tipo de información clasificada van a tener acceso y los posibles riesgos. Incorporar en el proceso de inducción a los funcionarios la divulgación de las funciones y responsabilidades frente a la seguridad de la información desde su vinculación, hasta su desvinculación. Definir, en conjunto con la Oficina Asesora Jurídica, los documentos correspondientes a acuerdos o cláusulas confidencialidad durante el proceso de vinculación de funcionarios, con el fin que estos conozcan y acepten la responsabilidad sobre la información a la que tienen acceso y/o procesan. Establecer en el proceso de desvinculación de funcionarios o contratistas, así como los cambios de cargo de funcionarios, aspectos referentes a la entrega de información, derechos de acceso, puestos de trabajo y bienes de manera formal y documentada. Comunicar en el proceso de desvinculación las responsabilidades frente a la seguridad de la información que continúan existiendo.

Comité de Desarrollo Administrativo. Subdirección Administrativa.

Numeral 7 Dominios 7, 8 y

9 16

2 3

8


6 CONCIENCIACIÓN Y EDUCACIÓN

Tiene como objetivo llevar a cabo una concienciación y educación realizada por personal interno o externo, con el fin que todos los funcionarios, contratistas y terceros del instituto Nacional de Vías INVIAS tomen conciencia frente a la importancia de la protección de la información dentro de sus actividades y como sus acciones contribuyen a optimizar la seguridad de la información y al logro de los objetivos del Sistema de Gestión de Seguridad de la Información (SGSI)

Generar programas de concienciación de seguridad de la información, considerando aspectos tales como los grupos objetivo, funciones, responsabilidades y habilidades; dichos programas debe considerar que en cada periodo de concienciación y educación se cubran grupos objetivo y temarios específicos, iniciando por grupos de usuario final, hasta alcanzar grupos con conocimientos en seguridad de la información y la Alta Dirección. Desarrollar los programas de concienciación de seguridad de la información, a través de la realización de charlas, folletos, pendones u otra herramienta que se considere, para posteriormente medir su efectividad en cada uno de los grupos objetivo que reflejen los niveles conciencia en seguridad de la información. Revisar periódicamente el nivel de apropiación del Modelo de Seguridad y Privacidad de la información en los funcionarios, contratistas y terceros, a través de métricas, con el fin de identificar la necesidad de reforzar las charlas, sesiones de trabajo, talleres y herramientas utilizadas.

Comité de Desarrollo Administrativo. Oficina Asesora de Planeación (como líder del SGSI). Subdirección Administrativa.

Numeral 7 Dominios 7, 8, 11, 12, 13 y 16

4 1 2 3

4

7 VINCULACIÓN A FOROS Y GRUPOS DE INTERES

Tiene como propósito crear y mantener vínculos con foros y grupos de interés relacionados con seguridad de la información, estándares internacionales y buenas prácticas, aplicables al Instituto Nacional de Vías INVIAS.

Identificar temas de interés relacionados con seguridad de la información, estándares internacionales y buenas prácticas aplicables al instituto. Establecer vínculos con foros y grupos de asociaciones profesionales o entidades reconocidas, como por ejemplo ISACA, ISC2 y NIST, de acuerdo con los temas de interés planteados, con el fin de estar siempre actualizados en nuevas tecnologías, productos, estándares, marcos de referencia, buenas prácticas, amenazas y vulnerabilidades.


Dominio 6 2 3 2

8

GENERACIÓN DE GUIAS DE CLASIFICACIÓN DE LA INFORMACIÓN Y PROCEDIMIENTOS DE MANEJO

El objetivo es generar los lineamientos para llevar a cabo el proceso de clasificación de información, de acuerdo con su grado de sensibilidad e importancia, definiendo guías de clasificación y un conjunto de procedimientos de manejo de la información para el Instituto Nacional de Vías INVIAS.

Definir los criterios de seguridad de la información (confidencialidad, integridad y disponibilidad) por los cuales será clasificada la información. Verificar la legislación vigente en temas de clasificación de la información y, de acuerdo con ella, definir los niveles o categorías en los cuales será clasificada la información en relación con su nivel de sensibilidad. Generar guías o metodologías de clasificación de la información donde se presenten las categorías de clasificación de la información. Especificar para cada categoría de clasificación de información procedimientos de manejo que incluyan, entre otros, acceso, procesamiento, almacenamiento, transmisión, destrucción segura y etiquetado, considerando las tablas de retención documental existentes para el instituto. Divulgar las guías de clasificación de la información y procedimientos de manejo.

Oficina Asesora de Planeación (como líder del SGSI). Subdirección Administrativa.

Dominio 8 4 1 4

9

CLASIFICACIÓN DE LA INFORMACIÓN Y APLICACIÓN DE PROCEDIMIENTOS DE MANEJO

El objetivo proyecto es clasificar la información del INVIAS aplicando las guías de clasificación de la información y los procedimientos de manejo establecidos.

Identificar los propietarios de la información al interior de las áreas o procesos del INVIAS. Clasificar la información en las áreas o procesos de acuerdo con las guías de clasificación de la información. Implantar los procedimientos de manejo establecidos para la información clasificada en cada una de las áreas o procesos.

Oficina Asesora de Planeación (como líder del SGSI). Subdirección Administrativa. Propietarios de los activos de información.

Dominio 8 20 2 3

10

10 GESTIÓN DEL ACCESO LÓGICO

El objetivo es establecer una gestión adecuada del acceso lógico en la plataforma tecnológica, considerando los entornos de usuario y los ambientes de desarrollo, pruebas y producción del Instituto Nacional de Vías INVIAS, con el fin de proteger los servicios de procesamiento y almacenamiento de información.

Instaurar y ejecutar el procedimiento de administración de usuarios y contraseñas a través del cual se formalizan las solicitudes de acceso y los privilegios correspondientes. Implantar los controles de acceso lógico correspondientes de acuerdo con los servicios de red, los componentes de la plataforma tecnológica o los sistemas de información, considerando los riesgos a los que se encuentra expuesta la información contenida en ellos y las políticas de seguridad de la información. Establecer los perfiles y roles de acceso lógico de usuarios o grupos de usuarios, considerando segregación de funciones y limitación de accesos según necesidad de uso, de acuerdo con sus funciones y las políticas de seguridad de la información. Monitorear la efectividad de los controles de acceso lógico implantados, con el objetivo de generar propuestas de mejora de acuerdo con las políticas de seguridad de la información.

Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Propietarios de los Activos de Información. Supervisores de Contratos con Terceros.

Dominios 6, 9 y 12

6 1 6


11

REVISIÓN Y AJUSTES DE PERFILES EN SISTEMAS DE INFORMACION, SERVICIOS DE RED Y RECURSOS TECNOLÓGICOS

Tiene como objetivo asegurar que todo el personal con acceso a los sistemas de información, servicios de red, y cualquier recurso de la plataforma tecnológica del Instituto Nacional de Vías INVIAS, cuente con un perfil acorde a las labores y funciones que desempeña.

Revisar los perfiles y roles de acceso lógico de usuarios o grupos de usuarios, de acuerdo con las funciones de cargo y las políticas de seguridad de la información en cada uno de los sistemas de información existentes, servicios de red y recursos tecnológicos, con fin de ratificar o de ser necesario ajustar, los perfiles y roles de acuerdo con los cambios detectados durante la revisión. Llevar a cabo cuando resulte necesario, el ajuste de los perfiles y roles, siguiendo el procedimiento de administración de usuarios y contraseñas por el cual se deben realizar este tipo de cambios, generando registros de control.

Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Propietarios de los Activos de Información. Supervisores de Contratos con Terceros. Subdirección Administrativa.

Dominios 6, 12, 13, 14, 15 y 18

6 1 2

3

12 GESTION DEL ACCESO FISICO

El objetivo es establecer una gestión adecuada del acceso físico para las instalaciones del Instituto Nacional de Vías INVIAS, con el fin de proteger las áreas de almacenamiento y procesamiento de información

Identificar las áreas que pueden considerarse restringidas, teniendo en cuenta el tipo de información que se almacena o procesa y la sensibilidad de dicha información. Evaluar y ajustar los controles de acceso físico existentes, considerando aspectos como las labores correspondientes al cargo y las políticas de seguridad de la información, para las diferentes áreas, especialmente para las áreas identificadas como sensibles, con el fin de permitir acceso solo a personal autorizado. Implementar el procedimiento de control de acceso físico, con el fin de establecer controles sobre el acceso físico y generar registros. Monitorear, de manera periódica, la efectividad de los controles de acceso físico establecidos, con el objetivo de generar propuestas de mejora de acuerdo con las políticas de seguridad de la información y los análisis de riesgos realizados.

Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Subdirección Administrativa.

Dominio 11 4 1 4

13

ESTABLECIMIENTO Y MONITOREO DE LAS CONDICIONES AMBIENTALES

Tiene como objetivo establecer y monitorear las condiciones ambientales y de las instalaciones donde se encuentra la plataforma tecnológica del Instituto Nacional de Vías INVIAS.

Mantener las instalaciones donde se encuentra ubicada la plataforma tecnológica del instituto libre de materiales combustibles o peligrosos como cartón, papel y líquidos inflamables. Evaluar las condiciones de las instalaciones donde se encuentra ubicada la plataforma tecnológica, verificando las condiciones de manejo de incendios, altas temperaturas, humedad, inundaciones, contaminación por polvo y cualquier otra forma de desastre natural o artificial; de ser necesario llevar a cabo la adecuación necesarias. Evaluar las condiciones de seguridad física del instituto para ver si se protegen las instalaciones donde se encuentra ubicada la plataforma tecnológica ante amenazas ambientales y verificar la necesidad de controles adicionales a los existentes. Realizar un monitoreo periódico de las instalaciones donde se encuentra ubicada la plataforma tecnológica, con el objetivo de ratificar o ajustar consideraciones referentes a incendios, altas temperaturas, humedad, inundaciones, contaminación por polvo, materiales combustibles o peligrosos, almacenamiento de equipos de cómputo y medios, y cualquier otro aspecto que pueda afectar las condiciones de las instalaciones.

Oficina Asesora de Planeación (responsable por la plataforma tecnológica y los sistemas de información). Subdirección Administrativa.

Dominio 11 6 1 6

14 SEGURIDAD DE LOS EQUIPOS FUERA DE LAS INSTALACIONES

El objetivo es establecer las medidas de control adecuadas para la movilización fuera de las instalaciones de los equipos de cómputo, dispositivos móviles y cualquier medio electrónico que contenga información correspondiente al Instituto Nacional de Vías INVIAS, con el fin de proteger la información contenida en ellos.

Realizar, en apoyo con el proyecto de concienciación y educación, la divulgación correspondiente de los riesgos a los que se ven expuestos los equipos de cómputo, dispositivos móviles y cualquier otro medio que contenga información, cuando son retirados del instituto. Establecer los mecanismos adecuados con el fin de evitar la fuga de información en los equipos de cómputo, dispositivos móviles y cualquier otro medio que contenga información, a través del uso de controles como los criptográficos.


Dominio 11 2 1 2

15 SEGURIDAD EN LA REUTILIZACIÓN DE EQUIPOS

El objetivo es establecer medidas de control seguras para la reutilización de los equipos de cómputo, dispositivos móviles y cualquier medio electrónico que contenga o haya contenido información correspondiente al Instituto Nacional de Vías INVIAS, con el fin de proteger la información contenida en ellos.

Establecer cuáles serán los mecanismos y herramientas para la eliminación de información y reutilización segura de los equipos de cómputo, dispositivos móviles y cualquier medio electrónico que contenga o haya contenido información, considerando métodos como la destrucción física, borrado o sobre-escritura segura y la protección de la información durante la vida útil del dispositivo. Establecer un procedimiento que defina las acciones a seguir en caso de eliminación de información o reutilización de un equipo de cómputo, dispositivo móvil y cualquier medio electrónico que contenga o haya contenido información; dicho procedimiento debe generar registros de las actividades realizadas.

Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información).

Dominios 8, 11 y 18

2 1 2


16

MANTENIMIENTO Y PRUEBAS DE UTILIDADES DE SOPORTE Y EQUIPOS DE COMPUTO

El objetivo es la realización de mantenimientos y pruebas en las utilidades de soporte y equipos de cómputo del Instituto Nacional de Vías INVIAS, con el fin de prevenir fallas de hardware.

Realizar periódicamente mantenimientos preventivos y, de ser necesarios correctivos, a todas las utilidades de soporte como sistemas de extinción de incendios, UPS, aire acondicionado, plantas eléctricas y cableado estructurado; además, se deben llevar a cabo mantenimientos periódicos a los equipos de cómputo en general. Generar registros acorde a los mantenimientos, preventivos o correctivos realizados a las utilidades de soporte y equipos de cómputo, en donde se detalle información relacionada con el mantenimiento, como componentes involucrados, motivo de la realización, fecha y tiempo de duración del mantenimiento. Ejecutar periódicamente pruebas a las utilidades de soporte, con el objetivo de garantizar su óptimo funcionamiento; adicionalmente, dichas pruebas deben ser documentadas, detallando siempre los aspectos más relevantes de las mismas.


Dominio 11 4 1 2 3

4

17 IMPLEMENTACION DE CONTROLES CRIPTOGRAFICOS

El objetivo es realizar la implementación de controles criptográficos, con el fin de mitigar él envió de información sensible en texto claro, obteniendo así un fortalecimiento de la plataforma tecnológica del Instituto Nacional de Vías INVIAS

Identificar y establecer la herramienta adecuada para aplicar controles criptográficos, considerando aspectos como algoritmos y tipos de llaves criptográficas, y evaluando alternativas como PGP o GPG. Almacenar las llaves criptográficas en un repositorio central, el cual debe contar con protección contra modificación, pérdida o destrucción. Establecer los lineamientos para el uso adecuado de los controles criptográficos. Llevar cabo la implementación de los controles criptográficos considerando los lineamientos para su uso. Definir y establecer procedimientos para la administración de llaves criptográficas, si resulta aplicable, considerando aspectos como fechas finales de uso, retiro de llaves, destrucción de llaves, usuarios autorizados para su uso, registros y auditoria, y copias de respaldo de las mismas.

Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Subdirección Administrativa. Terceros proveedores de sistemas de información.

Dominios 10 y 13

12 3 12

18

DOCUMENTACIÓN Y MANTENIMIENTO DE PROCEDIMIENTOS OPERATIVOS

Tiene como propósito la elaboración, establecimiento y mantenimiento de los procedimientos operativos relacionados con las actividades necesarias para la operación de los aspectos tecnológicos del Instituto Nacional de Vías INVIAS.

Elaborar la documentación correspondiente a los procedimientos de operación y configuración de los diferentes componentes tecnológicos de la plataforma, como encendido y apagado de equipos, generación de copias de respaldo, manejo de medios, gestión de correo electrónico y procedimientos relacionados con seguridad, entre otros. Establecer los procedimientos de operación elaborados, con el fin de llevar a cabo las actividades propias de los aspectos tecnológicos de manera consistente. Mantener los procedimientos de operación, a través del monitoreo de su aplicabilidad, y de ser necesario generar cambios controlados en ellos.

Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información).

Dominios 8, 9, 11, 12, 13, 14 y

16 10

1 2

5

19 GESTIÓN DEL CAMBIO

El objetivo es definir como se deben controlar los cambios en los sistemas operativos, servicios de red, aplicativos y sistemas de procesamiento de información del Instituto Nacional de Vías INVIAS

Formalizar el comité o grupo que revisará y aprobará los cambios en los componentes de la plataforma tecnológica y los sistemas de información. Establecer un procedimiento para el control de cambios el cual considere aprobación formal, evaluación de impactos potenciales, registro de cambios, planificación de cambios y pruebas. Establecer procedimientos de emergencia que incluyan responsabilidades de cancelación, recuperación o eventos anómalos en la realización de cambios en la plataforma tecnológica. Divulgar y establecer los procedimientos de control de cambios, con el objetivo de socializar ante las partes interesadas el cómo se deben llevar a cabo los nuevos cambios. Validar aspectos a tener en cuenta frente a los cambios como actividades, pruebas, operaciones de restauración o rollback, tiempos estimados, resultados esperados y recursos requeridos para ejecutar el cambio. Hacer revisiones posteriores a la realización de los cambios en la plataforma tecnológica y los sistemas de información.

Comité de Planeación Estratégica de TI. Oficina Asesora de Planeación (responsable por la plataforma tecnológica y los sistemas de información).

Dominios 12 y 14

5 2 5


20 GENERACIÓN Y VERIFICACIÓN DE COPIAS DE RESPALDO

Busca mantener la integridad y disponibilidad de la información a través de la generación de copias de respaldo y pruebas de restauración de estas, con el fin de garantizar que la información se lograría recuperar después de un desastre o falla que afecte la plataforma tecnológica del Instituto Nacional de Vías INVIAS.

Elaborar el procedimiento de copias de respaldo junto a un formato asociado en el cual se deben consignar los registros de dichas copias. Divulgar y establecer el procedimiento de copias de respaldo junto con el formato asociado. Definir la frecuencia de generación de copias de respaldo considerando aspectos como los requisitos de seguridad de la información involucrada y la importancia de la continuidad en la operación. Definir el sitio de custodia externa y, de ser necesario, suscribir los contratos o convenios para dicha custodia. Establecer períodos para realizar pruebas de restauración de información aleatorias a partir de las copias de respaldo. Determinar el tiempo de retención de las copias de respaldo teniendo en cuenta la importancia de la información respaldada y los requisitos legales que rigen al instituto. Evaluar la necesidad de instaurar controles criptográficos a las copias de respaldo, considerando los requisitos legales aplicables al instituto.


Dominios 8 y 12

4 1 4

21 GESTIÓN DE LA CAPACIDAD

El objetivo de este proyecto es mantener la capacidad de los recursos tecnológicos en niveles adecuados, considerando aspectos como tiempos de respuesta, necesidades actuales y necesidades futuras para el Instituto Nacional de Vías INVIAS.

Crear, establecer y mantener un plan de capacidad actualizado que refleje las necesidades presentes y futuras del instituto. Verificar periódicamente el uso de los recursos, capacidad y rendimiento de la plataforma tecnológica y de los servicios provistos por esta. Evaluar las necesidades de capacidad frente a los servicios tecnológicos prestados y las posibilidades de almacenamiento de dichos servicios y de la información asociada (local, en la nube u otras posibilidades). Identificar y remediar los problemas e incidencias de rendimiento y capacidad de la plataforma tecnológica y de los servicios provistos por esta, con el fin de proveer mejoras para el instituto. Llevar a cabo la administración de la plataforma tecnológica y de los servicios provistos por esta, considerando siempre los objetivos y el impacto de estos, frente a los niveles de rendimiento y capacidad actuales. Realizar acciones proactivas con el objetivo de mejorar el rendimiento y la capacidad de la plataforma tecnológica y de los servicios provistos por esta. Generar información estadística del uso de recursos y capacidad de la plataforma tecnológica para utilizar como información de base para las proyecciones de capacidad periódicas.


Dominio 12 8 2 8

22 SEPARACIÓN DE AMBIENTES DE PRUEBAS Y PRODUCCIÓN

Tiene como objetivo establecer la separación de los ambientes de pruebas y producción del Instituto Nacional de Vías INVIAS, con el fin mitigar los riesgos que se presentan al contar con ambientes unificados

Evaluar y, de ser posible, establecer la separación lógica y física de los ambientes de pruebas y producción en apoyo con los proyectos de segmentación de red, gestión de acceso lógico y gestión de acceso físico propuestos en este documento. Establecer el procedimiento aplicable y los registros correspondientes al paso entre los ambientes de pruebas y producción. Definir los datos que serán utilizados en el ambiente de pruebas. Acogerse a la gestión de cambios y cuando sea necesario actualizar los ambientes productivos a partir de los ambientes de pruebas.


Dominios 12 y 14

8 2 8


23

REGISTROS DE AUDITORIA Y CORRELACIÓN DE EVENTOS

Tiene como objetivo la gestión de los registros de auditoria y la correlación de eventos de los diferentes componentes de la plataforma tecnológica y los sistemas de información presentes en el Instituto Nacional de Vías INVIAS.

Definir y establecer las características de la información a ser contenida en los registros de auditoria de los diferentes componentes de la plataforma tecnológica como servidores, dispositivos de seguridad, dispositivos de comunicaciones y equipos de cómputo en general, así como en los sistemas de información con el fin de garantizar que los registros de auditoria puedan llegar a facilitar actividades de investigación y monitoreo. Establecer las herramientas o mecanismos para establecer un repositorio único que permita el análisis de los registros de auditoria previamente definidos para la plataforma tecnológica. Indicar a los terceros proveedores de sistemas de información las definiciones de los registros de auditoria requeridos en los sistemas de información a ser construidos y/o modificados. Establecer el tiempo de retención y los controles de protección adecuados para la conservación de los registros de auditoria, considerando aspectos como la capacidad de los medios donde se almacenan, los tipos de eventos críticos, requerimientos de normas o estándares y los usuarios que cuentan con el perfil adecuado para acceder a ellos. Asignar responsabilidades para el monitoreo y revisión de los registros de auditoría. Elaborar e implantar procedimientos para el monitoreo, correlación y análisis de los registros de auditoria, de acuerdo con las características y tipo de componente de la plataforma tecnológica y los sistemas de información.

Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Terceros proveedores de sistemas de información y de componentes de la plataforma tecnológica. Oficina de Control Interno.

Dominios 12 y 18

16 2 3

8

24 ANÁLISIS DE VULNERABILIDADES TÉCNICAS

Tiene como objetivo realizar un análisis de vulnerabilidades técnicas sobre la plataforma tecnológica del Instituto Nacional de Vías INVIAS, con el fin de identificar brechas de seguridad a través de la explotación de vulnerabilidades, para que estas conlleven a una posterior reducción de dichas brechas de seguridad, reflejándose en mejoras en la eficacia y eficiencia de los controles.

Realizar recopilación de información, con el objetivo de identificar objetivos específicos (servidores, enrutadores, firewalls, accesos externos, entre otros) en las redes que serán objeto del análisis de vulnerabilidades técnicas. Llevar a cabo un proceso de enumeración, con el fin de obtener y clasificar los posibles vectores de ataque. Ejecutar un análisis de la información y resultados del proceso de enumeración, para determinar posibles brechas de seguridad o falsos positivos en los vectores de ataque definidos. Efectuar la explotación o ataque a los objetivos seleccionados, aprovechando las vulnerabilidades descubiertas y determinando el impacto de las mismas en los activos donde se encuentran. Elaborar un documento donde se informen detalladamente los resultados obtenidos durante todo el proceso de análisis de vulnerabilidades técnicas, como las vulnerabilidades detectadas, el impacto de cada una de ellas y las medidas a tomar para su posterior remediación.

Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información). Terceros proveedores de sistemas de información y de componentes de la plataforma tecnológica.

Dominios 12, 13, 14 y 18

5 1 2 3

5

25 DEFINICIÓN DE ESTANDARES DE SEGURIDAD

Tiene como objetivo establecer estándares de seguridad, en los diferentes componentes de la plataforma tecnológica del Instituto Nacional de Vías INVIAS.

Seleccionar estándares de seguridad aplicables a la plataforma tecnológica. Del INVIAS, tomando como referencia guías de aseguramiento elaboradas por asociaciones profesionales o institutos con reconocimiento internacional, por ejemplo NIST. Ajustar los estándares a las necesidades del INVIAS y a sus características de particulares de funcionalidad de la plataforma tecnológica. Ejecutar los estándares y realizar pruebas en ambientes provistos para este fin a los componentes de la plataforma tecnológica involucrados. Implementar los estándares de acuerdo con los lineamientos de control de cambios y validar el éxito de la puesta en producción de los componentes de la plataforma tecnológica involucrados.

Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información). Terceros proveedores de sistemas de información y de componentes de la plataforma tecnológica.

Dominios 12, 13, 14 y 18

4 1 4


26 DEFINICIÓN Y APLICACIÓN DE ESTANDARES DE DESARROLLO SEGURO

Tiene como objetivo establecer y aplicar estándares para el desarrollo seguro de software en el Instituto Nacional de Vías INVIAS.

Identificar riesgos de seguridad en los lenguajes de desarrollo de las aplicaciones, considerando técnicas de ataque como Cross Site Scripting – XSS (inyección de código malicioso para su posterior ejecución que puede realizarse a sitios web, aplicaciones locales o al propio navegador) o SQL Injection (creación o alteración de comandos SQL para exponer datos ocultos, sobrescribir valores o ejecutar comandos a nivel de sistema en el equipo que hospeda la base de datos), entre otros. Analizar estándares o guías de desarrollo en las que se implementen controles para mitigar los riegos identificados. Ajustar los estándares o guías a las necesidades del instituto y a sus características de particulares de desarrollo de software. Notificar a los terceros proveedores de sistemas de información los estándares o guías construidos para que los ejecuten en la fase de construcción de software. Realizar pruebas de seguridad con el fin de validar la efectividad de los estándares o guías implementados a nivel de desarrollo de software.

Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información). Terceros proveedores de sistemas de información.

Dominio 14 6 1 6

27

ASEGURAMIENTO DE PLATAFORMA: REDES, SERVIDORES Y BASES DE DATOS

El objetivo es realizar el aseguramiento de la plataforma tecnológica, en sus componentes de redes, servidores y bases de datos; adicionalmente, apoyar la mitigación de vulnerabilidades detectadas en estos componentes durante la ejecución del proyecto de análisis de vulnerabilidades técnicas, obteniendo así un fortalecimiento de la plataforma tecnológica del Instituto Nacional de Vías INVIAS.

Llevar a cabo el aseguramiento correspondiente a los componentes de red considerando aspectos como el bloqueo de puertos, fortalecimiento de las credenciales de acceso, registros de auditoria, buenas prácticas aplicables y guías de aseguramiento provistas por el fabricante de acuerdo con las características y modelo del componente de red. Realizar el aseguramiento correspondiente a los servidores considerando aspectos como el bloqueo de puertos, fortalecimiento de las credenciales de acceso, registros de auditoria, políticas de software, actualización de parches de seguridad, buenas prácticas y guías de aseguramiento de acuerdo con el sistema operativo y los servicios que provea el servidor. Efectuar el aseguramiento correspondiente a las bases de datos considerando aspectos como el uso controlado de puertos, fortalecimiento de las credenciales de acceso y métodos de autenticación, registros de auditoria, políticas de administración del motor de base de datos, almacenamiento cifrado de la información, transmisión segura de información, buenas prácticas y guías de aseguramiento de acuerdo con el motor de base de datos y los servicios que este provea.


Dominios 12 y 13

6 1 6

28 ASEGURAMIENTO DE PLATAFORMA: SISTEMAS DE INFORMACION

El objetivo es realizar el aseguramiento de los sistemas de información; adicionalmente, apoyar la mitigación de vulnerabilidades detectadas en este componente durante la ejecución del proyecto de análisis de vulnerabilidades técnicas, obteniendo así un fortalecimiento de la plataforma tecnológica del Instituto Nacional de Vías INVIAS.

A partir del análisis del código fuente de las aplicaciones certificar que no existe código malicioso, fugas de información y errores en el desarrollo de software que permitan generar fallas de seguridad. Verificar que las aplicaciones a ser analizadas no se encuentren instaladas por defecto. Efectuar el fortalecimiento de las interfaces de administración de las aplicaciones, a través del cambio de rutas de acceso, puertos, usuarios, contraseñas y roles.


Dominios 12 y 14

8 2 8

29 ASEGURAMIENTO DE PLATAFORMA: ESTACIONES DE USUARIO

El objetivo es realizar el aseguramiento de la plataforma tecnológica, en el componente de estaciones de usuario; adicionalmente, apoyar la mitigación de vulnerabilidades detectadas en este componente durante la ejecución del proyecto de análisis de vulnerabilidades técnicas, obteniendo así un fortalecimiento de la plataforma tecnológica del Instituto Nacional de Vías INVIAS

Realizar la configuración de protocolos, puertos y servicios necesarios para el desarrollo de las labores en las estaciones de usuario del instituto. Establecer políticas de dominio y listas de acceso que rijan las configuraciones de las estaciones de usuario. Renombrar las cuentas de administrador y proteger o deshabilitar las cuentas de invitado en las estaciones de usuario, con el fin mitigar los riesgos relacionados con los nombres de usuario y cuentas por defecto. Verificar y optimizar los procesos y servicios de arranque de los sistemas operativos de las estaciones de usuario. Actualizar los componentes de software y los parches de seguridad de las estaciones de usuario siguiendo los lineamientos para la gestión del cambio. Habilitar y personalizar los mecanismos de auditoria y monitoreo de las estaciones de usuario, considerando aspectos como la generación de registros sobre las acciones de los administradores, eliminación de registros de auditoria y acceso a diferentes elementos del sistema. Seguir buenas prácticas y guías de aseguramiento de acuerdo con el sistema operativo con el que cuenten las estaciones de usuario.


Dominios 11 y 12

6 3 6


30

SEGMENTACION DE RED A NIVEL DE COMUNICACIONES (ROUTERS, SWITCHES)

Tiene como objetivo realizar y/o revisar la segmentación de red, a través de la identificación de los recursos de la plataforma tecnológica que así lo requieren, debido al servicio que proveen o a la sensibilidad de la información que almacenan y/o procesan del Instituto Nacional de Vías INVIAS.

Definir los segmentos de la red por áreas funcionales que componen el instituto, ayudando así a identificar y separar los perfiles de usuario que componen cada una de estas áreas. Definir segmentos adicionales por los cuales circulará tráfico relacionado únicamente a servicios, voz y vídeo (los dos últimos podrían ir en uno solo). Determinar sobre cada uno de los segmentos la distribución de los recursos tecnológicos, conforme al servicio que prestan, definiendo de esta manera cuáles deben ser accedidos única y exclusivamente desde el interior de la red, y cuáles podrían recibir conexión desde el exterior de la misma, y de esta manera adecuar las necesidades de uso de la DMZ. Documentar la segmentación definida de tal manera que se pueda seguir a futuro un control de cambios sobre la misma. Identificar la necesidad de adquisición de equipos de comunicaciones faltantes como routers o switches, con el fin de poner en marcha la segmentación definida de acuerdo con los procesos o procedimientos de control de cambios.


Dominio 13 8 1 8

31

REVISIÓN Y AJUSTE DE LOS DISPOSITIVOS DE SEGURIDAD (FIREWALL, IDS, IPS)

Tiene como objetivo la revisión de la configuración de los dispositivos de seguridad y realización de ajustes de ser necesario, a través de la identificación de los recursos de la plataforma tecnológica que así lo requieren, debido al servicio que proveen o a la sensibilidad de la información que almacenan y/o procesan del Instituto Nacional de Vías INVIAS.

Verificar en la configuración del Firewall el tráfico entrante y saliente, con el fin de identificar mejoras en los filtros de tráfico a partir de estándares de seguridad y recomendaciones del proveedor del componente; adicionalmente, se debe validar que los puertos abiertos en la configuración del Firewall estén autorizados y aun se encuentren en uso. Evaluar las políticas configuradas en el IDS e IPS, con el fin de definir si se cumple con los objetivos de detección y prevención de intrusos planteados inicialmente. Realizar los ajustes identificados sobre los dispositivos de Firewall, IDS e IPS, considerando efectuar un monitoreo constante sobre los cambios realizados.


Dominios 13 y 18

2 3 2


32 MIGRACIÓN DEL PROTOCOLO DE CONECTIVIDAD IPv4 A IPv6

Tiene como propósito dar cumplimiento a un requerimiento del Modelo de Seguridad y Privacidad de Gobierno en Línea, para las entidades del estado colombiano con miras a lograr objetivos de innovación tecnológica.

Realizar el diagnóstico de la situación actual y planear la implementación de IPv6. Algunas de las principales actividades son: - Elaboración y/o validación del inventario de activos de información de servicios tecnológicos (hardware y software), identificando cuáles equipos soportan IPv6, cuales requieren actualizarse y cuáles no soportan el nuevo protocolo. - Análisis, diseño y desarrollo del plan de diagnóstico del protocolo IPv4 a IPv6. - Identificación de la topología de red y evaluación del grado de afinamiento del protocolo IPv6 a nivel de hardware y software con miras a preparar la nueva infraestructura de red. - Generación del plan detallado del proceso de transición hacia IPv6. - Planeación de la migración de los siguientes servicios tecnológicos: Servicio de Resolución de Nombres (DNS), Servicio de Asignación Dinámica de Direcciones IP (DHCP), Directorio Activo, Servicios WEB, Servidores de Monitoreo, Validación del Servicio de Correo Electrónico, Validación del Servicio de la Central Telefónica, Servicio de Backups, Servicio de Comunicaciones Unificadas e Integración entre Sistemas de Información. - Validación del estado actual de los sistemas de información, los sistemas de comunicaciones y evaluación de la interacción entre ellos cuando se adopte el protocolo IPv6. - Identificación de la configuración y los esquemas de seguridad de la red de comunicaciones y sistemas de información. - Revisión de las políticas de enrutamiento para IPv6 entre los segmentos de red internos, previa evaluación de los mismos. - Validación previa de la infraestructura tecnológica que permita medir el grado de avance en la adopción del protocolo IPv6. - Establecimiento del protocolo de pruebas para la validación de aplicativos, equipos de comunicaciones, plan de seguridad y coexistencia de los protocolos IPv4 e IPv6. - Capacitación a funcionarios del Grupos TI en IPv6 y sensibilización al personal del instituto a fin de dar a conocer el nivel de impacto del nuevo protocolo. implementar el protocolo IPv6. Algunas de las principales actividades son: - Habilitación del direccionamiento IPv6 para cada uno de los componentes de hardware y software. - Montaje, ejecución y corrección de configuraciones del piloto de pruebas de IPv6, simulando el comportamiento de la red de comunicaciones, agregando carga, servicios y usuarios finales. - Aplicación del modelo de transición de IPv6 en la red, permitiendo la coexistencia de los protocolos IPv4 e IPv6. - Validación de la funcionalidad de los siguientes servicios y aplicaciones sobre IPv6: Servicio de Resolución de Nombres (DNS), Servicio de Asignación Dinámica de Direcciones IP (DHCP), Directorio Activo, Servicios WEB, Servidores de Monitoreo, Validación del Servicio de Correo Electrónico, Validación del Servicio de la Central Telefónica, Servicio de Backups, Servicio de Comunicaciones Unificadas, Servicios VPN, Integración entre Sistemas de Información, Sistemas de Almacenamiento, servicios de administración de red. - Activación de las políticas de seguridad de IPv6 en los equipos de seguridad y comunicaciones (servidores AAA, firewalls, NAC, y equipos perimetrales de conformidad con los RFC de seguridad en IPv6). - Trabajo en coordinación con el (los) proveedor (es) de servicios de Internet para lograr la conectividad integral en IPv6 desde el interior de las redes LAN, hacia el exterior de las redes WAN. Probar la funcionalidad de IPv6. Algunas de las principales actividades son: - Pruebas y monitoreo de la funcionalidad de IPv6 en los sistemas de información, sistemas de almacenamiento, sistemas de comunicaciones y servicios. - Análisis de información y pruebas de funcionalidad del nuevo protocolo frente a las políticas de seguridad perimetral, de servidores de cómputo, servidores de comunicaciones y equipos de comunicaciones. - Afinamiento de las configuraciones de hardware, software y servicios. - Elaboración de un inventario final de servicios, aplicaciones y sistemas de comunicaciones bajo el funcionamiento del protocolo IPv6.


N/A PEND 1 2

PEND

33

CONTROL DE VERSIONES DE CODIGO FUENTE DE LOS SISTEMAS DE INFORMACION

Tiene como propósito establecer un mecanismo de control para mantener un historial de cambios sobre los programas de código fuente de los sistemas de información del INVIAS, permitiendo su utilización para el desarrollo futuro de manera vigilada.

Definir la herramienta de mercado para control de versiones de programas de código fuente. Definir si los mecanismos de almacenamiento de los programas de código fuente que deba gestionar la herramienta serán centralizados o distribuidos. Asignar un responsable del sistema de control de versiones y definir sus responsabilidades. Generar y establecer el procedimiento o instructivo para realizar cambios sobre los programas de código fuente almacenados en la herramienta seleccionada. Verificar con una periodicidad establecida el registro histórico de las acciones realizadas con cada programa o conjunto de programas.


Dominios 9 y 14

8 2 8


34

REVISIÓN DE CODIGO FUENTE DE LOS SISTEMAS DE INFORMACION

Tiene como objetivo garantizar que el código fuente de los sistemas de información del Instituto Nacional de Vías INVIAS esté libre de problemas de seguridad, con el fin de evitar posibles ataques y fraudes. Este análisis debe ser constante y pre-requisito para la publicación de código en el ambiente de producción.

Definir o actualizar la metodología de revisión del código fuente de los sistemas de información del instituto. Definir las herramientas de revisión de código a ser utilizadas. Ejecutar análisis manuales y automatizados a los sistemas de información del INVIAS. Documentar los hallazgos de los análisis realizados. Generar el plan de remediación para las situaciones encontradas. Realizar una revisión post corrección de los hallazgos.


Dominio 14 5 2 3

5

35 SEGURIDAD EN EL INTERCAMBIO DE INFORMACIÓN

El objetivo es mantener la seguridad de la información que se intercambia tanto dentro como fuera de las instalaciones del Instituto Nacional de Vías INVIAS.

Identificar y establecer la herramienta adecuada para aplicar controles criptográficos en el intercambio de información de acuerdo a las necesidades y considerando aspectos como algoritmos de cifrado, tipo de licencia y evaluando alternativas posibles como PGP, GPG, VeraCrypt y BitLocker. Almacenar las llaves criptográficas y las copias de seguridad de las mismas en un repositorio central, el cual debe contar con protección contra modificación, pérdida o destrucción. Establecer los lineamientos para el uso adecuado de los controles criptográficos, considerando aspectos relacionados con legislación y necesidad de uso. Instaurar acuerdos de intercambio de información entre partes externas y el instituto, considerando los lineamientos de uso de los controles criptográficos y consecuencias legales por el manejo inadecuado de la información.

Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Terceros proveedores de servicios con los cuales hay intercambio de información. Supervisores de Contratos con Terceros.

Dominios 8, 13 y 15

8 3 8

36

DEFINICIÓN Y ESTABLECIMIENTO DE ACUERDOS DE NIVELES DE SERVICIO

Tiene como propósito la definición y establecimiento de Acuerdos de Niveles de Servicio (ANS), donde se consideren los objetivos, niveles de servicio, estructuras organizacionales, niveles de escalamiento y responsabilidades del proveedor del servicio y el Instituto Nacional de Vías INVIAS.

Definir el diseño de la estructura de Acuerdo de Nivel de Servicio más adecuado para satisfacer las necesidades del instituto, considerando opciones como servicio, cliente y multinivel. Definir los requisitos del nivel de servicio considerando aspectos como soluciones, resultados y objetivos deseados, con el fin de cumplir adecuadamente los Acuerdos de Niveles de Servicio. Establecer los Acuerdos de Niveles de Servicio de acuerdo con el diseño y los requisitos de nivel de servicio seleccionados. Monitorear el rendimiento de los Acuerdos de Niveles de Servicio con el fin de verificar el cumplimiento de los niveles de servicio acordados y la satisfacción de los usuarios; asimismo, con los resultados obtenidos de la labor de monitoreo se pueden examinar y ajustar los acuerdos con el objetivo de mejorar la prestación de los servicios.

Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Supervisores de Contratos con Terceros.

Dominios 14 y 15

4 1 2 3

4


37 CONTROLES SOBRE LOS TERCEROS

Tiene como objetivo mantener la seguridad de la información en los servicios de procesamiento y almacenamiento de información del Instituto Nacional de Vías INVIAS a los cuales tienen acceso terceras partes o personal provisto por estas.

Identificar los riesgos con terceras partes o con personal provisto por ellas, para la información y, los servicios de procesamiento y almacenamiento de la misma. Implementar los controles lógicos y físicos necesarios para proteger la información que no debe ser accesible a terceras partes o a personal provisto por ellas. Establecer los requisitos legales y obligaciones contractuales que se deberían tener en cuenta en las relaciones con terceras partes o personal provisto por ellas, incluyendo temas como el cumplimiento de las políticas de seguridad, acuerdos o clausulas para el intercambio de información y acuerdos o cláusulas de confidencialidad. Implantar y divulgar las funciones y responsabilidades frente a la seguridad de la información, que le competen al personal provisto por terceras partes que cuente con acceso a la plataforma tecnológica o la información contenida en ella. Establecer en el proceso de finalización de contrato, aspectos referentes a la entrega de bienes, información, derechos de acceso y puestos de trabajo de manera formal, por parte del personal provisto por terceras partes. Monitorear el cumplimiento de los Acuerdos de Niveles de Servicio con el fin de verificar el cumplimiento de los niveles de servicio acordados y la satisfacción de los usuarios frente a estos, con el objetivo de proponer mejoras sobre los mismos.

Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Supervisores de Contratos con Terceros.

Dominios 8, 9, 11, 13, 14 y 15

9 1 2 3

3


38 ANALISIS DE IMPACTO AL NEGOCIO (BUSINESS IMPACT ANALYSIS – BIA)

Tiene como propósito realizar un Análisis de impacto al negocio (BIA – Business Impact Analysis) por medio de la identificación, categorización y priorización de los procesos misionales, evaluando la no disponibilidad de los mismos, al interior del Instituto Nacional de Vías INVIAS.

Identificar los procesos misionales del instituto para su supervivencia en el momento de una interrupción, teniendo en cuenta cuales de ellos son claves para que entren en operación rápidamente. Establecer los puntos y tiempos objetivos de recuperación. El Punto Objetivo de Recuperación (Recovery Point Objective - RPO) representa la tolerancia a la pérdida de información que se puede presentar durante la interrupción de un proceso y permite establecer el punto en el tiempo al cual la información debe ser recuperado, en caso de presentarse un siniestro. El Tiempo Objetivo de Recuperación (Recovery Time Objective – RTO) representa el periodo de tiempo requerido para que se restablezca la operación de sus servicios de red, sistemas de información o recursos tecnológicos y sus funciones, después de presentarse un evento contingente. Recolectar la información para lograr el entendimiento de las actividades realizadas al interior de los procesos evaluados, con personas que forman parte de cada uno de ellos. Valorar los impactos: legal, financiero, operacional y reputacional para cada proceso. Consolidar la información recolectada, analizarla y presentar cifras para los impactos evaluados. Analizar y presentar los hallazgos por proceso sobre los puntos objetivos de recuperación y tiempos objetivos de recuperación definidos (RPO y RTO respectivamente). Establecer la importancia de los procesos, definiendo los niveles de criticidad. Dicha importancia permite establecer la prioridad para restablecer los procesos dentro del tiempo de interrupción permitido. Identificar los servicios de red, sistemas de información y recursos tecnológicos asociados a los procesos identificados con mayor criticidad para poder elaborar un Plan de Contingencia Tecnológica que permita su recuperación. Identificar los tiempos críticos de operación, para posteriormente, al establecer las estrategias de recuperación, poder determinar la disponibilidad que deben tener los servicios, aplicativos y recursos tecnológicos durante los tiempos críticos de operación. Identificar procesos alternos que permitan continuar operando en caso de presentarse una interrupción.

Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Terceros expertos.

N/A 8 1 8


39 CONTINGENCIA TECNOLÓGICA

Tiene como propósito restaurar los servicios de red, sistemas de información y recursos tecnológicos asociados a los procesos identificados con mayor criticidad del Instituto Nacional de Vías INVIAS, de forma rápida, eficiente y con el menor costo y pérdidas posibles, tomando como insumos los resultados del análisis de riesgos.

Determinar los servicios de red, sistemas de información y recursos tecnológicos críticos y utilizar los resultados del análisis de riesgos para conocer las principales amenazas a la seguridad y/o operación de dichos servicios, sistemas y recursos. Establecer los requisitos de recuperación, a través de un Plan de Respaldo, el cual contempla los controles preventivos antes de que se materialice una amenaza identificada en el análisis de riesgos. Algunas de las principales actividades son: - Establecimiento del centro alterno - Establecimiento de contratos de alquiler de equipos, canales alternos de comunicaciones y Acuerdos de Niveles de Servicio - Verificación de la existencia y cubrimiento de las pólizas de seguro - Establecimiento de procedimientos de recuperación y vuelta a la normalidad, consistentes con los escenarios y estrategias de recuperación definidos. - Actualización permanente y mantenimiento del inventario de software - Mantenimientos periódicos a los equipos de cómputo y las utilidades de soporte - Realización de copias de respaldo tanto de información como de configuraciones - Garantía de custodia externa de las copias de respaldo - Revisiones periódicas de las copias de respaldo - Simulacros por desastres naturales - Simulacros por fallas graves de las comunicaciones o la plataforma tecnológica Definir las acciones a seguir en el evento de una contingencia tecnológica, a través de un Plan de Emergencia, el cual contempla las contramedidas y controles necesarios durante la materialización de una amenaza, o inmediatamente después con el fin de mitigar los efectos adversos de la amenaza, de manera consistente con las estrategias de recuperación establecidas. Entre estas actividades se encuentran: - Activación del grupo encargado de la contingencia tecnológica - Activación del centro alterno, canales alternos de comunicaciones y de los contratos de alquiler de equipos informáticos - Gestión de los incidentes informáticos - Re-direccionamiento de las comunicaciones - Restauración de las copias de respaldo según la prioridad de recuperación identificada - Reanudación de las operaciones desde el centro alterno Restablecer las operaciones normales, a través de un Plan de Recuperación, el cual contempla las medidas necesarias después de materializada y controlada la amenaza, con el fin de restaurar los servicios de red, sistemas de información y recursos tecnológicos tal y como se encontraban antes de la materialización de la amenaza. Algunas de sus actividades se relacionan a continuación: - Evaluación de daños - Traslado de datos desde el centro alterno a las instalaciones habituales - Recuperación y reanudación de las actividades - Desactivación del centro alterno, canales alternos de comunicaciones y de los contratos de alquiler de equipos - Reclamaciones a la compañía de seguros Revisar y actualizar los Planes de Contingencia Tecnológica.


Dominio 17 7 2 7

40 GESTIÓN DE INCIDENTES

Tiene como propósito que todos los incidentes relacionados con seguridad de la información se comuniquen formalmente, se analicen, se contengan, se investiguen y sean solucionados, tomando las acciones correctivas correspondientes de manera oportuna.

Establecer canales para el reporte de eventos de seguridad de la información. Clasificar los eventos que corresponden y no corresponden a incidentes de seguridad de la información. Definir y establecer procedimientos para asegurar una adecuada gestión de los incidentes de seguridad de la información, considerando aspectos como el tratamiento del incidente y la recolección de evidencia cuando así se requiera. De ser necesario, poner denuncia ante las autoridades competentes. Capacitar al personal sobre que es un incidente de seguridad de la información y cuál es el procedimiento que se debe seguir en caso de presentarse uno. Establecer los mecanismos que se usaran para la recolección de evidencias. Instaurar mecanismos para cuantificar y monitorear todos los tipos, volúmenes y costos de los incidentes de seguridad de la información. Generar una base de conocimiento y futura consulta, con la documentación de

Oficina Asesora de Planeación (como líder del SGSI). Oficina de Control Interno.

Dominios 7 y 16

6 3 6


los incidentes de la seguridad de la información presentados, registrando la solución a incidentes resueltos.

41 GESTIÓN DEL LICENCIAMIENTO DE SOFTWARE

Tiene como propósito evitar el incumplimiento de las leyes relacionadas con derechos de autor y controlar el licenciamiento del software utilizado en el Instituto Nacional de Vías INVIAS.

Establecer procedimientos y controles para asegurar el cumplimiento de la legislación aplicable a material con derechos de propiedad intelectual. Definir los responsables de monitorear las licencias utilizadas con una periodicidad establecida. Deshabilitar las licencias no utilizadas en el momento de dar de baja los equipos de cómputo o reasignarlos.

Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información).

Dominios 7, 8 y 18

6 3 6

42 AUDITORIA INTERNA Y/O EXTERNA AL SGSI

Tiene como propósito presentar el proceso de las auditorías tanto internas como externas, donde se realice la evaluación del modelo de seguridad de la Información, incluyendo su alcance, políticas, objetivos, estructura organizacional y los controles de seguridad implantados por el INVIAS.

Definir los objetivos y establecer el alcance de la auditoría. Si se trata de una auditoría interna, se debe definir el equipo auditor; en caso de una auditoría externa se debe contratar el equipo auditor con un tercero. Elaborar el plan de auditoria, estableciendo el tipo de auditoria a realizar, el equipo auditor, las fechas previstas para llevar a cabo la auditoría, la documentación de referencia y las personas que deben participar en la auditoria. Preparar la auditoría, llevando a cabo las siguientes actividades: - Establecimiento de la estrategia de la auditoría, por procesos o por controles específicos - Preparación de las listas de verificación con los aspectos que serán auditados - Revisión de la documentación disponible previamente - Preparación de la agenda de trabajo Ejecutar la auditoría, teniendo en consideración la realización de las siguientes actividades: - Reunión de inicio de la auditoría con el área líder de la misma, presentando los objetivos, el alcance, la metodología, el grupo de personas a entrevistar y el itinerario - Evaluación de cumplimiento de acuerdo con las listas de chequeo elaboradas - Revisión y análisis de los hallazgos Elaborar el informe de auditoría y presentar los hallazgos y recomendaciones.

Oficina Asesora de Planeación (como líder del SGSI). Oficina de Control Interno o Equipo de trabajo de Auditoria Externa.

Numeral 9 Dominio 18

3 1 2 3

3

43

REVISIÓN DE DOCUMENTACIÓN DEL SGSI Y DE LOS REQUERIMIENTOS DE GEL

Busca realizar la revisión de la documentación del Sistema de Gestión de Seguridad de la Información (SGSI), dado que, el Instituto Nacional de Vías INVIAS deberá cumplir con los requisitos exigidos por él y por el Modelo de Seguridad y Privacidad de Gobierno en Línea (GEL) para posteriormente operar, hacer seguimiento, revisar, mantener y mejorar el SGSI.

Reevaluar o confirmar el alcance del SGSI. Evaluar el cumplimiento de la política y objetivos del SGSI. Aplicar nuevos análisis de acuerdo con la metodología de gestión de riesgos definida. Identificar, valorar y/o revalorar el inventario de activos de información para el alcance definido. Analizar y evaluar los riesgos de seguridad para los activos de información del alcance definido, teniendo en cuenta el análisis de riesgo ya existente y considerando aspectos referentes a cambios en los procesos, los activos de información, la tecnología, nuevas amenazas y la efectividad de los controles implementados. Reevaluar y, de ser necesario, ajustar el plan de tratamiento de riesgos en función de los controles del Anexo A de la norma ISO/IEC 27001:2013. Reevaluar y, de ser necesario, ajustar la declaración de aplicabilidad. Reevaluar el modelo de seguridad y la documentación que lo conforma (políticas, normas y procedimientos del SGSI, organización de la seguridad). Obtener la aprobación del modelo de seguridad y de la implementación y operación del SGSI en caso de realizar cambios en este.

Comité de Desarrollo Administrativo. Oficina Asesora de Planeación (como líder del SGSI).

Numerales 4 y 6

Dominios 7 y 18

4 2 3

4

44 REVISIÓN Y MEDICIÓN DE INDICADORES

Tiene como objetivo la revisión y medición de los indicadores del modelo de seguridad de la información del Instituto Nacional de Vías INVIAS, con el objetivo de monitorear sus métricas frente a su eficacia y eficiencia.

Revisar y medir los indicadores existentes de acuerdo con los registros generados en cada uno de ellos durante el periodo de tiempo que han estado en uso y no han sido revisados, con el fin de verificar si el objetivo del indicador se cumple o si el mismo requiere un ajuste de acuerdo con su comportamiento. Ajustar los indicadores si estos no generan valor al modelo de seguridad de la información, considerando aspectos como la madurez del modelo y la información considerada como relevante en el mismo.


Numeral 9 2 2 3

2


45 REVISIÓN Y AJUSTES DEL ANALISIS DE RIESGOS Y PLAN DE TRATAMIENTO

Busca revisar y ajustar el análisis de riesgos y plan de tratamiento existentes en el Instituto Nacional de Vías INVIAS, con el fin de identificar nuevos riesgos o cambios en los niveles de riesgos por cambios en los procesos, la plataforma tecnológica o los controles aplicables.

Reevaluar los niveles de las zonas de riesgo que fueron acordadas y utilizadas para el desarrollo del análisis de riesgo inicial, con el objetivo de mantener o cambiar la rigurosidad de las mismas. Notificar que el análisis de riesgos se va a realizar a nivel de procesos, por tipologías de activos de información. Realizar la valoración de impacto de los tipos de activos frente a la confidencialidad, integridad y disponibilidad, teniendo en cuenta la metodología usada para el desarrollo del análisis de riesgos de seguridad de la información. Identificar nuevas o reevaluar las amenazas y vulnerabilidades a las que se ven expuestas los tipos de activos. Valorar la probabilidad de ocurrencia de la combinación de amenazas y vulnerabilidades. Valorar el nivel de los riesgos en las zonas establecida y asignar la prioridad de atención (Baja, Moderada, Alta o Muy Alta). Seleccionar los controles del Anexo A de la norma ISO/IEC 27001:2013 apropiados para mitigar las vulnerabilidades identificadas y, de ser necesario, controles adicionales. Establecer un plan de tratamiento de riesgos teniendo en cuenta las opciones de evitar, aceptar o transferir los riegos y la guía de aplicación de los controles seleccionados.


Numerales 4, 6 y 8

Dominio 8 8

2 3

8

Documents

PLAN ESTRATÉGICO DE SEGURIDAD INFORMATICA Y DE LA