PLAN ESTRATÉGICO DE SEGURIDAD INFORMATICA Y DE LA ...
Transcript of PLAN ESTRATÉGICO DE SEGURIDAD INFORMATICA Y DE LA ...
Plan Estratégico de Seguridad Informática y de la Información
PLAN ESTRATÉGICO DE SEGURIDAD INFORMATICA Y DE LA INFORMACIÓN DEL INVIAS
2019
Bogotá, diciembre 2018
Plan Estratégico de Seguridad Informática y de la Información
FORMATO PRELIMINAR AL DOCUMENTO
Título: PLAN ESTRATÉGICO DE SEGURIDAD INFORMATICA Y DE LA INFORMACIÓN
Fecha dd/mm/aaaa: 12/12/2018
Resumen: Este documento tiene como objetivo describir las políticas en materia de seguridad
informática y de la información en el Instituto Nacional de Vías basada en el Marco de
Referencia para la gestión de TI del Estado colombiano y las dimensiones de MIPG
Palabras Claves: Seguridad de la Información
Arquitectura TI
Marco de Referencia
MIPG
Formato: DOC
Autor (es): MAURICIO OSPINA REYES
ANDRES SOLORZA SANABRIA
BERTHA MARIA BECERRA RUIZ
EDUARDO ZAMORA ESGUERRA
Aprobó: GERMAN PEÑA MATEUS
Jefe Oficina Asesora de Planeación
HISTORIA
VERSIÓN FECHA CAMBIOS INTRODUCIDOS
1.0 28/12/2018 Versión inicial
Plan Estratégico de Seguridad Informática y de la Información
TABLA DE CONTENIDO
1 Introducción 2 Justificación
2.1 Alcance del MSPI 2.2 Objetivo
2.3 Marco Legal y Normativo 2.4 Metodología 2.5 Antecedentes
3. Contexto Organizacional 3.1 Plan Estratégico Institucional PEI 3.2 Estructura Organizacional 3.3 Modelo de Negocio de TI
4. Percepción de la Gestión de Seguridad Ti 4.1 Diagnóstico de la Gestión de Seguridad de TI
4.1.1 Diagnóstico de la Seguridad de la Información 5 Plan de Acción de Seguridad de la Información
5.1 Implementación y Seguimiento de Políticas de Seguridad 5.1.1 Actividades a desarrollar
5.1.2 Dominio de la Norma ISO/IEC 27001:2013 5.1.3 Implementación y Monitoreo
5.2 Generación de la Organización de Seguridad 5.2.1 Descripción 5.2.2 Actividades a desarrollar 5.2.3 Dominio de la Norma ISO/IEC 27001:2013 5.2.4 Implementación y Monitoreo
5.3 Documentación del SGSI y Cumplimiento con los Requerimientos de Gel (Gobierno Digital) 5.3.1 Descripción
5.3.2 Actividades a desarrollar 5.3.3 Dominio de la Norma ISO/IEC 27001:2013 5.3.4 Implementación y Monitoreo
5.4 Generación de Indicadores 5.4.1 Descripción 5.4.2 Actividades a desarrollar 5.4.3 Dominio de la Norma ISO/IEC 27001:2013 5.4.4 Implementación y Monitoreo
5.5 Controles sobre los funcionarios desde la vinculación hasta la desvinculación 5.5.1 Descripción
Plan Estratégico de Seguridad Informática y de la Información
5.5.2 Actividades a desarrollar 5.5.3 Dominio de la Norma ISO/IEC 27001:2013 5.5.4 Implementación y Monitoreo
5.6 Concienciación y Educación 5.6.1 Descripción 5.6.2 Actividades a desarrollar 5.6.3 Dominio de la Norma ISO/IEC 27001:2013 5.6.4 Implementación y Monitoreo 5.7 Vinculación a Foros y Grupos de Interés 5.7.1 Descripción 5.7.2 Actividades a desarrollar 5.7.3 Dominio de la Norma ISO/IEC 27001:2013 5.7.4 Implementación y Monitoreo 5.8 Generación de Guías de Clasificación de la Información y Procedimientos de Manejo
5.8.1 Descripción 5.8.2 Actividades a desarrollar 5.8.3 Dominio de la Norma ISO/IEC 27001:2013 5.8.4 Implementación y Monitoreo
5.9 Clasificación de la Información y Aplicación de Procedimientos de Manejo 5.9.1 Descripción 5.9.2 Actividades a desarrollar 5.9.3 Dominio de la Norma ISO/IEC 27001:2013 5.9.4 Implementación y Monitoreo 5.10 Gestión del Acceso Lógico 5.10.1 Descripción 5.10.2 Actividades a desarrollar 5.10.3 Dominio de la Norma ISO/IEC 27001:2013
5.10.4 Implementación y Monitoreo 5.11 Revisión y Ajustes de Perfiles en Sistemas de Información, Servicios de Red y Recursos Tecnológicos
5.11.1 Descripción 5.11.2 Actividades a desarrollar 5.11.3 Dominio de la Norma ISO/IEC 27001:2013 5.11.4 Implementación y Monitoreo
5.12 Gestión del Acceso Físico 5.12.1 Descripción 5.12.2 Actividades a desarrollar 5.12.3 Dominio de la Norma ISO/IEC 27001:2013 5.12.4 Implementación y Monitoreo
5.13 Establecimiento y Monitoreo de las Condiciones Ambientales 5.13.1 Descripción
Plan Estratégico de Seguridad Informática y de la Información
5.13.2 Actividades a desarrollar 5.13.3 Dominio de la Norma ISO/IEC 27001:2013 5.13.4 Implementación y Monitoreo
5.14 Seguridad de los Equipos fuera de las Instalaciones 5.14.1 Descripción 5.14.2 Actividades a desarrollar 5.14.3 Dominio de la Norma ISO/IEC 27001:2013 5.14.4 Implementación y Monitoreo 5.15 Seguridad en la Reutilización de Equipos 5.15.1 Descripción 5.15.2 Actividades a desarrollar 5.15.3 Dominio de la Norma ISO/IEC 27001:2013 5.15.4 Implementación y Monitoreo 5.16 Mantenimiento y Pruebas de Utilidades de Soporte y Equipos de Cómputo 5.16.1 Descripción
5.16.2 Actividades a desarrollar 5.16.3 Dominio de la Norma ISO/IEC 27001:2013 5.16.4 Implementación y Monitoreo
5.17 Implementación de Controles Criptográficos 5.17.1 Descripción 5.17.2 Actividades a desarrollar 5.17.3 Dominio de la Norma ISO/IEC 27001:2013 5.17.4 Implementación y Monitoreo
5.18 Documentación y Mantenimiento de Procedimientos Operativos 5.18.1 Descripción
5.18.2 Actividades a desarrollar 5.18.3 Dominio de la Norma ISO/IEC 27001:2013 que cubre 5.18.4 Implementación y Monitoreo
5.19 Gestión del Cambio 5.19.1 Descripción 5.19.2 Actividades a desarrollar 5.19.3 Dominio de la Norma ISO/IEC 27001:2013 5.19.4 Implementación y Monitoreo
5.20 Generación y Verificación de Copias de Respaldo 5.20.1 Descripción 5.20.2 Actividades a desarrollar 5.20.3 Dominio de la Norma ISO/IEC 27001:2013 5.20.4 Implementación y Monitoreo
5.21 Gestión de la Capacidad
Plan Estratégico de Seguridad Informática y de la Información
5.21.1 Descripción 5.21.2 Actividades a desarrollar
5.21.3 Dominio de la Norma ISO/IEC 27001:2013 5.21.4 Implementación y Monitoreo
5.22 Separación de Ambientes de Pruebas y Producción 5.22.1 Descripción
5.22.2 Actividades a desarrollar 5.22.3 Dominio de la Norma ISO/IEC 27001:2013 5.22.4 Implementación y Monitoreo
5.23 Registros de Auditoría y Correlación de Eventos 5.23.1 Descripción 5.23.2 Actividades a desarrollar 5.23.3 Dominio de la Norma ISO/IEC 27001:2013
5.23.4 Implementación y Monitoreo 5.24 Análisis de Vulnerabilidades Técnicas 5.24.1 Descripción 5.24.2 Actividades a desarrollar 5.24.3 Dominio de la Norma ISO/IEC 27001:2013 5.24.4 Implementación y Monitoreo 5.25 Definición de Estándares de Seguridad 5.25.1 Descripción 5.25.2 Actividades a desarrollar 5.25.3 Dominio de la Norma ISO/IEC 27001:2013 5.25.4 Implementación y Monitoreo 5.26 Definición y Aplicación de Estándares de Desarrollo Seguro 5.26.1 Descripción 5.26.2 Actividades a desarrollar 5.26.3 Dominio de la Norma ISO/IEC 27001:2013 5.26.4 Implementación y Monitoreo 5.27 Aseguramiento de Plataforma: Redes, Servidores y Bases de Datos 5.27.1 Descripción 5.27.2 Actividades a desarrollar 5.27.3 Dominio de la Norma ISO/IEC 27001:2013 5.27.4 Implementación y Monitoreo 5.28 Aseguramiento de Plataforma: Sistemas de Información
5.28.1 Descripción 5.28.2 Actividades a desarrollar 5.28.3 Dominio de la Norma ISO/IEC 27001:2013 5.28.4 Implementación y Monitoreo 5.29 Aseguramiento de Plataforma: Estaciones de Usuario
Plan Estratégico de Seguridad Informática y de la Información
5.29.1 Descripción 5.29.2 Actividades a desarrollar 5.29.3 Dominio de la Norma ISO/IEC 27001:2013 5.29.4 Implementación y Monitoreo 5.30 Segmentación de Red a Nivel de Comunicaciones (Routers, Switches) 5.30.1 Descripción 5.30.2 Actividades a desarrollar 5.30.3 Dominio de la Norma ISO/IEC 27001:2013 5.30.4 Implementación y Monitoreo 5.31 Revisión y Ajuste de los Dispositivos de Seguridad (Firewall, IDS, IPS) 5.31.1 Descripción 5.31.2 Actividades a desarrollar 5.31.3 Dominio de la Norma ISO/IEC 27001:2013 5.31.4 Implementación y Monitoreo 5.32 Migración del Protocolo de Conectividad IPv4 a IPv6 5.32.1 Descripción 5.32.2 Actividades a desarrollar 5.32.3 Dominio de la Norma ISO/IEC 27001:2013 5.32.4 Implementación y Monitoreo 5.33 Control de Versiones de Código Fuente de los Sistemas de Información 5.33.1 Descripción 5.33.2 Actividades a desarrollar 5.33.3 Dominio de la Norma ISO/IEC 27001:2013 5.33.4 Implementación y Monitoreo 5.34 Revisión de Código Fuente de los Sistemas de Información 5.34.1 Descripción 5.34.2 Actividades a desarrollar 5.34.3 Dominio de la Norma ISO/IEC 27001:2013 5.34.4 Implementación y Monitoreo 5.35 Seguridad en el Intercambio de Información 5.35.1 Descripción 5.35.2 Actividades a desarrollar 5.35.3 Dominio de la Norma ISO/IEC 27001:2013 5.35.4 Implementación y Monitoreo 5.36 Definición y Establecimiento de Acuerdos de Niveles de Servicio
5.36.1 Descripción 5.36.2 Actividades a desarrollar 5.36.3 Dominio de la Norma ISO/IEC 27001:2013 5.36.4 Implementación y Monitoreo 5.37 Controles sobre los Terceros
Plan Estratégico de Seguridad Informática y de la Información
5.37.1 Descripción 5.37.2 Actividades a desarrollar 5.37.3 Dominio de la Norma ISO/IEC 27001:2013 5.37.4 Implementación y Monitoreo 5.38 Análisis de Impacto al Negocio (Business Impact Analysis – BIA) 5.38.1 Descripción 5.38.2 Actividades a desarrollar 5.38.3 Dominio de la Norma ISO/IEC 27001:2013 5.38.4 Implementación y Monitoreo 5.39 Contingencia Tecnológica 5.39.1 Descripción 5.39.2 Actividades a desarrollar 5.39.3 Dominio de la Norma ISO/IEC 27001:2013 5.39.4 Implementación y Monitoreo 5.40 Gestión de Incidentes 5.40.1 Descripción 5.40.2 Actividades a desarrollar 5.40.3 Dominio de la Norma ISO/IEC 27001:2013 5.40.4 Implementación y Monitoreo 5.41 Gestión del Licenciamiento de Software 5.41.1 Descripción 5.41.2 Actividades a desarrollar 5.41.3 Dominio de la Norma ISO/IEC 27001:2013 5.41.4 Implementación y Monitoreo 5.42 Auditoría Interna y/o Externa al SGSI 5.42.1 Descripción 5.42.2 Actividades a desarrollar 5.42.3 Dominio de la Norma ISO/IEC 27001:2013 5.42.4 Implementación y Monitoreo 5.43 Revisión de Documentación del SGSI y de los Requerimientos de GEL (Gobierno Digital) 5.43.1 Descripción 5.43.2 Actividades a desarrollar 5.43.3 Dominio de la Norma ISO/IEC 27001:2013 5.43.4 Implementación y Monitoreo 5.44 Revisión y Medición de Indicadores 5.44.1 Descripción 5.44.2 Actividades a desarrollar 5.44.3 Dominio de la Norma ISO/IEC 27001:2013 5.44.4 Implementación y Monitoreo 5.45 Revisión y Ajustes del Análisis de Riesgos y Plan de Tratamiento
Plan Estratégico de Seguridad Informática y de la Información
5.45.1 Descripción 5.45.2 Actividades a desarrollar 5.45.3 Dominio de la Norma ISO/IEC 27001:2013 5.45.4 Implementación y Monitoreo PLAN DE ACCION Y CRONOGRAMA DE PROYECTOS
Plan Estratégico de Seguridad Informática y de la Información
1. INTRODUCCIÓN
El INVIAS y particularmente la Oficina Asesora de Planeación, inició un proceso de entendimiento del negocio de TI, toda vez que en
el año 2014 el Grupo de TI, pasó de ser una unidad netamente operativa, adscrita al Secretaría General Administrativa a un Grupo
Estratégico y a depender de la Oficina Asesora de Planeación y ello demandó iniciar un entendimiento del “negocio” e inició el proceso
en 2015 con el adelantamiento de dos factores que se demandan en el entorno de tecnología, de una parte la contratación de
Arquitectura Empresarial y de otra un diagnóstico de Seguridad y Privacidad de la Información, que derivaron en la necesidad de
contar con un plan estratégico de tecnologías de la información y las comunicaciones completamente alineado con los
lineamientos establecidos por el Ministerio de Tecnologías de la Información y las Comunicaciones, en el marco de referencia de
arquitectura empresarial del estado IT4+ y la implementación de las dimensión de Gestión con Valores para Resultados (3) de MIPG
y sus políticas de Gobierno Digital y Seguridad Digital y naturalmente alineadas con el Plan Estratégico de Tecnología y Sistemas de
Información (PETI).
Estas dos políticas, le dan valor a la seguridad de la información y a la seguridad de la informática y propenden con la orientación de
los recursos presupuestales asignados a la Oficina Asesora de Planeación definir de manera armónica las soluciones e inversiones
de TI en la materia en un horizonte de cuatro (4) años contribuyendo al logro de los objetivos estratégicos del Instituto.
El Modelo de Seguridad y Privacidad de la Información y las acciones que debían adelantarse se desarrollaron en fases que
permitieran entender la complejidad del tema e identificar las “debilidades”, pero buscando iniciar gestiones para garantizar la
seguridad de la infraestructura y los aplicativos en desarrollo y ejecución con base a la realidad operacional en la entidad.
Desde hace varios años, el incremento de la tecnología permitió de manera paralela el incremento de los hackers y los ataques
cibernéticos, esta situación no fue ajena para el Instituto y por ello desde hace varios años ha contratado agentes externos para el
diagnóstico y acciones en materia de seguridad, frente a ello y en desarrollo de MIPG, se hace necesario definir políticas en materia
de seguridad informática y de la información.
2. JUSTIFICACIÓN
Para la entidad la información, los procesos, el recurso humano, la infraestructura y los sistemas de información, son los principales
activos. La integridad, confidencialidad, y disponibilidad de información son componentes esenciales para mantener un nivel
Plan Estratégico de Seguridad Informática y de la Información
competitivo y confiable, necesario para lograr los objetivos del Instituto y asegurar la rentabilidad social de los proyectos alineados a
los requerimientos legales del estado. Cada vez son más las amenazas que afectan a los sistemas de información poniendo en
evidencia las vulnerabilidades existentes e inherentes de cada uno de los activos de información.
La seguridad de la información no solo compete a TI y tampoco debe estar sujeta a controles técnicos, sino que requiere una presencia
activa de toda y cada una de las partes del Instituto con el apoyo y compromiso directo de la Alta Dirección, teniendo en cuenta todos
los agentes involucrados en los procesos, tanto internos como externos. Existen un gran número de normativas y buenas prácticas
que sirven de guía en la implementación del modelo de la seguridad y privacidad de la información, que contemplan la implantación
de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de estos, soportados con políticas
de seguridad y procedimientos adecuados para mantener el sistema de gestión.
El Modelo de seguridad y privacidad de la información (MSPI) ayuda a establecer estas políticas y procedimientos, procesos, en
relación con los objetivos de negocio de la organización, con objeto de mantener el nivel de exposición siempre en el nivel más bajo
de riesgo.
Con un sistema MSPI, el Instituto conoce los riesgos, sus vulnerabilidades y amenazas a los que está sometida sus activos de
información y los asume, minimiza, transfiere o controla mediante una metodología definida, documentada, difundidas, que se revisa
y mejora continuamente.
2.1 Alcance del MSPI
El Modelo de Seguridad y Privacidad de la Información del INVIAS, define la estrategia, el marco de seguridad, la alineación de la
política de seguridad con el plan estratégico institucional y el sectorial, la relación de la gestión de TI con otras áreas y con otras
Relación entre amenazas – activos – riesgos – controles (ISO 27001)
Plan Estratégico de Seguridad Informática y de la Información
entidades y las políticas en la materia.
2.2 Objetivo
El objetivo de este documento es definir las Políticas de Seguridad y Privacidad de la Información para el Instituto Nacional de Vías
INVIAS, en cumplimiento del Modelo de Seguridad y Privacidad, alineado con la Dimensión de Gestión con Valores para Resultados
del Modelo Integrado de Planeación y Gestión (MIPG) en las políticas de Gobierno Digital y Seguridad Digital y con las orientaciones
que define la Norma NTC-ISO-IEC-27001.
2.3 Marco Legal y Normativo
Para mantener una línea en el tiempo referida a tecnologías de información, seguridad de la información, gobierno digital, MIPG y
demás normativa, es oportuno relacionar la normatividad asociada al tema.
• Ley 527 de 1999. Ley de Comercio Electrónico
• Decreto 1747 de 2000. Entidades de certificación, los certificados y las firmas digitales
• Conpes 3072 de 2000. Agenda de Conectividad
• Directiva 2 de 2000 Presidencia de la República. Plan de Acción de la Estrategia de Gobierno en Línea
• Ley 594 de 2000. Ley General de Archivos
• Ley 790 de 2002. Programa de reforma de la administración pública
• Conpes 3248 de 2003. Renovación de la administración pública
• Ley 812 de 2003. Renovación de la administración pública
• Decreto 3107 de 2003. Supresión del Programa Presidencial e Integración de la Agenda de Conectividad al MinTic
• Decreto 3816 de 2003. Comisión intersectorial de políticas y de gestión de la información para la gestión pública
• Conpes 3292 de 2004. Proyecto de racionalización y automatización de trámites
• Ley 1341 de 2009. Mecanismo y condiciones para garantizar la masificación de Gobierno en línea
• Decreto 235 de 2010. Intercambio de información entre entidades para el cumplimiento de funciones públicas
• Directiva Presidencial No. 09 de 2010: para la elaboración y articulación de los planes estratégicos sectoriales e
institucionales y para la implementación del Sistema de Monitoreo de Gestión y Resultados.
• Documento Conpes 3701 de 2011, Departamento Nacional de Planeación - lineamientos de políticas para ciberseguridad y
Plan Estratégico de Seguridad Informática y de la Información
ciberdefensa
• Norma NTC 5854 de 2012. Accesibilidad a páginas web
• Ley 1581 de 2012, por la cual dictan disposiciones para la protección de datos personales.
• Decreto 2364 de 2012. Firma electrónica
• Decreto 2693 de 2012. Lineamientos Generales de la Estrategia de Gobierno en Línea
• Decreto 32 de 2013, por el cual se crea la Comisión Nacional Digital y de Información Estatal.
• Decreto 2573 de 2014 Por el cual se establecen los lineamientos generales de la Estrategia de Gobierno Digital, se
reglamenta parcialmente la Ley 1341 de 2009 y se dictan otras disposiciones.
• Ley 1712 de 2014. Ley de Transparencia y del derecho de acceso a la información pública nacional
• Decreto 1074 de 2015. Decreto Único Reglamentario del sector Comercio, Industria y Turismo
• Decreto 1078 de 2015 Decreto Único Sectorial. Lineamientos Generales de la Estrategia de Gobierno en Línea
• Decreto 1081 de 2015. Reglamentario Único. Decreto 103 de 2015. Reglamento sobre la gestión de información pública
• Resolución 3564 de 2015. Reglamentaciones asociadas a la Ley de Transparencia y acceso a la información pública
• Decreto 415 de 2016. Lineamientos para el fortalecimiento institucional en materia de tecnologías de información y las
comunicaciones
• Resolución 2405 de 2016. Por el cual se adopta el modelo del Sello de Excelencia Gobierno en línea y se conforma su comité
• Documento Conpes 3854 de 2016, Departamento Nacional de Planeación - política nacional de seguridad digital.
• Manual Operativo Sistema de Gestión Modelo Integrado de Gestión MIPG 2017 V2
• Decreto 612 de 2018. Por el cual se fijan directrices para integración de los planes institucionales estratégicos al Plan de
Acción por parte de las entidades del estado
2.4 Metodología
El desarrollo del MSPI, se encuentra alienada fundamentalmente en la metodología definida por Mintic. Se acoge como punto de
partida el documento Formato e implementación de Políticas de Seguridad y Privacidad de la Información anexo al Manual de
Seguridad y Privacidad de Gobierno en Línea (GEL) (hoy Gobierno Digital) en su versión actualizada. De manera complementaria, se
agregan capítulos que no contempla el documento propuesto por GEL de temas incluidos en el Anexo A de la norma ISO/IEC
27001:2013 de gran importancia para la construcción de un Manual de Políticas de Seguridad y Privacidad.
Plan Estratégico de Seguridad Informática y de la Información
2.5 Antecedentes
El INVIAS ha venido gestionando la identificación de riesgos en materia de seguridad de la información e informática y ha venido
implementando controles a través de controles de acceso tanto externos como internos y ha venido adquiriendo herramientas
informáticas que sean el apoyo de la gestión de la infraestructura, es así como ha adquirido software para controles perimetrales
(Firewall), software para controles de virus en equipos de usuario final (Antivirus) herramientas de ofimática en la nube (Office 365) y
contratado diagnósticos de seguridad de la información (Séltika 2012 y 2015) y en el marco de las acciones realizadas, expidió sendos
actos administrativos: El Manual de Políticas y Normas de Seguridad de la Información y la Resolución XXXX de 2015, mediante la
cual de actualizaron las políticas que en materia de seguridad de la información, había adoptado el Instituto en el 2014.
3. Contexto Organizacional
3.1 Plan Estratégico Institucional – PEI
Evidentemente, las acciones que en materia de seguridad se implementen, deberán estar alineadas al Plan Estratégico Institucional
de la Entidad, el cual se encuentra bajo la siguiente ruta: https://www.invias.gov.co/index.php/informacion-institucional/hechos-de-
transparencia/planeacion-gestion-y-control/planes. Toda vez que el mismo debe estar alineado con el plan de gobierno, se hará
indispensable ajustar a principios de 2019 el PETI, dando alcance al nuevo plan de gobierno.
3.2 Estructura organizacional
La estructura organizacional es la que se encuentra publicada en la intranet de la Entidad, ubicado en la ruta:
http://intrainvias/intrainvias/index.php/nuestra-entidad/esquema-organizacional y en la página web de la entidad con la ruta:
https://www.invias.gov.co/index.php/informacion-institucional/organigrama2018
3.3 Modelo de negocio de TI
Los procesos relacionados con la gestión de TI, se encuentran clasificados como procesos estratégicos para el cumplimiento de la
misión del INVIAS, dentro del mapa de procesos vigente, disponible en el sitio web de la Entidad, bajo la siguiente ruta:
https://www.invias.gov.co/index.php/archivo-y-documentos/cnsc/procedimientos-invias/procedimientos-procesos-estrategicos/7457-gestion-de-tecnologias-de-informacion-y-comunicacion
4. Percepción de la Gestión de Seguridad de TI
Para el análisis de la situación actual, se utilizó como principal insumo el resultado del diagnóstico adelantado por Séltika en materia
Plan Estratégico de Seguridad Informática y de la Información
de seguridad durante 2012 y 2015, quienes realizaron entrevistas, hacking ético, además con la revisión de los procedimientos que
conforman el Sistema de Calidad del INVIAS. En principio las gestiones de seguridad adelantadas en el Instituto han sido suficientes
para satisfacer los requerimientos técnicos que en materia de seguridad, demanda la necesidad de seguridad en todas las
instituciones; frente a la necesidad de fortalecer los esquemas de seguridad del Instituto y evaluar la conveniencia de adoptar los
protocolos de seguridad que promueve la norma ISO 27001, hubo necesidad de adelantar los diagnósticos mencionados y hacer un
plan de acción que acogiera las recomendaciones del consultor en sus dos intervenciones y como resultado de ello, se obtuvieron
sendos diagnósticos y las acciones que se recomiendan para mejorar el estado de la seguridad de la información y de la informática.
4.1 Diagnóstico de Seguridad de TI
El Instituto desde siempre ha venido adelantando gestiones en materia de seguridad, el paso más fuerte en este sentido fue el
diagnóstico adelantado en 2012 para conocer el estado del Instituto en la materia y que se resume en las siguientes líneas:
✓ “No se encontraron normas y/o procedimientos asociados a la política, así que estos se deben definir, especificando los
procedimientos y normas que apoyan la política dentro del documento de política.
✓ La norma ISO/IEC 27001 habla de la seguridad de la información y no de seguridad informática, así que se recomienda que las
políticas de la institución se orienten a seguridad de la información más que a seguridad informática, teniendo en cuenta los
aspectos de la seguridad que no son relacionados con la tecnología, sino con los procesos o las personas.
✓ Se debe elaborar y establecer una política para el intercambio de información, con procedimientos que apoyen la protección de
la información intercambiada contra, interceptación, copiado, modificación, enrutamiento inadecuado y destrucción.
✓ Se debe realizar e implantar una política de copias de respaldo apoyada de normas y procedimientos claros para la generación
y restauración de copias de respaldo.
✓ Se debe verificar que en el plan de continuidad del negocio que se encuentre implantado tenga aspectos de seguridad como los
activos críticos de la institución, el impacto que pueden causar los incidentes de seguridad, y demás consideraciones de
seguridad de la información que se deben tener en cuenta.
✓ Se debería tomar en cuenta el anexo 5 de GEL para la elaboración de la política, específicamente en el punto donde se establecen
las doce (12) políticas de seguridad que soportan el SGSI.
✓ Se recomienda definir una política para el Control de Acceso Físico, esta se deberá encontrar apoyada de normas y
procedimientos que la alineen frente al dominio nueve (9) de la norma ISO/IEC 27001
✓ Se recomienda establecer una política para el uso de dispositivos móviles, esta deberá estas apoyada por las normas y
procedimientos pertinentes.
✓ Se recomienda alinear todos los documentos frente al estándar manejado dentro de la institución para la elaboración de
documentos.
✓ Se recomienda que cada norma apoye exclusivamente a una política, en cambio cada política si puede tener varias normas y
procedimientos asociados.
✓ Se recomienda establecer una política para el cumplimiento de la obligaciones legales, regulatorias y contractuales establecidas.
Plan Estratégico de Seguridad Informática y de la Información
✓ Se debe considerar establecer una política de clasificación de la información y posteriormente realizar una alineación junto a la
política de control de acceso.
✓ Se debe establecer una política de seguridad de los recursos humanos, que se encuentre apoyada por normas y procedimientos
referentes a la seguridad del personal.
✓ Se debe establecer una política de seguridad para la gestión de incidentes, apoyada por procedimientos y normas asociados.”
En 2015 y frente a las nuevas condiciones del mercado, frente a unos nuevos riesgos, hubo necesidad de volver a hacer un diagnóstico
de la seguridad de la información del Instituto, obteniéndose en resumen el siguiente diagnóstico:
❖ “No se encontró relación entre la caracterización del Proceso Gestión de Tecnologías de Información y Comunicación con los procedimientos e instructivos entregados para revisión.
❖ La mayoría de la documentación entregada y revisada correspondía a información propia de la gestión del servicio de tecnología más que ha información referente al modelo de Seguridad de la Información del Instituto. Los procedimientos, instructivos y formatos, de manera general son bastante antiguos, por lo que se recomienda su revisión y actualización, manteniéndose alineados con el Proceso Gestión de Tecnologías de Información y Comunicación.
❖ En sesión de trabajo realizada en las instalaciones del Instituto fue presentada la matriz de riesgos de seguridad. Aun así, durante la revisión de la documentación realizada no se evidenció dicho documento; por tal razón, se recomienda la verificación de su vigencia.
❖ Se recomienda actualizar las Políticas de Seguridad de la Información en concordancia con la versión 2013 de la norma ISO/IEC 27001 y la versión actualizada del Modelo de Seguridad y Privacidad de la Información publicado por Gobierno en Línea (GEL).
❖ No se encontraron normas y/o procedimientos que muestren una asociación directa con las Políticas de Seguridad de la Información, por lo cual dichas normas y/o procedimientos deben ser elaborados y establecidos por el Instituto.”
Estos dos diagnósticos y con diferencia de tres años entre uno y otro, muestra que hay hoy por hoy situaciones similares en dos
períodos completamente diferentes y que implican la necesidad de adelantar gestiones inmediatas en materia de seguridad desde la
infraestructura y de otro lado iniciar las gestiones administrativas tendientes a cumplir con parámetros mínimos de seguridad dentro
de los sistemas internos.
Aunque la percepción de seguridad ha mejorado, y se ha evidenciado que no es una tarea exclusiva de TI, la gestión no es suficiente
y frente a las nuevas amenazas y los casos mundiales de ataques cibernéticos, las acciones deben ser más contundentes y requieren
acciones inmediatas que mejoren no sólo la percepción, si no que sean acciones reales.
La organización aún no ha tomado la conciencia de ser una organización basada en procesos, su modelo de gobernabilidad aún está
basado en jerarquías del organigrama y administra en forma piramidal y no basada en el cumplimiento y monitoreo de unos procesos
de negocio, en materia de seguridad, esto es aún más notorio.
Plan Estratégico de Seguridad Informática y de la Información
La toma de decisiones de INVIAS con respecto a la inversión en proyectos de TI, ha sido más consistente en los últimos años y
consulta las necesidades planteadas por los Coordinadores en el Plan de Inversión de TI del Instituto, amén a que los recursos puedan
resultar insuficientes para la transformación de TI y frente a los nuevos retos que demanda la transformación digital no sólo del
Instituto, si no del sector gobierno y particularmente en materia de seguridad.
La estructura funcional ha limitado el esquema de una política de gerencia del conocimiento. El personal de TI - experto, ha desertado
debido a que han ido en busca de nuevas oportunidades, y/o personal pensionado y no hay cubrimiento eficiente de estos cargos y
muchos se han llevado el “conocimiento ganado en la organización”, la estructura de TI, no es una estructura de mercado que permita
hacer ajustes rápidos, es la típica estructura gubernamental burocrática y lenta en la toma de decisiones. No se realiza la transferencia
del conocimiento. Aunque como resultado del último concurso para ingresar a carrera administrativa, ingresaron a la entidad nuevos
ingenieros con perfiles que pueden coadyuvar en el manejo de seguridad informática y de la información; y se mejoró el nivel
profesional de TI, los niveles de los profesionales son muy bajo, lo que no permite traer ”expertos”; se han vinculado profesionales de
muy bajo perfil o recién egresados, que no le aportan a la organización conocimiento (Profesionales 1 y 5) para hacer cambios de
mayor envergadura, se debería pensar en reestructurar tecnología con profesionales altamente especializados, de nivel 15 en
adelante. En materia de seguridad se tiene un funcionario de nivel técnico como el “experto en seguridad”, este experticia ha sido el
conocimiento ganado en la entidad y con un factor de “curiosidad profesional”, toda vez que su formación profesional no es vinculante
con la formación en ciencias de computación o similares y uno de los ingenieros recién vinculados, ha ido aprendiendo y aportando
al tema de seguridad y actúa como backup del técnico, muestra una debilidad funcional y estructural en materia de seguridad.
La tendencia en el mercado es contar con un “Oficial” de seguridad, sin embargo, los perfiles de la estructura funcional definida por el
Departamento Administrativo de la Función Pública y el Manual de funciones y perfiles de la entidad, distan mucho de corresponder
a una necesidad técnica, operativa y de requisitos de TI.
4.1.1 Diagnóstico de la Seguridad de la Información
SITUACION IDENTIFICADA
Con base en los diagnósticos adelantados, en el numeral 4.1, se deben realizar acciones de mejora o planes de acción que se
indican a continuación.
ACCIONES DE MEJORA
✓ Actualizar, implantar y socializar el Manual de Objetivos, Políticas y Normas de Seguridad de la Información
Plan Estratégico de Seguridad Informática y de la Información
✓ Actualizar, implantar y socializar la Resolución con la cual se adoptó el Manual de Objetivos, Políticas y Normas de Seguridad
de la Información
✓ Alinear permanentemente el modelo de gestión y seguridad de la información, con la arquitectura y el negocio.
✓ Mantener información y formación permanente sobre la necesidad de mantener esquemas de seguridad a nivel de usuario final
para toma de conciencia.
✓ Actualizar la matriz de riesgos de TI
✓ Iniciar acciones de ejecución de los proyectos para adopción de las mejores prácticas en materia de seguridad a la luz de ISO-
27001 y con base en el siguiente listado de actividades y/o proyectos y/o controles derivados del análisis de la consultoría
adelantada.
A continuación, se presentan aquellos controles del Anexo A de la norma ISO/IEC 27001:2013 que mitigan total o parcialmente vulnerabilidades de seguridad, relacionadas en el análisis de riesgos de seguridad llevado a cabo por el INVIAS.
El nombre de las vulnerabilidades se presenta tal como aparecen en la matriz de riesgos.
A.5 Política de Seguridad de Información
A.5.1 Gestión y Dirección para Seguridad de la Información Vulnerabilidades
A.5.1.1 Documento de Política de Seguridad de la Información org15 Ausencia de control de activos per8 Ausencia de políticas
A.5.1.2 Revisión a la Política de Seguridad de la Información per8 Ausencia de políticas
A.6 Organización de Seguridad de la Información
A.6.1 Organización interna
A.6.1.1 Roles y Responsabilidades de Seguridad de la Información org12 Ausencia de definición de roles y responsabilidades
A.6.1.2 Segregación de Funciones org12 Ausencia de definición de roles y responsabilidades
A.6.2 Dispositivos móviles y teletrabajo
A.6.2.1 Política de dispositivos móviles per8 Ausencia de políticas
A.7 Seguridad de Recursos Humanos
A.7.2 Durante la contratación
A.7.2.2 Concientización, educación y entrenamiento en Seguridad de la Información
per3 Entrenamiento insuficiente per5 Falta de conciencia acerca de la seguridad
A.8 Gestión de Activos
Plan Estratégico de Seguridad Informática y de la Información
A.8.1 Responsabilidad sobre los activos
A.8.1.1 Inventario de activos org15 Ausencia de control de activos
A.8.1.3 Uso aceptable de los activos org15 Ausencia de control de activos per4 Uso incorrecto de SW y HW
A.8.1.4 Devolución de Activos org15 Ausencia de control de activos
A.8.2 Clasificación de la información
A.8.2.1 Clasificación de Información org11 Ausencia de procedimiento para clasificación de la información
A.8.2.2 Etiquetado de Información org11 Ausencia de procedimiento para clasificación de la información
A.8.2.3 Manejo de activos
hw10 Copia no controlada hw8 Almacenamiento sin protección org11 Ausencia de procedimiento para clasificación de la información org15 Ausencia de control de activos
A.8.3 Manejo de medios
A.8.3.1 Gestión de Medios Removibles hw8 Almacenamiento sin protección org15 Ausencia de control de activos
A.8.3.2 Disposición de Medios sw4 Disposición o reutilización de medios de almacenamiento
A.9 Control de Acceso
A.9.1 Requerimientos del negocio para el control de acceso
A.9.1.1 Política de Control de Acceso per8 Ausencia de políticas
A.9.2 Administración de acceso de usuarios
A.9.2.1 Registro y cancelación de usuarios red6 Ausencia de identificación y autentificación sw13 Ausencia de mecanismos de identificación y autenticación
A.9.2.2 Asignación de acceso a usuarios
sw6 Ausencia errada de los derechos de acceso red6 Ausencia de identificación y autentificación sw13 Ausencia de mecanismos de identificación y autenticación red8 Transferencia de contraseña
A.9.2.3 Gestión de derechos de acceso privilegiados sw6 Ausencia errada de los derechos de acceso red6 Ausencia de identificación y autentificación sw13 Ausencia de mecanismos de identificación y autenticación
A.9.2.4 Gestión de información de autenticación de usuarios
sw14 Tablas de contraseñas sin protección sw15 Gestión deficiente de las contraseñas red6 Ausencia de identificación y autentificación sw13 Ausencia de mecanismos de identificación y autenticación
A.9.3 Responsabilidades de los usuarios
Plan Estratégico de Seguridad Informática y de la Información
A.9.3.1 Uso de la información de autenticación red8 Transferencia de contraseña sw15 Gestión deficiente de las contraseñas
A.9.4 Control de acceso a sistemas y aplicaciones
A.9.4.1 Restricción de acceso a la información red6 Ausencia de identificación y autentificación sw13 Ausencia de mecanismos de identificación y autenticación
A.9.4.2 Procedimientos de autenticación segura red6 Ausencia de identificación y autentificación sw13 Ausencia de mecanismos de identificación y autenticación
A.9.4.3 Sistema de administración de contraseñas sw14 Tablas de contraseñas sin protección sw15 Gestión deficiente de las contraseñas
A.10 Criptografía
A.10.1 Controles criptográficos
A.10.1.1 Política de Controles Criptográficos per8 Ausencia de políticas
A.11 Seguridad Física y Medioambiental
A.11.1 Áreas seguras
A.11.1.1 Perímetro de Seguridad Física Lug1 Uso inadecuado o descuidado del control de acceso físico sw22 Ausencia de protección física
A.11.1.2 Controles de Acceso Físico Lug1 Uso inadecuado o descuidado del control de acceso físico sw22 Ausencia de protección física red2 Líneas de comunicación sin protección
A.11.1.3 Seguridad de oficinas, recintos e instalaciones Lug1 Uso inadecuado o descuidado del control de acceso físico sw22 Ausencia de protección física red2 Líneas de comunicación sin protección
A.11.1.4 Protección contra amenazas externas y ambientales hw7 Susceptibilidad en la variación de temperatura
A.11.1.5 Trabajo en áreas seguras Lug2 Ubicación en un área susceptible Lug1 Uso inadecuado o descuidado del control de acceso fisco sw22 Ausencia de protección física
A.11.1.6 Áreas de carga y descarga Lug1 Uso inadecuado o descuidado del control de acceso físico sw22 Ausencia de protección física
A.11.2 Equipos
A.11.2.1 Ubicación y protección de los equipos Lug2 Ubicación en un área susceptible
A.11.2.2 Utilidades de soporte Hw6 Susceptibilidad en la variación del voltaje Lug3 Red energética inestable
A.11.2.3 Seguridad del Cableado red2 Líneas de comunicación sin protección red4 Conexión deficiente de los cables
Plan Estratégico de Seguridad Informática y de la Información
A.11.2.4 Mantenimiento de los Equipos hw1 Mantenimiento insuficiente / instalación fallida de los medios de mantenimiento hw2 Ausencia de esquema de remplazo periódico
A.11.2.7 Disposición o reutilización segura de los equipos hw9 Falta de cuidado en la disponibilidad final hw2 Ausencia de esquema de remplazo periódico
A.11.2.9 Política de escritorio limpio y pantalla limpia per8 Ausencia de políticas
A.12 Seguridad en las Operaciones
A.12.1 Procedimientos operativos y responsabilidades
A.12.1.1 Procedimientos operativos documentados sw10 Ausencia de documentación
A.12.1.2 Gestión del Cambio org7 Ausencia de controles de cambios sw19 Ausencia de control o cambio ineficaz
A.12.2 Protección contra código malicioso
A.12.2.1 Protección contra código malicioso sw20 Descarga y uso no controlado de SW per4 Uso incorrecto de SW y HW
A.12.3 Copias de seguridad
A.12.3.1 Copias de seguridad de la Información sw21 Ausencia de copias de respaldo
A.12.4 Registro y monitoreo
A.12.4.1 Registros de eventos sw5 Ausencia de pistas de auditoria
A.12.4.2 Protección de los registros de auditoría sw5 Ausencia de pistas de auditoria
A.12.4.3 Registros de administradores y operadores sw5 Ausencia de pistas de auditoria
A.12.5 Control del software operacional
A.12.5.1 Instalación de software en los sistemas operativos sw20 Descarga y uso no controlado de SW per4 Uso incorrecto de SW y HW
A.12.6 Gestión de vulnerabilidades técnicas
A.12.6.1 Gestión de vulnerabilidades técnicas sw11 Configuración incorrecta de parámetros sw16 Habilitación de servicios innecesarios sw2 Defectos bien conocidos en el SW
A.12.6.2 Restricciones en la instalación de software sw20 Descarga y uso no controlado de SW per4 Uso incorrecto de SW y HW
A.13 Seguridad en las Comunicaciones
A.13.1 Gestión de seguridad en la red
A.13.1.1 Controles de Red
red10 Conexión de la red pública sin protección red3 Trafico sensible sin protección red9 Gestión inadecuada de la red sw16 Habilitación de servicios innecesarios sw20 Descarga y uso no controlado de SW
Plan Estratégico de Seguridad Informática y de la Información
A.13.1.2 Seguridad de los servicios de red red10 Conexión de la red pública sin protección red3 Trafico sensible sin protección red9 Gestión inadecuada de la red
A.13.1.3 Segmentación de redes red10 Conexión de la red pública sin protección red3 Trafico sensible sin protección red9 Gestión inadecuada de la red
A.13.2 Intercambio de información
A.13.2.1 Políticas y procedimientos de intercambio de información per8 Ausencia de políticas
A.13.2.3 Mensajería Electrónica red1 Ausencia de pruebas de envío o recepción de mensajes
A.14 Adquisición, Desarrollo y Mantenimiento de Sistemas
A.14.1 Requisitos de seguridad de los sistemas de información
A.14.1.1 Análisis y especificación de los requisitos de seguridad de la información
sw17 SW nuevo o inmaduro sw18 Especificaciones incompletas
A.14.2 A.14.2 Seguridad en los procesos de desarrollo y soporte
A.14.2.1 Política de desarrollo seguro per8 Ausencia de políticas
A.14.2.2 Procedimientos de control de cambios en sistemas org7 Ausencia de controles de cambios sw19 Ausencia de control o cambio ineficaz
A.14.2.3 Revisión técnica de las aplicaciones después de cambios en la plataforma
sw1 Ausencia o insuficiencia de pruebas del SW
A.14.2.4 Restricciones en los cambios a los paquetes de software org7 Ausencia de controles de cambios sw19 Ausencia de control o cambio ineficaz sw17 SW nuevo o inmaduro
A.14.2.7 Desarrollo por terceras partes org6 Respuesta inadecuada al mantenimiento de servicio
A.14.2.8 Pruebas de seguridad del sistema sw1 Ausencia o insuficiencia de pruebas del SW sw17 SW nuevo o inmaduro
A.14.2.9 Pruebas de aceptación del sistema sw1 Ausencia o insuficiencia de pruebas del SW sw17 SW nuevo o inmaduro
A.15 Relaciones con terceras partes
A.15.1 Seguridad de la información en las relaciones con terceras partes
A.15.1.1 Política de seguridad de la información para relaciones con terceras partes
per8 Ausencia de políticas
A.15.1.2 Abordar la seguridad en los acuerdos con terceras partes org6 Respuesta inadecuada al mantenimiento de servicio
Plan Estratégico de Seguridad Informática y de la Información
A.15.1.3 Cadena de suministro de las Tecnologías de la Información y las Comunicaciones
org6 Respuesta inadecuada al mantenimiento de servicio
A.15.2 Gestión de la prestación de servicios de terceras partes
A.15.2.1 Monitoreo y revisión de los servicios provistos por terceras partes
org6 Respuesta inadecuada al mantenimiento de servicio
A.15.2.2 Manejo de cambios en los servicios provistos por terceras partes
org6 Respuesta inadecuada al mantenimiento de servicio
A.17 Aspectos de Seguridad de la Información de la Gestión de Continuidad del Negocio
A.17.1 Seguridad de la información en la continuidad del negocio
A.17.1.1 Planear la seguridad de la información en la continuidad del negocio
org10 Ausencia de planes de continuidad
A.17.1.2 Implementar la seguridad de la información en la continuidad del negocio
org10 Ausencia de planes de continuidad
A.17.1.3 Verificar, revisar y evaluar la seguridad de la información en la continuidad del negocio
org10 Ausencia de planes de continuidad
A.17.2 A.17.2 Redundancia
A.17.2.1 A.17.2.1 Disponibilidad de instalaciones de procesamiento de información
org10 Ausencia de planes de continuidad
A.18 Cumplimiento
A.18.1 Cumplimiento con los requisitos legales y contractuales
A.18.1.2 Derechos de propiedad intelectual sw7 SW ampliamente distribuido per4 Uso incorrecto de SW y HW sw20 Descarga y uso no controlado de SW
A.18.1.3 Protección de registros hw8 Almacenamiento sin protección
A.18.2 Revisiones de seguridad de la información
A.18.2.1 Revisión independiente de seguridad de la información org3 Ausencia de procedimientos de monitoreo
A.18.2.2 Cumplimiento con políticas y estándares de seguridad per8 Ausencia de políticas sw11 Configuración incorrecta de parámetros sw16 Habilitación de servicios innecesarios
A.18.2.3 Revisión del cumplimiento técnico sw11 Configuración incorrecta de parámetros sw16 Habilitación de servicios innecesarios
Plan Estratégico de Seguridad Informática y de la Información
CONTROLES QUE NO ESTAN ASOCIADOS A VULNERABILIDADES
En la siguiente tabla se relacionan aquellos controles del Anexo A de la norma ISO/IEC 27001:2013 que no pueden ser asociados a las vulnerabilidades identificadas en el análisis de riesgos de seguridad llevado a cabo por el INVIAS. Se recomienda identificar vulnerabilidades que sean mitigadas por estos controles para futuros análisis de riesgos, en la medida en que resulten aplicables para el Instituto.
A.6 Organización de Seguridad de la Información
A.6.1 Organización interna
A.6.1.3 Contacto con las Autoridades
A.6.1.4 Contacto con Grupos de Interés
A.6.1.5 Seguridad de la información en Gestión de Proyectos
A.6.2 Dispositivos móviles y teletrabajo
A.6.2.2 Teletrabajo
A.7 Seguridad de Recursos Humanos
A.7.1 Previo a la contratación
A.7.1.1 Selección
A.7.1.2 Términos y Condiciones del Empleo
A.7.2 Durante la contratación
A.7.2.1 Responsabilidades de la Dirección
A.7.2.3 Proceso Disciplinario
A.7.3 Terminación o cambio de trabajo
A.7.3.1 Responsabilidades de Terminación
A.8 Gestión de Activos
A.8.1 Responsabilidad sobre los activos
A.8.1.2 Propiedad de los activos
A.8.3 Manejo de medios
A.8.3.3 Transferencia Física de Medios
A.9 Control de Acceso
A.9.1 Requerimientos del negocio para el control de acceso
A.9.1.2 Acceso a redes y servicios de red
A.9.2 Administración de acceso de usuarios
A.9.2.5 Revisión de los derechos de acceso de los usuarios
A.9.2.6 Remoción o ajuste de derechos de acceso
A.9.4 Control de acceso a sistemas y aplicaciones
Plan Estratégico de Seguridad Informática y de la Información
A.9.4.4 Uso de utilidades
A.9.4.5 Control de acceso al código fuente de programas
A.10 Criptografía
A.10.1 Controles criptográficos
A.10.1.2 Administración de Llaves
A.11 Seguridad Física y Medioambiental
A.11.2 Equipos
A.11.2.5 Retiro de activos
A.11.2.6 Seguridad de los equipos y activos fuera de las instalaciones
A.11.2.8 Equipos desatendidos
A.12 Seguridad en las Operaciones
A.12.1 Procedimientos operativos y responsabilidades
A.12.1.3 Gestión de la Capacidad
A.12.1.4 Separación de ambientes de desarrollo, pruebas y producción
A.12.4 Registro y monitoreo
A.12.4.4 Sincronización de reloj
A.12.7 Consideraciones de auditoría de sistemas de información
Controles de auditoría de sistemas de información
A.13 Seguridad en las Comunicaciones
A.13.2 Intercambio de información
A.13.2.2 Acuerdos de intercambio de información
A.13.2.4 Acuerdos de confidencialidad o no divulgación
A.14 Adquisición, Desarrollo y Mantenimiento de Sistemas
A.14.1 Requisitos de seguridad de los sistemas de información
A.14.1.2 Protección de servicios de aplicaciones en redes publicas
A.14.1.3 Protección de los servicios de transacciones en aplicaciones
A.14.2 Seguridad en los procesos de desarrollo y soporte
A.14.2.5 Principios de ingeniería para sistemas seguros
A.14.2.6 Entorno de desarrollo seguro
A.14.3 Datos de prueba
A.14.3.1 Protección de los datos de prueba
A.16 Gestión de incidentes de Seguridad
A.16.1 Gestión de incidentes de seguridad de la información y mejoras
Plan Estratégico de Seguridad Informática y de la Información
A.16.1.1 Responsabilidades y procedimientos
A.16.1.2 Reporte de los eventos de seguridad de la información
A.16.1.3 Reporte de las debilidades de seguridad de la información
A.16.1.4 Evaluación y decisión de los eventos de seguridad de la información
A.16.1.5 Respuesta a los incidentes de seguridad de la información
A.16.1.6 Aprendizaje de los Incidentes de Seguridad de la Información
A.16.1.7 Recolección de Evidencia
A.18 Cumplimiento
A.18.1 Cumplimiento con los requisitos legales y contractuales
A.18.1.1 Identificación de la legislación aplicable y los requisitos contractuales
A.18.1.4 Protección de los datos y privacidad de la información personal
A.18.1.5 Regulación de controles criptográficos
VULNERABILIDADES NO APLICABLES EN UN ANALISIS DE RIESGOS DE SEGURIDAD
En la siguiente tabla se relacionan aquellas vulnerabilidades identificadas en el análisis de riesgos de seguridad que no corresponden a vulnerabilidades de seguridad o, que, si bien son válidas para un tipo de análisis como este, no pueden ser mitigadas por controles de seguridad del Anexo A de la norma ISO/IEC 27001:2013 porque se relacionan directamente con los requerimientos obligatorios del Sistema de Gestión de Seguridad de la Información (SGSI).
org5 Ausencia de valorización de riesgos
hw4 Sensibilidad a la radiación electrónica
Lug4 Ausencia de políticas para uso correcto de medios de comunicación
sw8 En términos de tiempo uso de datos errados en el programa de aplicación
org4 Ausencia de auditorias
org8 Ausencia en el control de documentos SGSI
org9 Ausencia en la supervisión de documentos SGSI
org16 Ausencia de revisiones regulares
sw3 Ausencia de terminación de sesión
sw23 Falla en la producción de informes de gestión
sw9 Interfaz de usuario compleja
org18 Ausencia de procedimientos de cumplimiento
Plan Estratégico de Seguridad Informática y de la Información
Las actividades y/o vulnerabilidades identificadas implican una gestión casi personalizada y el compromiso de todos y cada uno de los funcionarios y contratistas de TI.
5 PLAN DE ACCION DE SEGURIDAD DE LA INFORMACION
Tomando como insumos la matriz de riesgos de seguridad de la información generada por el INVIAS en el año 2014 y
actualizada en 2018, el Análisis GAP de controles del Anexo A de la norma ISO/IEC 27001:2013 realizado y los requisitos que
pide el Modelo actualizado de Seguridad y Privacidad de Gobierno en Línea (GEL) (hoy Gobierno Digital), entre ellos el
documento de Autodiagnóstico de la Norma ISO 27001 suministrado por el Ministerio de las Tecnologías de Información y las
Comunicaciones (MinTIC), a continuación se presenta un grupo de proyectos propuestos orientados a implantar o mejorar el
estado de los controles de seguridad en el INVIAS.
Estos proyectos se encuentran alineados con los requerimientos obligatorios y los controles del Anexo A de la norma ISO/IEC
27001:2013, así como con los requerimientos del Modelo de Seguridad y Privacidad de Gobierno en Línea (GEL) (hoy Gobierno
Digital) y los hallazgos de las pruebas técnicas de vulnerabilidades realizadas por la consultoría en 2012 y 2015 sobre la
plataforma tecnológica del Instituto.
Se generó una Hoja de Ruta (Roadmap) para desarrollo de proyectos, distribuyendo y asignando prioridad a los proyectos
durante tres (3) períodos de tiempo; esta Hoja de Ruta sirve de guía para el desarrollo de dichos proyectos, permitiendo al
Instituto modificar la prioridad de estos según se considere pertinente, dado que están sujetos a consideraciones
presupuestales y de disponibilidad de recursos humanos por parte del Instituto Nacional de Vías INVIAS.
5.1 IMPLEMENTACIÓN Y SEGUIMIENTO DE POLITICAS DE SEGURIDAD
Descripción
Tiene el objetivo de llevar a cabo la implementación y posterior seguimiento a las políticas de seguridad de la información que se encuentran definidas para el INVIAS, con el fin de obtener el compromiso de todos los funcionarios, contratistas y terceros frente a la seguridad de la información.
5.1.1 Actividades a desarrollar
Las actividades a desarrollar durante la ejecución de este proyecto:
❖ Desarrollar una política global de seguridad y políticas específicas orientadas a los temas que recomiendan Gobierno en Línea (GEL) (hoy Gobierno Digital) y los dominios del Anexo A de la norma ISO/IEC 27001:2013.
❖ Revisar las políticas de seguridad de la información que se han aprobado en INVIAS. ❖ Divulgar e implementar las políticas de seguridad de la información una vez revisadas y aprobadas.
Plan Estratégico de Seguridad Informática y de la Información
❖ Hacer seguimiento al cumplimiento de las políticas de seguridad de la información, con el fin de verificar su acatamiento y aceptación por parte de los funcionarios y contratistas del Instituto.
❖ Revisar periódicamente las políticas de seguridad de la información y, realizar ajustes de ser necesario, con el fin de garantizar que son adecuadas y funcionales para el Instituto.
5.1.2 Dominio de la Norma ISO/IEC 27001:2013
Si bien la norma ISO 27001 no es el fin institucional, si es el medio mediante el cual se logran las mejores prácticas que en materia de Seguridad de la Información debe adoptar la entidad. Este proyecto apoya el numeral cinco (5) y el dominio cinco (5) del anexo A de la norma ISO/IEC 27001:2013, específicamente en política de seguridad; además, apoya los dominios del seis (6) al dieciocho (18) del anexo A de la misma norma, en donde la existencia de políticas de seguridad de la información es un factor crítico de éxito.
5.1.3 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Comité Institucional de Desarrollo y Gestión. ❖ Oficina Asesora de Planeación (como líder del SGSI).
5.2 GENERACIÓN DE LA ORGANIZACIÓN DE SEGURIDAD
5.2.1 Descripción
Tiene como propósito establecer los roles y responsabilidades encargados de la seguridad de la información en el INVIAS desde el nivel directivo hasta el operativo.
5.2.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto: ❖ Verificar si dentro de las funciones del Comité Institucional de Desarrollo y Gestión se encuentran la generación de los
lineamientos en seguridad de la información y la aprobación de la documentación y las estrategias generadas para la operación del Sistema de Gestión de Seguridad de la Información (SGSI).
❖ Fortalecer y reasignar funciones al grupo de trabajo encargado de liderar los aspectos tácticos y operativos relacionados con la seguridad de la información, definiendo entre otras cosas el Oficial de Seguridad.
❖ Dar a conocer a las áreas o grupos de trabajo con responsabilidad indirecta sobre temas relacionados con seguridad de la información sus responsabilidades, de acuerdo con lo establecido por la norma ISO/IEC 27001:2013. Estas áreas son, entre otras: la Subdirección Administrativa (en temas relacionados con el talento humano y la seguridad física y medioambiental), la Oficina de Control Interno (en relación con las auditorias y revisiones al SGSI y la Oficina Asesora Jurídica (en la generación de conceptos y revisiones de requisitos propios del SGSI).
Plan Estratégico de Seguridad Informática y de la Información
❖ Documentar formalmente la organización de seguridad de la información en el Instituto y divulgar las responsabilidades a los comités, áreas o grupos de trabajo involucrados.
5.2.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya parcialmente el dominio seis (6) del anexo A de la norma ISO/IEC 27001:2013.
5.2.4 Implementación y Monitoreo
A continuación, se definen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Comité Institucional de Desarrollo y Gestión. ❖ Oficina Asesora de Planeación (como líder del SGSI). ❖ Subdirección Administrativa.
5.3 DOCUMENTACIÓN DEL SGSI Y CUMPLIMIENTOCON LOS REQUERIMIENTOS DE GEL
5.3.1 Descripción
Busca el desarrollo de la documentación correspondiente al Sistema de Gestión de Seguridad de la Información (SGSI) en cumplimiento a los requisitos del Modelo de Seguridad y Privacidad de Gobierno en Línea (GEL) (hoy Gobierno Digital), necesaria para posteriormente operar, dar seguimiento, revisar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información (SGSI).
5.3.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Definir alcance del Sistema de Gestión de Seguridad de la Información (SGSI). ❖ Definir políticas y objetivos del Sistema de Gestión de Seguridad de la Información (SGSI). ❖ Identificar los requisitos legales exigidos al INVIAS en términos de protección de la información. ❖ Aplicar la metodología de gestión de riesgos de seguridad de la información. ❖ Identificar, valorar y generar el inventario de activos de información para el Proceso de Gestión de tecnologías de información y
comunicaciones. ❖ Analizar y evaluar los riesgos de seguridad para el Proceso de Gestión de tecnologías de información y comunicaciones,
considerando aspectos referentes a cambios en el proceso, los activos de información, la plataforma tecnológica, nuevas amenazas y efectividad de los controles implementados.
❖ Generar el plan de tratamiento de riesgos en función de los controles del Anexo A de la norma ISO/IEC27001:2013. ❖ Generar la Declaración de Aplicabilidad. ❖ Elaborar los documentos restantes del Modelo de Seguridad (políticas, normas y procedimientos del SGSI).
Plan Estratégico de Seguridad Informática y de la Información
❖ Obtener la aprobación del Modelo de Seguridad y de la implementación y operación del SGSI. ❖ Propiciar la integración del SGSI con otros Sistemas de Gestión del INVIAS.
5.3.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya los numerales cuatro (4) y seis (6) de la norma ISO/IEC 27001:2013, que cubren los aspectos relacionados con el Sistema de Gestión de Seguridad del Información (SGSI).
5.3.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Comité Institucional de Desarrollo y Gestión. ❖ Oficina Asesora de Planeación (como líder del SGSI).
5.4 GENERACIÓN DE INDICADORES
5.4.1 Descripción
Se basa en la generación de indicadores para el modelo de seguridad de la información del Instituto Nacional de Vías INVIAS, con el objetivo de adquirir métricas frente a su eficacia y eficiencia.
5.4.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto: ❖ Identificar y generar los indicadores más adecuados para el modelo de seguridad de la información del Instituto, considerando
las recomendaciones del Modelo de Seguridad y Privacidad de GEL y la madurez del modelo en el INVIAS. ❖ Implementar los indicadores generados, con el fin de generar registros en cada uno de ellos. ❖ Monitorear los indicadores creados de acuerdo con los registros generados en cada uno de ellos, con el fin de verificar si el
objetivo del indicador se cumple o si el mismo requiere un ajuste de acuerdo con su comportamiento; esta actividad se desarrolla con detalle en un proyecto propuesto en este documento.
5.4.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya el numeral seis (6) de la norma ISO/IEC 27001:2013.
Plan Estratégico de Seguridad Informática y de la Información
5.4.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI).
5.5 CONTROLES SOBRE LOS FUNCIONARIOS DESDE LA VINCULACIÓN HASTA LA DESVINCULACIÓN
5.5.1 Descripción
Busca que los funcionarios y contratistas del Instituto, conozcan la importancia de la seguridad de la información, y de sus funciones y responsabilidades con esta desde el momento de la vinculación con el Instituto, hasta el momento de su desvinculación.
5.5.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar para la ejecución de este proyecto: ❖ Establecer en el proceso de vinculación aspectos a tener en cuenta como la verificación de los roles de los funcionarios vinculados
para saber a qué tipo de información clasificada van a tener acceso y los posibles riesgos. ❖ Incorporar en el proceso de inducción a los funcionarios la divulgación de las funciones y responsabilidades frente a la seguridad
de la información desde su vinculación, hasta su desvinculación. ❖ Actualizar, en conjunto con la Oficina Asesora Jurídica, los documentos correspondientes a acuerdos o cláusulas confidencialidad
durante el proceso de vinculación de funcionarios y/o contratistas, con el fin que estos conozcan y acepten la responsabilidad sobre la información a la que tienen acceso y/o procesan.
❖ Actualizar el proceso de desvinculación de funcionarios o contratistas, así como los cambios de cargo de funcionarios, aspectos referentes a la entrega de información, derechos de acceso, puestos de trabajo y bienes de manera formal y documentada.
❖ Comunicar en el proceso de desvinculación las responsabilidades frente a la seguridad de la información que permanecen en el tiempo.
5.5.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya parcialmente el numeral siete (7) y los dominios siete (7), ocho (8) y nueve (9) del anexo A de la norma ISO/IEC 27001:2013.
5.5.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Comité Institucional de Desarrollo y Gestión. ❖ Subdirección Administrativa.
Plan Estratégico de Seguridad Informática y de la Información
5.6 CONCIENCIACIÓN Y EDUCACIÓN
5.6.1 Descripción
La seguridad es un concepto que atañe a todos en el Instituto, el objetivo de este acápite es fomentar concienciación y educación de todos los funcionarios, contratistas y terceros del Instituto Nacional de Vías frente a la importancia de la protección de la información dentro de sus actividades y como sus acciones contribuyen a optimizar la seguridad de la información y al logro de los objetivos del Sistema de Gestión de Seguridad de la Información (SGSI).
5.6.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto: ❖ Generar de manera permanente, programas de concienciación de seguridad de la información, considerando aspectos tales
como los grupos objetivo, funciones, responsabilidades y habilidades; dichos programas deben considerar que en cada periodo de concienciación y educación se cubran grupos objetivo y temarios específicos, iniciando por grupos de usuario final, hasta alcanzar grupos con conocimientos en seguridad de la información y la Alta Dirección, debe incluirse la actualización de campañas de seguridad a través de diferentes medios.
❖ Desarrollar los programas de concienciación de seguridad de la información, a través de la realización de charlas, folletos, pendones u otra herramienta que se considere, para posteriormente medir su efectividad en cada uno de los grupos objetivo que reflejen los niveles conciencia en seguridad de la información.
❖ Revisar periódicamente el nivel de apropiación del Modelo de Seguridad y Privacidad de la información en los funcionarios, contratistas y terceros, a través de métricas, con el fin de identificar la necesidad de reforzar las charlas, sesiones de trabajo, talleres y herramientas utilizadas.
5.6.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya parcialmente el numeral siete (7) y el dominio siete (7) del anexo A de la norma ISO/IEC 27001:2013, específicamente en concientización, educación y entrenamiento en seguridad de la información; además, apoya otros dominios como el ocho (8), once (11), doce (12), trece (13) y dieciséis (16) de la misma norma, en donde la concientización y educación es un factor crítico para el éxito.
5.6.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Comité Institucional de Desarrollo y Gestión. ❖ Oficina Asesora de Planeación (como líder del SGSI). ❖ Subdirección Administrativa. ❖ Secretaría General – Grupo de Comunicaciones
Plan Estratégico de Seguridad Informática y de la Información
5.7 VINCULACIÓN A FOROS Y GRUPOS DE INTERES
5.7.1 Descripción
Tiene como propósito crear y mantener vínculos con foros y grupos de interés relacionados con seguridad de la información, estándares internacionales y buenas prácticas, aplicables al Instituto Nacional de Vías INVIAS.
5.7.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto: ❖ Identificar temas de interés relacionados con seguridad de la información, estándares internacionales y buenas prácticas
aplicables al Instituto. ❖ Establecer vínculos con foros y grupos de asociaciones profesionales o entidades reconocidas, como por ejemplo ISACA, ISC2
y NIST, de acuerdo con los temas de interés planteados, con el fin de estar siempre actualizados en nuevas tecnologías, productos, estándares, marcos de referencia, buenas prácticas, amenazas y vulnerabilidades.
5.7.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya parcialmente el dominio seis (6) del anexo A de la norma ISO/IEC 27001:2013, específicamente en contacto con grupos de interés.
5.7.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI).
5.8 GENERACIÓN DE GUIAS DE CLASIFICACIÓN DE LA INFORMACIÓN Y PROCEDIMIENTOS DE MANEJO
5.8.1 Descripción
El objetivo es generar los lineamientos para llevar a cabo el proceso de clasificación de información, de acuerdo con su grado de sensibilidad e importancia, definiendo guías de clasificación y un conjunto de procedimientos de manejo de la información para el Instituto Nacional de Vías INVIAS.
5.8.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar para la ejecución de este proyecto:
Plan Estratégico de Seguridad Informática y de la Información
❖ Definir los criterios de seguridad de la información (confidencialidad, integridad y disponibilidad) por los cuales será clasificada la información.
❖ Verificar la legislación vigente en temas de clasificación de la información y, de acuerdo con ella, definir los niveles o categorías en los cuales será clasificada la información en relación con su nivel de sensibilidad.
❖ Generar guías o metodologías de clasificación de la información donde se presenten las categorías de clasificación de la información.
❖ Especificar para cada categoría de clasificación de información procedimientos de manejo que incluyan, entre otros, acceso, procesamiento, almacenamiento, transmisión, destrucción segura y etiquetado, considerando las tablas de retención documental existentes en el Instituto.
❖ Divulgar las guías de clasificación de la información y procedimientos de manejo.
5.8.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya el dominio ocho (8) del anexo A de la norma ISO/IEC 27001:2013
5.8.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI). ❖ Subdirección Administrativa.
5.9 CLASIFICACIÓN DE LA INFORMACIÓN Y APLICACIÓN DE PROCEDIMIENTOS DE MANEJO
5.9.1 Descripción
El objetivo es clasificar la información del INVIAS aplicando las guías de clasificación de la información y los procedimientos de manejo establecidos.
5.9.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto: ❖ Identificar los propietarios de la información al interior de las áreas o procesos del INVIAS. ❖ Clasificar la información en las áreas o procesos de acuerdo con las guías de clasificación de la información. ❖ Implantar los procedimientos de manejo establecidos para la información clasificada en cada una de las áreas o procesos.
5.9.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya el dominio ocho (8) del anexo A de la norma ISO/IEC 27001:2013.
Plan Estratégico de Seguridad Informática y de la Información
5.9.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI). ❖ Subdirección Administrativa. ❖ Propietarios de los activos de información.
5.10 GESTIÓN DEL ACCESO LÓGICO
5.10.1 Descripción
El objetivo es establecer una gestión adecuada del acceso lógico en la plataforma tecnológica, considerando los entornos de usuario y los ambientes de desarrollo, pruebas y producción del Instituto Nacional de Vías INVIAS, con el fin de proteger los servicios de procesamiento y almacenamiento de información.
5.10.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto: ❖ Instaurar y ejecutar el procedimiento de administración de usuarios y contraseñas a través del cual se formalizan las solicitudes
de acceso y los privilegios correspondientes. ❖ Implantar los controles de acceso lógico correspondientes de acuerdo con los servicios de red, los componentes de la plataforma
tecnológica o los sistemas de información, considerando los riesgos a los que se encuentra expuesta la información contenida en ellos y las políticas de seguridad de la información.
❖ Establecer los perfiles y roles de acceso lógico de usuarios o grupos de usuarios, considerando segregación de funciones y limitación de accesos según necesidad de uso, de acuerdo con sus funciones y las políticas de seguridad de la información.
❖ Monitorear la efectividad de los controles de acceso lógico implantados, con el objetivo de generar propuestas de mejora de acuerdo con las políticas de seguridad de la información.
5.10.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya los dominios seis (6), nueve (9) y doce (12) del anexo A de la norma ISO/IEC 27001:2013.
5.10.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Propietarios de los Activos de Información.
Plan Estratégico de Seguridad Informática y de la Información
❖ Supervisores de Contratos con Terceros.
5.11 REVISIÓN Y AJUSTES DE PERFILES EN SISTEMAS DE INFORMACION, SERVICIOS DE RED Y RECURSOS TECNOLÓGICOS
5.11.1 Descripción
Tiene como objetivo asegurar que todo el personal con acceso a los sistemas de información, servicios de red, y cualquier
recurso de la plataforma tecnológica del Instituto Nacional de Vías INVIAS, cuente con un perfil acorde a las labores y funciones
que desempeña.
5.11.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Revisar los perfiles y roles de acceso lógico de usuarios o grupos de usuarios, de acuerdo con las funciones de cargo y las
políticas de seguridad de la información en cada uno de los sistemas de información existentes, servicios de red y recursos
tecnológicos, con fin de ratificar o de ser necesario ajustar, los perfiles y roles de acuerdo con los cambios detectados
durante la revisión.
❖ Llevar a cabo cuando resulte necesario, el ajuste de los perfiles y roles, siguiendo el procedimiento de administración de
usuarios y contraseñas por el cual se deben realizar este tipo de cambios, generando registros de control.
5.11.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya los dominios seis (6), doce (12), trece (13), catorce (14), quince (15) y dieciocho (18) del anexo A de la
norma ISO/IEC 27001:2013.
5.11.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Propietarios de los Activos de Información. ❖ Supervisores de Contratos con Terceros. ❖ Subdirección Administrativa.
Plan Estratégico de Seguridad Informática y de la Información
5.12 GESTION DEL ACCESO FISICO
5.12.1 Descripción
El objetivo es establecer una gestión adecuada del acceso físico para las instalaciones del Instituto Nacional de Vías INVIAS,
con el fin de proteger las áreas de almacenamiento y procesamiento de información.
5.12.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Identificar las áreas que pueden considerarse restringidas, teniendo en cuenta el tipo de información que se almacena o
procesa y la sensibilidad de dicha información.
❖ Evaluar y ajustar los controles de acceso físico existentes, considerando aspectos como las labores correspondientes al
cargo y las políticas de seguridad de la información, para las diferentes áreas, especialmente para las áreas identificadas
como sensibles, con el fin de permitir acceso solo a personal autorizado.
❖ Implementar el procedimiento de control de acceso físico, con el fin de establecer controles sobre el acceso físico y generar
registros.
❖ Monitorear, de manera periódica, la efectividad de los controles de acceso físico establecidos, con el objetivo de generar
propuestas de mejora de acuerdo con las políticas de seguridad de la información y los análisis de riesgos realizados.
5.12.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya el dominio once (11) del anexo A de la norma ISO/IEC 27001:2013.
5.12.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Subdirección Administrativa.
5.13 ESTABLECIMIENTO Y MONITOREO DE LAS CONDICIONES AMBIENTALES
5.13.1 Descripción
Tiene como objetivo establecer y monitorear las condiciones ambientales y de las instalaciones donde se encuentra la
plataforma tecnológica del Instituto Nacional de Vías INVIAS.
Plan Estratégico de Seguridad Informática y de la Información
5.13.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Mantener las instalaciones donde se encuentra ubicada la plataforma tecnológica del Instituto libre de materiales
combustibles o peligrosos como cartón, papel y líquidos inflamables.
❖ Evaluar las condiciones de las instalaciones donde se encuentra ubicada la plataforma tecnológica, verificando las
condiciones de manejo de incendios, altas temperaturas, humedad, inundaciones, contaminación por polvo y cualquier otra
forma de desastre natural o artificial; de ser necesario llevar a cabo la adecuación necesarias.
❖ Evaluar las condiciones de seguridad física del Instituto para ver si se protegen las instalaciones donde se encuentra ubicada
la plataforma tecnológica ante amenazas ambientales y verificar la necesidad de controles adicionales a los existentes.
❖ Realizar un monitoreo periódico de las instalaciones donde se encuentra ubicada la plataforma tecnológica, con el objetivo
de ratificar o ajustar consideraciones referentes a incendios, altas temperaturas, humedad, inundaciones, contaminación
por polvo, materiales combustibles o peligrosos, almacenamiento de equipos de cómputo y medios, y cualquier otro aspecto
que pueda afectar las condiciones de las instalaciones.
5.13.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya el dominio once (11) del anexo A de la norma ISO/IEC 27001:2013.
5.13.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Subdirección Administrativa.
5.14 SEGURIDAD DE LOS EQUIPOS FUERA DE LAS INSTALACIONES
5.14.1 Descripción
El objetivo es establecer las medidas de control adecuadas para la movilización fuera de las instalaciones de los equipos de
cómputo, dispositivos móviles y cualquier medio electrónico que contenga información correspondiente al Instituto Nacional de
Vías INVIAS, con el fin de proteger la información contenida en ellos.
5.14.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
Plan Estratégico de Seguridad Informática y de la Información
❖ Realizar, en apoyo con el proyecto de concienciación y educación, la divulgación correspondiente de los riesgos a los que se
ven expuestos los equipos de cómputo, dispositivos móviles y cualquier otro medio que contenga información, cuando son
retirados del Instituto.
❖ Establecer los mecanismos adecuados con el fin de evitar la fuga de información en los equipos de cómputo, dispositivos
móviles y cualquier otro medio que contenga información, a través del uso de controles como los criptográficos.
5.14.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya el dominio once (11) del anexo A de la norma ISO/IEC 27001:2013.
5.14.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Subdirección Administrativa.
5.15 SEGURIDAD EN LA REUTILIZACIÓN DE EQUIPOS
5.15.1 Descripción
El objetivo es establecer medidas de control seguras para la reutilización de los equipos de cómputo, dispositivos móviles y
cualquier medio electrónico que contenga o haya contenido información correspondiente al Instituto Nacional de Vías INVIAS,
con el fin de proteger la información contenida en ellos.
5.15.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Establecer cuáles serán los mecanismos y herramientas para la eliminación de información y reutilización segura de los
equipos de cómputo, dispositivos móviles y cualquier medio electrónico que contenga o haya contenido información,
considerando métodos como la destrucción física, borrado o sobre-escritura segura y la protección de la información durante
la vida útil del dispositivo.
❖ Establecer un procedimiento que defina las acciones a seguir en caso de eliminación de información o reutilización de un
equipo de cómputo, dispositivo móvil y cualquier medio electrónico que contenga o haya contenido información; dicho
procedimiento debe generar registros de las actividades realizadas.
Plan Estratégico de Seguridad Informática y de la Información
5.15.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya los dominios ocho (8), once (11) y dieciocho (18) del anexo A de la norma ISO/IEC 27001:2013.
5.15.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información).
5.16 MANTENIMIENTO Y PRUEBAS DE UTILIDADES DE SOPORTE Y EQUIPOS DE COMPUTO
5.16.1 Descripción
El objetivo es la realización de mantenimientos y pruebas en las utilidades de soporte y equipos de cómputo del Instituto
Nacional de Vías INVIAS, con el fin de prevenir fallas de hardware.
5.16.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Realizar periódicamente mantenimientos preventivos y, de ser necesarios correctivos, a todas las utilidades de soporte como
sistemas de extinción de incendios, UPS, aire acondicionado, plantas eléctricas y cableado estructurado; además, se deben
llevar a cabo mantenimientos periódicos a los equipos de cómputo en general.
❖ Generar registros acordes a los mantenimientos, preventivos o correctivos realizados a las utilidades de soporte y equipos
de cómputo, en donde se detalle información relacionada con el mantenimiento, como componentes involucrados, motivo
de la realización, fecha y tiempo de duración del mantenimiento.
❖ Ejecutar periódicamente pruebas a las utilidades de soporte, con el objetivo de garantizar su óptimo funcionamiento;
adicionalmente, dichas pruebas deben ser documentadas, detallando siempre los aspectos más relevantes de las mismas.
5.16.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya el dominio once (11) del anexo A de la norma ISO/IEC 27001:2013.
5.16.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información).
Plan Estratégico de Seguridad Informática y de la Información
❖ Subdirección Administrativa.
5.17 IMPLEMENTACION DE CONTROLES CRIPTOGRAFICOS
5.17.1 Descripción
El objetivo es realizar la implementación de controles criptográficos, con el fin de mitigar él envió de información sensible en
texto claro, obteniendo así un fortalecimiento de la plataforma tecnológica del Instituto Nacional de Vías INVIAS.
5.17.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Identificar y establecer la herramienta adecuada para aplicar controles criptográficos, considerando aspectos como
algoritmos y tipos de llaves criptográficas, y evaluando alternativas como PGP o GPG.
❖ Almacenar las llaves criptográficas en un repositorio central, el cual debe contar con protección contra modificación, pérdida
o destrucción.
❖ Establecer los lineamientos para el uso adecuado de los controles criptográficos.
❖ Llevar cabo la implementación de los controles criptográficos considerando los lineamientos para su uso.
❖ Definir y establecer procedimientos para la administración de llaves criptográficas, si resulta aplicable, considerando
aspectos como fechas finales de uso, retiro de llaves, destrucción de llaves, usuarios autorizados para su uso, registros y
auditoria, y copias de respaldo de las mismas.
5.17.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya los dominios diez (10) y trece (13) del anexo A de la norma ISO/IEC 27001:2013.
5.17.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Subdirección Administrativa. ❖ Terceros proveedores de sistemas de información.
5.18 DOCUMENTACIÓN Y MANTENIMIENTO DE PROCEDIMIENTOS OPERATIVOS
5.18.1 Descripción
Tiene como propósito la elaboración, establecimiento y mantenimiento de los procedimientos operativos relacionados con las
Plan Estratégico de Seguridad Informática y de la Información
actividades necesarias para la operación de los aspectos tecnológicos del Instituto Nacional de Vías INVIAS.
5.18.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Elaborar la documentación correspondiente a los procedimientos de operación y configuración de los diferentes
componentes tecnológicos de la plataforma, como encendido y apagado de equipos, generación de copias de respaldo,
manejo de medios, gestión de correo electrónico y procedimientos relacionados con seguridad, entre otros.
❖ Establecer los procedimientos de operación elaborados, con el fin de llevar a cabo las actividades propias de los aspectos
tecnológicos de manera consistente.
❖ Mantener los procedimientos de operación, a través del monitoreo de su aplicabilidad, y de ser necesario generar cambios
controlados en ellos.
5.18.3 Dominio de la Norma ISO/IEC 27001:2013 que cubre
Este proyecto apoya parcialmente el dominio doce (12) del anexo A de la norma ISO/IEC 27001:2013, específicamente en
procedimientos operativos documentados; además, apoya parcialmente otros dominios como ocho (8), nueve (9), once (11),
doce (12), trece (13), catorce (14) y dieciséis (16) en donde la documentación y mantenimiento de procedimientos operativos
es un factor crítico para el éxito.
5.18.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como responsable por la Plataforma Tecnológica y los Sistemas de Información).
5.19 GESTIÓN DEL CAMBIO
5.19.1 Descripción
El objetivo proyecto es definir como se deben controlar los cambios en los sistemas operativos, servicios de red, aplicativos y
sistemas de procesamiento de información del Instituto Nacional de Vías INVIAS.
5.19.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
Plan Estratégico de Seguridad Informática y de la Información
❖ Formalizar el comité o grupo que revisará y aprobará los cambios en los componentes de la plataforma tecnológica y los
sistemas de información.
❖ Establecer un procedimiento para el control de cambios el cual considere aprobación formal, evaluación de impactos
potenciales, registro de cambios, planificación de cambios y pruebas.
❖ Establecer procedimientos de emergencia que incluyan responsabilidades de cancelación, recuperación o eventos anómalos
en la realización de cambios en la plataforma tecnológica.
❖ Divulgar y establecer los procedimientos de control de cambios, con el objetivo de socializar ante las partes interesadas el
cómo se deben llevar a cabo los nuevos cambios.
❖ Validar aspectos a tener en cuenta frente a los cambios como actividades, pruebas, operaciones de restauración o rollback,
tiempos estimados, resultados esperados y recursos requeridos para ejecutar el cambio.
❖ Hacer revisiones posteriores a la realización de los cambios en la plataforma tecnológica y los sistemas de información.
5.19.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya los dominios doce (12) y catorce (14) del anexo A de la norma ISO/IEC 27001:2013
5.19.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Comité de Planeación Estratégica de TI. ❖ Oficina Asesora de Planeación (responsable por la plataforma tecnológica y los sistemas de información).
5.20 GENERACIÓN Y VERIFICACIÓN DE COPIAS DE RESPALDO
5.20.1 Descripción
Busca mantener la integridad y disponibilidad de la información a través de la generación de copias de respaldo y pruebas de
restauración de estas, con el fin de garantizar que la información se lograría recuperar después de un desastre o falla que
afecte la plataforma tecnológica del Instituto Nacional de Vías INVIAS.
5.20.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Elaborar el procedimiento de copias de respaldo junto a un formato asociado en el cual se deben consignar los registros de
dichas copias.
❖ Divulgar y establecer el procedimiento de copias de respaldo junto con el formato asociado.
Plan Estratégico de Seguridad Informática y de la Información
❖ Definir la frecuencia de generación de copias de respaldo considerando aspectos como los requisitos de seguridad de la
información involucrada y la importancia de la continuidad en la operación.
❖ Definir el sitio de custodia externa y, de ser necesario, suscribir los contratos o convenios para dicha custodia.
❖ Establecer períodos para realizar pruebas de restauración de información aleatorias a partir de las copias de respaldo.
❖ Determinar el tiempo de retención de las copias de respaldo teniendo en cuenta la importancia de la información respaldada
y los requisitos legales que rigen al Instituto.
❖ Evaluar la necesidad de instaurar controles criptográficos a las copias de respaldo, considerando los requisitos legales
aplicables al Instituto.
5.20.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya los dominios ocho (8) y doce (12) del anexo A de la norma ISO/IEC 27001:2013
5.20.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información).
5.21 GESTIÓN DE LA CAPACIDAD
5.21.1 Descripción
El objetivo es mantener la capacidad de los recursos tecnológicos en niveles adecuados, considerando aspectos como tiempos
de respuesta, necesidades actuales y necesidades futuras para el Instituto Nacional de Vías INVIAS.
5.21.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Crear, establecer y mantener un plan de capacidad actualizado que refleje las necesidades presentes y futuras del Instituto.
❖ Verificar periódicamente el uso de los recursos, capacidad y rendimiento de la plataforma tecnológica y de los servicios
provistos por esta.
❖ Evaluar las necesidades de capacidad frente a los servicios tecnológicos prestados y las posibilidades de almacenamiento
de dichos servicios y de la información asociada (local, en la nube u otras posibilidades).
❖ Identificar y remediar los problemas e incidencias de rendimiento y capacidad de la plataforma tecnológica y de los servicios
provistos por esta, con el fin de proveer mejoras para el Instituto.
Plan Estratégico de Seguridad Informática y de la Información
❖ Llevar a cabo la administración de la plataforma tecnológica y de los servicios provistos por esta, considerando siempre los
objetivos y el impacto de estos, frente a los niveles de rendimiento y capacidad actuales.
❖ Realizar acciones proactivas con el objetivo de mejorar el rendimiento y la capacidad de la plataforma tecnológica y de los
servicios provistos por esta.
❖ Generar información estadística del uso de recursos y capacidad de la plataforma tecnológica para utilizar como información
de base para las proyecciones de capacidad periódicas.
5.21.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya el dominio doce (12) del anexo A de la norma ISO/IEC 27001:2013.
5.21.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información).
5.22 SEPARACIÓN DE AMBIENTES DE PRUEBAS Y PRODUCCIÓN
5.22.1 Descripción
Tiene como objetivo establecer la separación de los ambientes de pruebas y producción del Instituto Nacional de Vías INVIAS,
con el fin mitigar los riesgos que se presentan al contar con ambientes unificados.
5.22.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Evaluar y, de ser posible, establecer la separación lógica y física de los ambientes de pruebas y producción en apoyo con los
proyectos de segmentación de red, gestión de acceso lógico y gestión de acceso físico propuestos en este documento.
❖ Establecer el procedimiento aplicable y los registros correspondientes al paso entre los ambientes de pruebas y producción.
❖ Definir los datos que serán utilizados en el ambiente de pruebas.
❖ Acogerse a la gestión de cambios y cuando sea necesario actualizar los ambientes productivos a partir de los ambientes de
pruebas.
5.22.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya los dominios doce (12) y catorce (14) del anexo A de la norma ISO/IEC 27001:2013.
Plan Estratégico de Seguridad Informática y de la Información
5.22.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información).
5.23 REGISTROS DE AUDITORIA Y CORRELACIÓN DE EVENTOS
5.23.1 Descripción
Tiene como objetivo la gestión de los registros de auditoría y la correlación de eventos de los diferentes componentes de la
plataforma tecnológica y los sistemas de información presentes en el Instituto Nacional de Vías INVIAS.
5.23.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Definir y establecer las características de la información a ser contenida en los registros de auditoría de los diferentes
componentes de la plataforma tecnológica como servidores, dispositivos de seguridad, dispositivos de comunicaciones y
equipos de cómputo en general, así como en los sistemas de información con el fin de garantizar que los registros de
auditoría puedan llegar a facilitar actividades de investigación y monitoreo.
❖ Establecer las herramientas o mecanismos para establecer un repositorio único que permita el análisis de los registros de
auditoría previamente definidos para la plataforma tecnológica.
❖ Indicar a los terceros proveedores de sistemas de información las definiciones de los registros de auditoría requeridos en
los sistemas de información a ser construidos y/o modificados.
❖ Establecer el tiempo de retención y los controles de protección adecuados para la conservación de los registros de auditoría,
considerando aspectos como la capacidad de los medios donde se almacenan, los tipos de eventos críticos, requerimientos
de normas o estándares y los usuarios que cuentan con el perfil adecuado para acceder a ellos.
❖ Asignar responsabilidades para el monitoreo y revisión de los registros de auditoría.
❖ Elaborar e implantar procedimientos para el monitoreo, correlación y análisis de los registros de auditoría, de acuerdo con
las características y tipo de componente de la plataforma tecnológica y los sistemas de información.
5.23.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya los dominios doce (12) y dieciocho (18) del anexo A de la norma ISO/IEC 27001:2013.
Plan Estratégico de Seguridad Informática y de la Información
5.23.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Terceros proveedores de sistemas de información y de componentes de la plataforma tecnológica. ❖ Oficina de Control Interno.
5.24 ANÁLISIS DE VULNERABILIDADES TÉCNICAS
5.24.1 Descripción
Tiene como objetivo realizar un análisis de vulnerabilidades técnicas sobre la plataforma tecnológica del Instituto Nacional de
Vías INVIAS, con el fin de identificar brechas de seguridad a través de la explotación de vulnerabilidades, para que estas
conlleven a una posterior reducción de dichas brechas de seguridad, reflejándose en mejoras en la eficacia y eficiencia de los
controles.
5.24.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Realizar recopilación de información, con el objetivo de identificar objetivos específicos (servidores, enrutadores, firewalls,
accesos externos, entre otros) en las redes que serán objeto del análisis de vulnerabilidades técnicas.
❖ Llevar a cabo un proceso de enumeración, con el fin de obtener y clasificar los posibles vectores de ataque.
❖ Ejecutar un análisis de la información y resultados del proceso de enumeración, para determinar posibles brechas de
seguridad o falsos positivos en los vectores de ataque definidos.
❖ Efectuar la explotación o ataque a los objetivos seleccionados, aprovechando las vulnerabilidades descubiertas y
determinando el impacto de las mismas en los activos donde se encuentran.
❖ Elaborar un documento donde se informen detalladamente los resultados obtenidos durante todo el proceso de análisis de
vulnerabilidades técnicas, como las vulnerabilidades detectadas, el impacto de cada una de ellas y las medidas a tomar
para su posterior remediación.
A partir de este proyecto se deben ejecutar los proyectos de aseguramiento de plataforma tecnológica, sistemas de información
y equipos de cómputo de usuarios.
5.24.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya el dominio doce (12) del anexo A de la norma ISO/IEC 27001:2013, específicamente en gestión de las
vulnerabilidades técnicas, además, apoya los dominios trece (13), catorce (14) y dieciocho (18).
Plan Estratégico de Seguridad Informática y de la Información
5.24.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Terceros proveedores de sistemas de información y de componentes de la plataforma tecnológica.
5.25 DEFINICIÓN DE ESTANDARES DE SEGURIDAD
5.25.1 Descripción
Tiene como objetivo establecer estándares de seguridad, en los diferentes componentes de la plataforma tecnológica del
Instituto Nacional de Vías INVIAS.
5.25.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Seleccionar estándares de seguridad aplicables a la plataforma tecnológica del INVIAS, tomando como referencia guías de
aseguramiento elaboradas por asociaciones profesionales o Institutos con reconocimiento internacional, por ejemplo, NIST.
❖ Ajustar los estándares a las necesidades del INVIAS y a sus características de particulares de funcionalidad de la plataforma
tecnológica.
❖ Ejecutar los estándares y realizar pruebas en ambientes provistos para este fin a los componentes de la plataforma
tecnológica involucrados.
❖ Implementar los estándares de acuerdo con los lineamientos de control de cambios y validar el éxito de la puesta en
producción de los componentes de la plataforma tecnológica involucrados.
5.25.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya los dominios doce (12), trece (13), catorce (14) y dieciocho (18) del anexo A de la norma ISO/IEC
27001:2013.
5.25.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Terceros proveedores de sistemas de información y de componentes de la plataforma tecnológica.
Plan Estratégico de Seguridad Informática y de la Información
5.26 DEFINICIÓN Y APLICACIÓN DE ESTANDARES DE DESARROLLO SEGURO
5.26.1 Descripción
Tiene como objetivo establecer y aplicar estándares para el desarrollo seguro de software en el Instituto Nacional de Vías
INVIAS.
5.26.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Identificar riesgos de seguridad en los lenguajes de desarrollo de las aplicaciones, considerando técnicas de ataque como
Cross Site Scripting – XSS (inyección de código malicioso para su posterior ejecución que puede realizarse a sitios web,
aplicaciones locales o al propio navegador) o SQL Injection (creación o alteración de comandos SQL para exponer datos
ocultos, sobrescribir valores o ejecutar comandos a nivel de sistema en el equipo que hospeda la base de datos), entre otros.
❖ Analizar estándares o guías de desarrollo en las que se implementen controles para mitigar los riegos identificados.
❖ Ajustar los estándares o guías a las necesidades del Instituto y a sus características de particulares de desarrollo de software.
❖ Notificar a los terceros proveedores de sistemas de información los estándares o guías construidos para que los ejecuten
en la fase de construcción de software.
❖ Realizar pruebas de seguridad con el fin de validar la efectividad de los estándares o guías implementados a nivel de
desarrollo de software.
5.26.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya el dominio catorce (14) del anexo A de la norma ISO/IEC 27001:2013.
5.26.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como responsable por la Plataforma Tecnológica y los sistemas de información). ❖ Terceros proveedores de sistemas de información.
5.27 ASEGURAMIENTO DE PLATAFORMA: REDES, SERVIDORES Y BASES DE DATOS
5.27.1 Descripción
El objetivo es realizar el aseguramiento de la plataforma tecnológica, en sus componentes de redes, servidores y bases de
datos; adicionalmente, apoyar la mitigación de vulnerabilidades detectadas en estos componentes durante la ejecución del
Plan Estratégico de Seguridad Informática y de la Información
proyecto de análisis de vulnerabilidades técnicas, obteniendo así un fortalecimiento de la plataforma tecnológica del Instituto
Nacional de Vías INVIAS.
5.27.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Llevar a cabo el aseguramiento correspondiente a los componentes de red considerando aspectos como el bloqueo de
puertos, fortalecimiento de las credenciales de acceso, registros de auditoría, buenas prácticas aplicables y guías de
aseguramiento provistas por el fabricante de acuerdo con las características y modelo del componente de red.
❖ Realizar el aseguramiento correspondiente a los servidores considerando aspectos como el bloqueo de puertos,
fortalecimiento de las credenciales de acceso, registros de auditoría, políticas de software, actualización de parches de
seguridad, buenas prácticas y guías de aseguramiento de acuerdo con el sistema operativo y los servicios que provea el
servidor.
❖ Efectuar el aseguramiento correspondiente a las bases de datos considerando aspectos como el uso controlado de puertos,
fortalecimiento de las credenciales de acceso y métodos de autenticación, registros de auditoría, políticas de administración
del motor de base de datos, almacenamiento cifrado de la información, transmisión segura de información, buenas prácticas
y guías de aseguramiento de acuerdo con el motor de base de datos y los servicios que este provea.
5.27.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya los dominios doce (12) y trece (13) del anexo A de la norma ISO/IEC 27001:2013.
5.27.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como responsable de la Plataforma Tecnológica y los Sistemas de Información). ❖ Terceros proveedores de sistemas de información.
5.28 ASEGURAMIENTO DE PLATAFORMA: SISTEMAS DE INFORMACION
5.28.1 Descripción
El objetivo es realizar el aseguramiento de los sistemas de información; adicionalmente, apoyar la mitigación de
vulnerabilidades detectadas en este componente durante la ejecución del proyecto de análisis de vulnerabilidades técnicas,
obteniendo así un fortalecimiento de la plataforma tecnológica del Instituto Nacional de Vías INVIAS.
Plan Estratégico de Seguridad Informática y de la Información
5.28.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ A partir del análisis del código fuente de las aplicaciones certificar que no existe código malicioso, fugas de información y
errores en el desarrollo de software que permitan generar fallas de seguridad.
❖ Verificar que las aplicaciones a ser analizadas no se encuentren instaladas por defecto.
❖ Efectuar el fortalecimiento de las interfaces de administración de las aplicaciones, a través del cambio de rutas de acceso,
puertos, usuarios, contraseñas y roles.
5.28.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya los dominios doce (12) y catorce (14) del anexo A de la norma ISO/IEC 27001:2013.
5.28.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Terceros proveedores de sistemas de información.
5.29 ASEGURAMIENTO DE PLATAFORMA: ESTACIONES DE USUARIO
5.29.1 Descripción
El objetivo es realizar el aseguramiento de la plataforma tecnológica, en el componente de estaciones de usuario;
adicionalmente, apoyar la mitigación de vulnerabilidades detectadas en este componente durante la ejecución del proyecto de
análisis de vulnerabilidades técnicas, obteniendo así un fortalecimiento de la plataforma tecnológica del Instituto Nacional de
Vías INVIAS.
5.29.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Realizar la configuración de protocolos, puertos y servicios necesarios para el desarrollo de las labores en las estaciones de
usuario del Instituto.
❖ Establecer políticas de dominio y listas de acceso que rijan las configuraciones de las estaciones de usuario.
Plan Estratégico de Seguridad Informática y de la Información
❖ Renombrar las cuentas de administrador y proteger o deshabilitar las cuentas de invitado en las estaciones de usuario, con
el fin mitigar los riesgos relacionados con los nombres de usuario y cuentas por defecto.
❖ Verificar y optimizar los procesos y servicios de arranque de los sistemas operativos de las estaciones de usuario.
❖ Actualizar los componentes de software y los parches de seguridad de las estaciones de usuario siguiendo los lineamientos
para la gestión del cambio.
❖ Habilitar y personalizar los mecanismos de auditoria y monitoreo de las estaciones de usuario, considerando aspectos como
la generación de registros sobre las acciones de los administradores, eliminación de registros de auditoria y acceso a
diferentes elementos del sistema.
❖ Seguir buenas prácticas y guías de aseguramiento de acuerdo con el sistema operativo con el que cuenten las estaciones
de usuario.
5.29.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya los dominios once (11) y doce (12) del anexo A de la norma ISO/IEC 27001:2013.
5.29.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como responsable por la Plataforma Tecnológica y los Sistemas de Información).
5.30 SEGMENTACION DE RED A NIVEL DE COMUNICACIONES (ROUTERS, SWITCHES)
5.30.1 Descripción
Tiene como objetivo realizar y/o revisar la segmentación de red, a través de la identificación de los recursos de la plataforma
tecnológica que así lo requieren, debido al servicio que proveen o a la sensibilidad de la información que almacenan y/o
procesan del Instituto Nacional de Vías INVIAS.
5.30.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Definir los segmentos de la red por áreas funcionales que componen el Instituto, ayudando así a identificar y separar los
perfiles de usuario que componen cada una de estas áreas.
❖ Definir segmentos adicionales por los cuales circulará tráfico relacionado únicamente a servicios, voz y vídeo (los dos últimos
podrían ir en uno solo).
Plan Estratégico de Seguridad Informática y de la Información
❖ Determinar sobre cada uno de los segmentos la distribución de los recursos tecnológicos, conforme al servicio que prestan,
definiendo de esta manera cuáles deben ser accedidos única y exclusivamente desde el interior de la red, y cuáles podrían
recibir conexión desde el exterior de la misma, y de esta manera adecuar las necesidades de uso de la DMZ.
❖ Documentar la segmentación definida de tal manera que se pueda seguir a futuro un control de cambios sobre la misma.
❖ Identificar la necesidad de adquisición de equipos de comunicaciones faltantes como routers o switches, con el fin de poner
en marcha la segmentación definida de acuerdo con los procesos o procedimientos de control de cambios.
5.30.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya el dominio trece (13) del anexo A de la norma ISO/IEC 27001:2013.
5.30.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como responsable por la Plataforma Tecnológica y los Sistemas de Información).
5.31 REVISIÓN Y AJUSTE DE LOS DISPOSITIVOS DE SEGURIDAD (FIREWALL, IDS, IPS)
5.31.1 Descripción
Tiene como objetivo la revisión de la configuración de los dispositivos de seguridad y realización de ajustes de ser necesario, a
través de la identificación de los recursos de la plataforma tecnológica que así lo requieren, debido al servicio que proveen o a
la sensibilidad de la información que almacenan y/o procesan del Instituto Nacional de Vías INVIAS.
5.31.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Verificar en la configuración del Firewall el tráfico entrante y saliente, con el fin de identificar mejoras en los filtros de tráfico
a partir de estándares de seguridad y recomendaciones del proveedor del componente; adicionalmente, se debe validar que
los puertos abiertos en la configuración del Firewall estén autorizados y aun se encuentren en uso.
❖ Evaluar las políticas configuradas en el IDS e IPS, con el fin de definir si se cumple con los objetivos de detección y prevención
de intrusos planteados inicialmente.
❖ Realizar los ajustes identificados sobre los dispositivos de Firewall, IDS e IPS, considerando efectuar un monitoreo constante
sobre los cambios realizados.
Plan Estratégico de Seguridad Informática y de la Información
5.31.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya los dominios trece (13) y dieciocho (18) del anexo A de la norma ISO/IEC 27001:2013.
5.31.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como responsable por la Plataforma Tecnológica y los Sistemas de Información).
5.32 MIGRACIÓN DEL PROTOCOLO DE CONECTIVIDAD IPv4 A IPv6
5.32.1 Descripción
Tiene como propósito dar cumplimiento a un requerimiento del Modelo de Seguridad y Privacidad de Gobierno en Línea (Hoy
Gobierno Digital), para las entidades del estado colombiano con miras a lograr objetivos de innovación tecnológica.
5.32.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto, acogiendo lo propuesto por la
Guía Transición de IPV4 a IPV6 para Colombia de Gobierno en Línea (GEL) (Hoy Gobierno Digital):
❖ Realizar el diagnóstico de la situación actual y planear la implementación de IPv6. Algunas de las principales actividades
son:
➢ Elaboración y/o validación del inventario de activos de información de servicios tecnológicos (hardware y software),
identificando cuáles equipos soportan IPv6, cuales requieren actualizarse y cuáles no soportan el nuevo protocolo.
➢ Análisis, diseño y desarrollo del plan de diagnóstico del protocolo IPv4 a IPv6.
➢ Identificación de la topología de red y evaluación del grado de afinamiento del protocolo IPv6 a nivel de hardware y
software con miras a preparar la nueva infraestructura de red.
➢ Generación del plan detallado del proceso de transición hacia IPv6.
➢ Planeación de la migración de los siguientes servicios tecnológicos: Servicio de Resolución de Nombres (DNS), Servicio
de Asignación Dinámica de Direcciones IP (DHCP), Directorio Activo, Servicios WEB, Servidores de Monitoreo, Validación
del Servicio de Correo Electrónico, Validación del Servicio de la Central Telefónica, Servicio de Backups, Servicio de
Comunicaciones Unificadas e Integración entre Sistemas de Información.
➢ Validación del estado actual de los sistemas de información, los sistemas de comunicaciones y evaluación de la
interacción entre ellos cuando se adopte el protocolo IPv6.
➢ Identificación de la configuración y los esquemas de seguridad de la red de comunicaciones y sistemas de información.
➢ Revisión de las políticas de enrutamiento para IPv6 entre los segmentos de red internos, previa evaluación de los mismos.
Plan Estratégico de Seguridad Informática y de la Información
➢ Validación previa de la infraestructura tecnológica que permita medir el grado de avance en la adopción del
protocoloIPv6.
➢ Establecimiento del protocolo de pruebas para la validación de aplicativos, equipos de comunicaciones, plan de
seguridad y coexistencia de los protocolos IPv4 e IPv6.
➢ Capacitación a funcionarios de los Grupos de TI en IPv6 y sensibilización al personal del Instituto a fin de dar a conocer
el nivel de impacto del nuevo protocolo.
❖ Implementar el protocolo IPv6. Algunas de las principales actividades son:
➢ Habilitación del direccionamiento IPv6 para cada uno de los componentes de hardware y software.
➢ Montaje, ejecución y corrección de configuraciones del piloto de pruebas de IPv6, simulando el comportamiento de la
red de comunicaciones, agregando carga, servicios y usuarios finales.
➢ Aplicación del modelo de transición de IPv6 en la red, permitiendo la coexistencia de los protocolos IPv4 e IPv6.
➢ Validación de la funcionalidad de los siguientes servicios y aplicaciones sobre IPv6: Servicio de Resolución de Nombres
(DNS), Servicio de Asignación Dinámica de Direcciones IP (DHCP), Directorio Activo, Servicios WEB, Servidores de
Monitoreo, Validación del Servicio de Correo Electrónico, Validación del Servicio de la Central Telefónica, Servicio de
Backups, Servicio de Comunicaciones Unificadas, Servicios VPN, Integración entre Sistemas de Información, Sistemas
de Almacenamiento, servicios de administración de red.
➢ Activación de las políticas de seguridad de IPv6 en los equipos de seguridad y comunicaciones (servidores AAA, firewalls,
NAC, y equipos perimetrales de conformidad con los RFC de seguridad en IPv6).
➢ Trabajo en coordinación con el (los) proveedor (es) de servicios de Internet para lograr la conectividad integral en IPv6
desde el interior de las redes LAN, hacia el exterior de las redes WAN.
❖ Probar la funcionalidad de IPv6. Algunas de las principales actividades son:
➢ Pruebas y monitoreo de la funcionalidad de IPv6 en los sistemas de información, sistemas de almacenamiento, sistemas
de comunicaciones y servicios.
➢ Análisis de información y pruebas de funcionalidad del nuevo protocolo frente a las políticas de seguridad perimetral, de
servidores de cómputo, servidores de comunicaciones y equipos de comunicaciones.
➢ Afinamiento de las configuraciones de hardware, software y servicios.
➢ Elaboración de un inventario final de servicios, aplicaciones y sistemas de comunicaciones bajo el funcionamiento del
protocolo IPv6.
5.32.3 Tiempo estimado de ejecución
El tiempo de ejecución para este proyecto debe ser establecido por la Oficina Asesora de Planeación del Instituto, acorde con
los requerimientos de cumplimiento exigidos por el Modelo de Seguridad y Privacidad de Gobierno en Línea (Hoy Gobierno
Digital) y los ajustes a los cronogramas de MIPG, en especial la parte correspondiente al plan y estrategia de transición de IPv4
a IPv6.
Plan Estratégico de Seguridad Informática y de la Información
5.32.4 Dominio de la Norma ISO/IEC 27001:2013 que cubre
Este proyecto apoya un requerimiento del Modelo de Seguridad y Privacidad de GEL (Hoy Gobierno Digital) no contemplando
en el Anexo A de la norma ISO/IEC 27001:2013.
5.32.5 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como responsable por la Plataforma Tecnológica y los Sistemas de Información).
5.33 CONTROL DE VERSIONES DE CODIGO FUENTE DE LOS SISTEMAS DE INFORMACION
5.33.1 Descripción
Tiene como propósito establecer un mecanismo de control para mantener un historial de cambios sobre los programas de
código fuente de los sistemas de información del INVIAS, permitiendo su utilización para el desarrollo futuro de manera vigilada.
5.33.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Definir la herramienta de mercado para control de versiones de programas de código fuente.
❖ Definir si los mecanismos de almacenamiento de los programas de código fuente que deba gestionar la herramienta serán
centralizados o distribuidos.
❖ Asignar un responsable del sistema de control de versiones y definir sus responsabilidades.
❖ Generar y establecer el procedimiento o instructivo para realizar cambios sobre los programas de código fuente almacenados
en la herramienta seleccionada.
❖ Verificar con una periodicidad establecida el registro histórico de las acciones realizadas con cada programa o conjunto de
programas.
5.33.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya los dominios nueve (9) y catorce (14) del Anexo A de la norma ISO/IEC 27001:2013.
5.33.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
Plan Estratégico de Seguridad Informática y de la Información
❖ Oficina Asesora de Planeación (como responsable por la Plataforma Tecnológica y los Sistemas de Información).
5.34 REVISION DE CODIGO FUENTE DE LOS SISTEMAS DE INFORMACION
5.34.1 Descripción
Tiene como objetivo garantizar que el código fuente de los sistemas de información del Instituto Nacional de Vías INVIAS esté
libre de problemas de seguridad, con el fin de evitar posibles ataques y fraudes. Este análisis debe ser constante y pre-requisito
para la publicación de código en el ambiente de producción.
5.34.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Definir o actualizar la metodología de revisión del código fuente de los sistemas de información del Instituto.
❖ Definir las herramientas de revisión de código a ser utilizadas.
❖ Ejecutar análisis manuales y automatizados a los sistemas de información del INVIAS.
❖ Documentar los hallazgos de los análisis realizados.
❖ Generar el plan de remediación para las situaciones encontradas.
❖ Realizar una revisión post corrección de los hallazgos.
5.34.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya el dominio catorce (14) del Anexo A de la norma ISO/IEC 27001:2013.
5.34.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como responsable por la Plataforma Tecnológica y los Sistemas de Información).
5.35 SEGURIDAD EN EL INTERCAMBIO DE INFORMACIÓN
5.35.1 Descripción
El objetivo es mantener la seguridad de la información que se intercambia tanto dentro como fuera de las instalaciones del
Instituto Nacional de Vías INVIAS.
Plan Estratégico de Seguridad Informática y de la Información
5.35.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Identificar y establecer la herramienta adecuada para aplicar controles criptográficos en el intercambio de información de
acuerdo con las necesidades y considerando aspectos como algoritmos de cifrado, tipo de licencia y evaluando alternativas
posibles como PGP, GPG, VeraCrypt y BitLocker.
❖ Almacenar las llaves criptográficas y las copias de seguridad de las mismas en un repositorio central, el cual debe contar
con protección contra modificación, pérdida o destrucción.
❖ Establecer los lineamientos para el uso adecuado de los controles criptográficos, considerando aspectos relacionados con
legislación y necesidad de uso.
❖ Instaurar acuerdos de intercambio de información entre partes externas y el Instituto, considerando los lineamientos de uso
de los controles criptográficos y consecuencias legales por el manejo inadecuado de la información.
5.35.3 Dominio de la Norma ISO/IEC 27001:2013 que cubre
Este proyecto apoya los dominios ocho (8), trece (13) y quince (15) del anexo A de la norma ISO/IEC 27001:2013.
5.35.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Terceros proveedores de servicios con los cuales hay intercambio de información. ❖ Supervisores de Contratos con Terceros.
5.36 DEFINICIÓN Y ESTABLECIMIENTO DE ACUERDOS DE NIVELES DE SERVICIO
5.36.1 Descripción
Tiene como propósito la definición y establecimiento de Acuerdos de Niveles de Servicio (ANS), donde se consideren los
objetivos, niveles de servicio, estructuras organizacionales, niveles de escalamiento y responsabilidades del proveedor del
servicio y el Instituto Nacional de Vías INVIAS.
5.36.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
Plan Estratégico de Seguridad Informática y de la Información
❖ Definir el diseño de la estructura de Acuerdo de Nivel de Servicio (ANS) más adecuado para satisfacer las necesidades del
Instituto, considerando opciones como servicio, cliente y multinivel.
❖ Definir los requisitos del nivel de servicio considerando aspectos como soluciones, resultados y objetivos deseados, con el
fin de cumplir adecuadamente los Acuerdos de Niveles de Servicio (ANS).
❖ Establecer los Acuerdos de Niveles de Servicio (ANS) de acuerdo con el diseño y los requisitos de nivel de servicio
seleccionados.
❖ Monitorear el rendimiento de los Acuerdos de Niveles de Servicio (ANS) con el fin de verificar el cumplimiento de los mismos
y la satisfacción de los usuarios; asimismo, con los resultados obtenidos de la labor de monitoreo se pueden examinar y
ajustar los acuerdos con el objetivo de mejorar la prestación de los servicios.
5.36.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya parcialmente los dominios catorce (14) y quince (15) del anexo A de la norma ISO/IEC 27001:2013.
5.36.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Supervisores de Contratos con Terceros.
5.37 CONTROLES SOBRE LOS TERCEROS
5.37.1 Descripción
Tiene como objetivo mantener la seguridad de la información en los servicios de procesamiento y almacenamiento de
información del Instituto Nacional de Vías INVIAS a los cuales tienen acceso terceras partes o personal provisto por estas.
5.37.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Identificar los riesgos con terceras partes o con personal provisto por ellas, para la información y, los servicios de
procesamiento y almacenamiento de la misma.
❖ Implementar los controles lógicos y físicos necesarios para proteger la información que no debe ser accesible a terceras
partes o a personal provisto por ellas.
Plan Estratégico de Seguridad Informática y de la Información
❖ Establecer los requisitos legales y obligaciones contractuales que se deberían tener en cuenta en las relaciones con terceras
partes o personal provisto por ellas, incluyendo temas como el cumplimiento de las políticas de seguridad, acuerdos o
clausulas para el intercambio de información y acuerdos o cláusulas de confidencialidad.
❖ Implantar y divulgar las funciones y responsabilidades frente a la seguridad de la información, que le competen al personal
provisto por terceras partes que cuente con acceso a la plataforma tecnológica o la información contenida en ella.
❖ Establecer en el proceso de finalización de contrato, aspectos referentes a la entrega de bienes, información, derechos de
acceso y puestos de trabajo de manera formal, por parte del personal provisto por terceras partes.
❖ Monitorear el cumplimiento de los Acuerdos de Niveles de Servicio con el fin de verificar el cumplimiento de los niveles de
servicio acordados y la satisfacción de los usuarios frente a estos, con el objetivo de proponer mejoras sobre los mismos.
5.37.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya los dominios ocho (8), nueve (9), once (11), trece (13), catorce (14) y quince (15) del anexo A de la norma
ISO/IEC 27001:2013.
5.37.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la Plataforma Tecnológica y los Sistemas de Información). ❖ Supervisores de Contratos con Terceros.
5.38 ANALISIS DE IMPACTO AL NEGOCIO (BUSINESS IMPACT ANALYSIS – BIA)
5.38.1 Descripción
Tiene como propósito realizar un Análisis de Impacto al Negocio (BIA – Business Impact Analysis) por medio de la identificación,
categorización y priorización de los procesos misionales, evaluando la no disponibilidad de los mismos, al interior del Instituto
Nacional de Vías INVIAS.
5.38.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Identificar los procesos misionales del Instituto para su supervivencia en el momento de una interrupción, teniendo en
cuenta cuales de ellos son claves para que entren en operación rápidamente.
❖ Establecer los puntos y tiempos objetivos de recuperación. El Punto Objetivo de Recuperación (Recovery Point Objective -
RPO) representa la tolerancia a la pérdida de información que se puede presentar durante la interrupción de un proceso y
Plan Estratégico de Seguridad Informática y de la Información
permite establecer el punto en el tiempo al cual la información debe ser recuperado, en caso de presentarse un siniestro. El
Tiempo Objetivo de Recuperación (Recovery Time Objective – RTO) representa el periodo de tiempo requerido para que se
restablezca la operación de sus servicios de red, sistemas de información o recursos tecnológicos y sus funciones, después
de presentarse un evento contingente.
❖ Recolectar la información para lograr el entendimiento de las actividades realizadas al interior de los procesos evaluados,
con personas que forman parte de cada uno de ellos. Valorar los impactos: legal, financiero, operacional y reputacional para
cada proceso.
❖ Consolidar la información recolectada, analizarla y presentar cifras para los impactos evaluados.
❖ Analizar y presentar los hallazgos por proceso sobre los puntos objetivos de recuperación y tiempos objetivos de recuperación
definidos (RPO y RTO respectivamente).
❖ Establecer la importancia de los procesos, definiendo los niveles de criticidad. Dicha importancia permite establecer la
prioridad para restablecer los procesos dentro del tiempo de interrupción permitido.
❖ Identificar los servicios de red, sistemas de información y recursos tecnológicos asociados a los procesos identificados con
mayor criticidad para poder elaborar un Plan de Contingencia Tecnológica que permita su recuperación.
❖ Identificar los tiempos críticos de operación, para posteriormente, al establecer las estrategias de recuperación, poder
determinar la disponibilidad que deben tener los servicios, aplicativos y recursos tecnológicos durante los tiempos críticos
de operación.
❖ Identificar procesos alternos que permitan continuar operando en caso de presentarse una interrupción.
5.38.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya un requerimiento del Modelo de Seguridad y Privacidad de GEL no contemplando en el Anexo A de la norma
ISO/IEC 27001:2013.
5.38.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). ❖ Terceros expertos.
5.39 CONTINGENCIA TECNOLÓGICA
5.39.1 Descripción
Tiene como propósito restaurar los servicios de red, recursos tecnológicos y sistemas de información asociados a los procesos
identificados con mayor criticidad del Instituto Nacional de Vías INVIAS, de forma rápida, eficiente y con el menor costo y
pérdidas posibles, tomando como insumos los resultados del análisis de riesgos y del Análisis de Impacto al Negocio (BIA).
Plan Estratégico de Seguridad Informática y de la Información
5.39.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Determinar los servicios de red, sistemas de información y recursos tecnológicos críticos y utilizar los resultados del análisis
de riesgos para conocer las principales amenazas a la seguridad y/o operación de dichos servicios, sistemas y recursos.
❖ Establecer los requisitos de recuperación, a través de un Plan de Respaldo, el cual contempla los controles
preventivos antes de que se materialice una amenaza identificada en el análisis de riesgos. Algunas de las principales
actividades son:
➢ Establecimiento del centro alterno
➢ Establecimiento de contratos de alquiler de equipos, canales alternos de comunicaciones y Acuerdos de Niveles de
Servicio (ANS)
➢ Verificación de la existencia y cubrimiento de las pólizas de seguro
➢ Establecimiento de procedimientos de recuperación y vuelta a la normalidad, consistentes con los escenarios y
estrategias de recuperación definidos.
➢ Actualización permanente y mantenimiento del inventario de software
➢ Mantenimientos periódicos a los equipos de cómputo y las utilidades de soporte
➢ Realización de copias de respaldo tanto de información como de configuraciones
➢ Garantía de custodia externa de las copias de respaldo
➢ Revisiones periódicas de las copias de respaldo
➢ Simulacros por desastres naturales
➢ Simulacros por fallas graves de las comunicaciones o la plataforma tecnológica
❖ Definir las acciones a seguir en el evento de una contingencia tecnológica, a través de un Plan de Emergencia, el cual
contempla las contramedidas y controles necesarios durante la materialización de una amenaza, o inmediatamente
después con el fin de mitigar los efectos adversos de la amenaza, de manera consistente con las estrategias de recuperación
establecidas. Entre estas actividades se encuentran:
➢ Activación del grupo encargado de la contingencia tecnológica
➢ Activación del centro alterno, canales alternos de comunicaciones y de los contratos de alquiler de equipos informáticos
➢ Gestión de los incidentes informáticos
➢ Re-direccionamiento de las comunicaciones
➢ Restauración de las copias de respaldo según la prioridad de recuperación identificada
➢ Reanudación de las operaciones desde el centro alterno
❖ Restablecer las operaciones normales, a través de un Plan de Recuperación, el cual contempla las medidas
necesarias después de materializada y controlada la amenaza, con el fin de restaurar los servicios de red, sistemas de
información y recursos tecnológicos tal y como se encontraban antes de la materialización de la amenaza. Algunas de sus
actividades se relacionan a continuación:
➢ Evaluación de daños
Plan Estratégico de Seguridad Informática y de la Información
➢ Traslado de datos desde el centro alterno a las instalaciones habituales
➢ Recuperación y reanudación de las actividades
➢ Desactivación del centro alterno, canales alternos de comunicaciones y de los contratos de alquiler de equipos
➢ Reclamaciones a la compañía de seguros
❖ Revisar y actualizar los Planes de Contingencia Tecnológica.
5.39.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya parcialmente el dominiodiecisiete (17) del anexo A de la norma ISO/IEC 27001:2013.
5.39.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como responsable por la Plataforma Tecnológica y los Sistemas de Información).
5.40 GESTIÓN DE INCIDENTES
5.40.1 Descripción
Tiene como propósito que todos los incidentes relacionados con seguridad de la información se comuniquen formalmente, se
analicen, se contengan, se investiguen y sean solucionados, tomando las acciones correctivas correspondientes de manera
oportuna.
5.40.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Establecer canales para el reporte de eventos de seguridad de la información.
❖ Clasificar los eventos que corresponden y no corresponden a incidentes de seguridad de la información.
❖ Definir y establecer procedimientos para asegurar una adecuada gestión de los incidentes de seguridad de la información,
considerando aspectos como el tratamiento del incidente y la recolección de evidencia cuando así se requiera. De ser
necesario, poner denuncia ante las autoridades competentes.
❖ Capacitar al personal sobre que es un incidente de seguridad de la información y cuál es el procedimiento que se debe
seguir en caso de presentarse uno.
❖ Establecer los mecanismos que se usaran para la recolección de evidencias.
❖ Instaurar mecanismos para cuantificar y monitorear todos los tipos, volúmenes y costos de los incidentes de seguridad de
la información.
Plan Estratégico de Seguridad Informática y de la Información
❖ Generar una base de conocimiento y futura consulta, con la documentación de los incidentes de la seguridad de la
información presentados, registrando la solución a incidentes resueltos.
5.40.3 Dominio de la Norma ISO/IEC 27001:2013 que cubre
Este proyecto apoya los dominios siete (7) y dieciséis (16) del anexo A de la norma ISO/IEC 27001:2013.
5.40.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI). ❖ Oficina de Control Interno.
5.41 GESTIÓN DEL LICENCIAMIENTO DE SOFTWARE
5.41.1 Descripción
Tiene como propósito evitar el incumplimiento de las leyes relacionadas con derechos de autor y controlar el licenciamiento del
software utilizado en el Instituto Nacional de Vías INVIAS.
5.41.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Establecer procedimientos y controles para asegurar el cumplimiento de la legislación aplicable a material con derechos de
propiedad intelectual.
❖ Definir los responsables de monitorear las licencias utilizadas con una periodicidad establecida.
❖ Deshabilitar las licencias no utilizadas en el momento de dar de baja los equipos de cómputo o reasignarlos.
5.41.3 Dominio de la Norma ISO/IEC 27001:2013 que cubre
Este proyecto apoya parcialmente los dominios siete (7), ocho (8) y dieciocho (18) del anexo A de la norma ISO/IEC 27001:2013.
5.41.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información).
Plan Estratégico de Seguridad Informática y de la Información
5.42 AUDITORIA INTERNA Y/O EXTERNA AL SGSI
5.42.1 Descripción
Tiene como propósito presentar el proceso de las auditorías tanto internas como externas, donde se realice la evaluación del
modelo de seguridad de la Información, incluyendo su alcance, políticas, objetivos, estructura organizacional y los controles de
seguridad implantados por el INVIAS.
5.42.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Definir los objetivos y establecer el alcance de la auditoría.
❖ Si se trata de una auditoría interna, se debe definir el equipo auditor; en caso de una auditoría externa se debe contratar el
equipo auditor con un tercero.
❖ Elaborar el plan de auditoria, estableciendo el tipo de auditoria a realizar, el equipo auditor, las fechas previstas para llevar
a cabo la auditoría, la documentación de referencia y las personas que deben participar en la auditoria.
❖ Preparar la auditoría, llevando a cabo las siguientes actividades:
➢ Establecimiento de la estrategia de la auditoría, por procesos o por controles específicos
➢ Preparación de las listas de verificación con los aspectos que serán auditados
➢ Revisión de la documentación disponible previamente
➢ Preparación de la agenda de trabajo
❖ Ejecutar la auditoría, teniendo en consideración la realización de las siguientes actividades:
➢ Reunión de inicio de la auditoría con el área líder de la misma, presentando los objetivos, el alcance, la metodología, el
grupo de personas a entrevistar y el itinerario
➢ Evaluación de cumplimiento de acuerdo con las listas de chequeo elaboradas
➢ Revisión y análisis de los hallazgos
❖ Elaborar el informe de auditoría y presentar los hallazgos y recomendaciones.
5.42.3 Tiempo estimado de ejecución
El tiempo de ejecución para este proyecto dependerá del tipo de auditoría que se vaya a realizar y se estima que el tiempo
puede oscilar entre dos (2) y tres (3) semanas y del personal que se asigne a esta actividad.
5.42.4 Dominio de la Norma ISO/IEC 27001:2013 que cubre
Este proyecto apoya el numeral nueve (9) y parcialmente el dominio dieciocho (18) del anexo A de la norma ISO/IEC
27001:2013.
Plan Estratégico de Seguridad Informática y de la Información
5.42.5 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI). ❖ Oficina de Control Interno o Equipo de trabajo de Auditoria Externa.
5.43 REVISIÓN DE DOCUMENTACIÓN DEL SGSI Y DE LOS REQUERIMIENTOS DE GEL (Gobierno Digital)
5.43.1 Descripción
Busca realizar la revisión de la documentación del Sistema de Gestión de Seguridad de la Información (SGSI), dado que, el Instituto Nacional de Vías INVIAS deberá cumplir con los requisitos exigidos por él y por el Modelo de Seguridad y Privacidad de Gobierno en Línea (GEL) para posteriormente operar, hacer seguimiento, revisar, mantener y mejorar el SGSI.
5.43.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar:
❖ Reevaluar o confirmar el alcance del SGSI. ❖ Evaluar el cumplimiento de la política y objetivos del SGSI. ❖ Aplicar nuevos análisis de acuerdo con la metodología de gestión de riesgos definida. ❖ Identificar, valorar y/o revalorar el inventario de activos de información para el alcance definido. ❖ Analizar y evaluar los riesgos de seguridad para los activos de información del alcance definido, teniendo en cuenta el análisis
de riesgo ya existente y considerando aspectos referentes a cambios en los procesos, los activos de información, la tecnología, nuevas amenazas y la efectividad de los controles implementados.
❖ Reevaluar y, de ser necesario, ajustar el plan de tratamiento de riesgos en función de los controles del Anexo A de la norma ISO/IEC27001:2013.
❖ Reevaluar y, de ser necesario, ajustar la declaración de aplicabilidad. ❖ Reevaluar el modelo de seguridad y la documentación que lo conforma (políticas, normas y procedimientos del SGSI,
organización de la seguridad). ❖ Obtener la aprobación del modelo de seguridad y de la implementación y operación del SGSI en caso de realizar cambios en
este.
5.43.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya los numerales cuatro (4) y seis (6) de la norma ISO/IEC 27001:2013 que tratan sobre el Sistema de Gestión
de Seguridad del Información, sus requisitos, establecimiento y gestión; adicionalmente, apoya los dominios siete (7) y
dieciocho (18) del anexo A de la misma norma.
Plan Estratégico de Seguridad Informática y de la Información
5.43.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Comité Institucional de Desarrollo y Gestión. ❖ Oficina Asesora de Planeación (como líder del SGSI).
5.44 REVISIÓN Y MEDICIÓN DE INDICADORES
5.44.1 Descripción
Tiene como objetivo la revisión y medición de los indicadores del modelo de seguridad de la información del Instituto Nacional
de Vías INVIAS, con el objetivo de monitorear sus métricas frente a su eficacia y eficiencia.
5.44.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Revisar y medir los indicadores existentes de acuerdo con los registros generados en cada uno de ellos durante el periodo
de tiempo que han estado en uso y no han sido revisados, con el fin de verificar si el objetivo del indicador se cumple o si el
mismo requiere un ajuste de acuerdo con su comportamiento.
❖ Ajustar los indicadores si estos no generan valor al modelo de seguridad de la información, considerando aspectos como la
madurez del modelo y la información considerada como relevante en el mismo.
5.44.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya el numeral nueve (9) de la norma ISO/IEC 27001:2013.
5.44.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI).
5.45 REVISIÓN Y AJUSTES DEL ANALISIS DE RIESGOS Y PLAN DE TRATAMIENTO
5.45.1 Descripción
Busca revisar y ajustar el análisis de riesgos y plan de tratamiento existentes en el Instituto Nacional de Vías INVIAS, con el fin
Plan Estratégico de Seguridad Informática y de la Información
de identificar nuevos riesgos o cambios en los niveles de riesgos por cambios en los procesos, la plataforma tecnológica o los
controles aplicables.
5.45.2 Actividades a desarrollar
A continuación, se presentan las actividades a desarrollar durante la ejecución de este proyecto:
❖ Reevaluar los niveles de las zonas de riesgo que fueron acordadas y utilizadas para el desarrollo del análisis de riesgo inicial,
con el objetivo de mantener o cambiar la rigurosidad de las mismas.
❖ Notificar que el análisis de riesgos se va a realizar a nivel de procesos, por tipologías de activos de información.
❖ Realizar la valoración de impacto de los tipos de activos frente a la confidencialidad, integridad y disponibilidad, teniendo en
cuenta la metodología usada para el desarrollo del análisis de riesgos de seguridad de la información.
❖ Identificar nuevas o reevaluar las amenazas y vulnerabilidades a las que se ven expuestas los tipos de activos.
❖ Valorar la probabilidad de ocurrencia de la combinación de amenazas y vulnerabilidades.
❖ Valorar el nivel de los riesgos en las zonas establecida y asignar la prioridad de atención (Baja, Moderada, Alta o Muy Alta).
❖ Seleccionar los controles del Anexo A de la norma ISO/IEC 27001:2013 apropiados para mitigar las vulnerabilidades
identificadas y, de ser necesario, controles adicionales.
❖ Establecer un plan de tratamiento de riesgos teniendo en cuenta las opciones de evitar, aceptar o transferir los riegos y la
guía de aplicación de los controles seleccionados.
5.45.3 Dominio de la Norma ISO/IEC 27001:2013
Este proyecto apoya los numerales cuatro (4), seis (6) y ocho (8) de la norma ISO/IEC 27001:2013 y adicionalmente el dominio
ocho (8) de su anexo A.
5.45.4 Implementación y Monitoreo
A continuación, se proponen los roles para llevar a cabo la implementación y/o monitoreo del presente proyecto:
❖ Oficina Asesora de Planeación (como líder del SGSI).
Plan Estratégico de Seguridad Informática y de la Información
En el cuadro siguiente, se resumen las actividades y Plan de Acción en materia de Seguridad de la Información.
❖ PLAN DE ACCION Y CRONOGRAMA DE PROYECTOS
No. PROYECTO DESCRIPCION ACTIVIDADES IMPLEMENTACION
Y MONITOREO
NUMERAL O DOMINIO DE LA NORMA
ISO 27001:2013
QUE CUBRE
TIEMPO ESTIMA
DO (SEMAN
AS)
PERIODO
TIEMPO ESTIMAD
O (SEMANA
S)/ PERIODO
S
1 IMPLEMENTACIÓN Y SEGUIMIENTO DE POLITICAS DE SEGURIDAD
Tiene el objetivo de llevar a cabo la implementación y posterior seguimiento a las políticas de seguridad de la información que se encuentran definidas para el INVIAS, con el fin de obtener el compromiso de todos los funcionarios, contratistas y terceros frente a la seguridad de la información
Desarrollar una política global de seguridad y políticas específicas orientadas a los temas que recomiendan Gobierno en Línea (GEL) y los dominios del Anexo A de la norma ISO/IEC 27001:2013. Aprobar las políticas de seguridad de la información que se han desarrollado para el INVIAS. Divulgar e implementar las políticas de seguridad de la información una vez aprobadas. Dar seguimiento al cumplimiento de las políticas de seguridad de la información, con el fin de verificar su acatamiento y aceptación por parte de los funcionarios y contratistas del instituto. Revisar periódicamente las políticas de seguridad de la información y, realizar ajustes de ser necesario, con el fin de garantizar que son adecuadas y funcionales para el instituto.
Comité de Desarrollo Administrativo. Oficina Asesora de Planeación (como líder del SGSI)
Numeral 5 Todos los
dominios del Anexo A
4 1 4
2 GENERACIÓN DE LA ORGANIZACIÓN DE SEGURIDAD
Tiene como propósito establecer los roles y responsabilidades encargados de la seguridad de la información en el INVIAS desde el nivel directivo hasta el operativo
Verificar si dentro de las funciones del Comité de Desarrollo Administrativo se encuentran la generación de los lineamientos en seguridad de la información y la aprobación de la documentación y las estrategias generadas para la operación del Sistema de Gestión de Seguridad de la Información (SGSI). Fortalecer y reasignar funciones al grupo de trabajo encargado de liderar los aspectos tácticos y operativos relacionados con la seguridad de la información. Dar a conocer a las áreas o grupos de trabajo con responsabilidad indirecta sobre temas relacionados con seguridad de la información sus responsabilidades, de acuerdo con lo establecido por la norma ISO/IEC 27001:2013. Estas áreas son, entre otras: la Subdirección Administrativa (en temas relacionados con el talento humano y la seguridad física y medioambiental), la Oficina de Control Interno (en relación con las auditorias y revisiones al SGSI y la Oficina Asesora Jurídica (en la generación de conceptos y revisiones de requisitos propios del SGSI). Documentar formalmente la organización de seguridad de la información en el instituto y divulgar las responsabilidades a los comités, áreas o grupos de trabajo involucrados
Comité de Desarrollo Administrativo. Oficina Asesora de Planeación (como líder del SGSI). Subdirección Administrativa
Dominio 6 4 1 4
Plan Estratégico de Seguridad Informática y de la Información
3
DOCUMENTACIÓN DEL SGSI Y CUMPLIMIENTO CON LOS REQUERIMIENTOS DE GEL
Busca el desarrollo de la documentación correspondiente al Sistema de Gestión de Seguridad de la Información (SGSI) en cumplimiento a los requisitos del Modelo de Seguridad y Privacidad de Gobierno en Línea (GEL), necesaria para posteriormente operar, dar seguimiento, revisar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información (SGSI).
Definir alcance del Sistema de Gestión de Seguridad de la Información (SGSI). Definir política y objetivos del Sistema de Gestión de Seguridad de la Información (SGSI). Identificar los requisitos legales exigidos al INVIAS en términos de protección de la información. Aplicar la metodología de gestión de riesgos de seguridad de la información. Identificar, valorar y generar el inventario de activos de información para el Proceso de Gestión de tecnologías de información y comunicaciones. Analizar y evaluar los riesgos de seguridad para el Proceso de Gestión de tecnologías de información y comunicaciones, considerando aspectos referentes a cambios en el proceso, los activos de información, la plataforma tecnológica, nuevas amenazas y efectividad de los controles implementados. Generar el plan de tratamiento de riesgos en función de los controles del Anexo A de la norma ISO/IEC 27001:2013. Generar la Declaración de Aplicabilidad. Elaborar los documentos restantes del Modelo de Seguridad (políticas, normas y procedimientos del SGSI). Obtener la aprobación del Modelo de Seguridad y de la implementación y operación del SGSI. Propiciar la integración del SGSI con otros Sistemas de Gestión del INVIAS.
Comité de Desarrollo Administrativo. Oficina Asesora de Planeación (como líder del SGSI).
Numerales 4 y 6
8 1 8
4 GENERACIÓN DE INDICADORES
Se basa en la generación de indicadores para el modelo de seguridad de la información del Instituto Nacional de Vías INVIAS, con el objetivo de adquirir métricas frente a su eficacia y eficiencia
Identificar y generar los indicadores más adecuados para el modelo de seguridad de la información del instituto, considerando las recomendaciones del Modelo de Seguridad y Privacidad de GEL y la madurez del modelo en el INVIAS. Implementar los indicadores generados, con el fin de generar registros en cada uno de ellos. Monitorear los indicadores creados de acuerdo con los registros generados en cada uno de ellos, con el fin de verificar si el objetivo del indicador se cumple o si el mismo requiere un ajuste de acuerdo a su comportamiento; esta actividad se desarrolla con detalle en un proyecto propuesto en este documento
Oficina Asesora de Planeación (como líder del SGSI).
Numeral 6 2 1 2
5
CONTROLES SOBRE LOS FUNCIONARIOS DESDE LA VINCULACIÓN HASTA LA DESVINCULACIÓN
Busca que los funcionarios y contratistas del Instituto Nacional de Vías INVIAS, conozcan la importancia de la seguridad de la información, y de sus funciones y responsabilidades con esta desde el momento de la vinculación con el instituto, hasta el momento de su desvinculación.
Establecer en el proceso de vinculación aspectos a tener en cuenta como la verificación de los roles de las funciones vinculados para saber a qué tipo de información clasificada van a tener acceso y los posibles riesgos. Incorporar en el proceso de inducción a los funcionarios la divulgación de las funciones y responsabilidades frente a la seguridad de la información desde su vinculación, hasta su desvinculación. Definir, en conjunto con la Oficina Asesora Jurídica, los documentos correspondientes a acuerdos o cláusulas confidencialidad durante el proceso de vinculación de funcionarios, con el fin que estos conozcan y acepten la responsabilidad sobre la información a la que tienen acceso y/o procesan. Establecer en el proceso de desvinculación de funcionarios o contratistas, así como los cambios de cargo de funcionarios, aspectos referentes a la entrega de información, derechos de acceso, puestos de trabajo y bienes de manera formal y documentada. Comunicar en el proceso de desvinculación las responsabilidades frente a la seguridad de la información que continúan existiendo.
Comité de Desarrollo Administrativo. Subdirección Administrativa.
Numeral 7 Dominios 7, 8 y
9 16
2 3
8
Plan Estratégico de Seguridad Informática y de la Información
6 CONCIENCIACIÓN Y EDUCACIÓN
Tiene como objetivo llevar a cabo una concienciación y educación realizada por personal interno o externo, con el fin que todos los funcionarios, contratistas y terceros del instituto Nacional de Vías INVIAS tomen conciencia frente a la importancia de la protección de la información dentro de sus actividades y como sus acciones contribuyen a optimizar la seguridad de la información y al logro de los objetivos del Sistema de Gestión de Seguridad de la Información (SGSI)
Generar programas de concienciación de seguridad de la información, considerando aspectos tales como los grupos objetivo, funciones, responsabilidades y habilidades; dichos programas debe considerar que en cada periodo de concienciación y educación se cubran grupos objetivo y temarios específicos, iniciando por grupos de usuario final, hasta alcanzar grupos con conocimientos en seguridad de la información y la Alta Dirección. Desarrollar los programas de concienciación de seguridad de la información, a través de la realización de charlas, folletos, pendones u otra herramienta que se considere, para posteriormente medir su efectividad en cada uno de los grupos objetivo que reflejen los niveles conciencia en seguridad de la información. Revisar periódicamente el nivel de apropiación del Modelo de Seguridad y Privacidad de la información en los funcionarios, contratistas y terceros, a través de métricas, con el fin de identificar la necesidad de reforzar las charlas, sesiones de trabajo, talleres y herramientas utilizadas.
Comité de Desarrollo Administrativo. Oficina Asesora de Planeación (como líder del SGSI). Subdirección Administrativa.
Numeral 7 Dominios 7, 8, 11, 12, 13 y 16
4 1 2 3
4
7 VINCULACIÓN A FOROS Y GRUPOS DE INTERES
Tiene como propósito crear y mantener vínculos con foros y grupos de interés relacionados con seguridad de la información, estándares internacionales y buenas prácticas, aplicables al Instituto Nacional de Vías INVIAS.
Identificar temas de interés relacionados con seguridad de la información, estándares internacionales y buenas prácticas aplicables al instituto. Establecer vínculos con foros y grupos de asociaciones profesionales o entidades reconocidas, como por ejemplo ISACA, ISC2 y NIST, de acuerdo con los temas de interés planteados, con el fin de estar siempre actualizados en nuevas tecnologías, productos, estándares, marcos de referencia, buenas prácticas, amenazas y vulnerabilidades.
Oficina Asesora de Planeación (como líder del SGSI).
Dominio 6 2 3 2
8
GENERACIÓN DE GUIAS DE CLASIFICACIÓN DE LA INFORMACIÓN Y PROCEDIMIENTOS DE MANEJO
El objetivo es generar los lineamientos para llevar a cabo el proceso de clasificación de información, de acuerdo con su grado de sensibilidad e importancia, definiendo guías de clasificación y un conjunto de procedimientos de manejo de la información para el Instituto Nacional de Vías INVIAS.
Definir los criterios de seguridad de la información (confidencialidad, integridad y disponibilidad) por los cuales será clasificada la información. Verificar la legislación vigente en temas de clasificación de la información y, de acuerdo con ella, definir los niveles o categorías en los cuales será clasificada la información en relación con su nivel de sensibilidad. Generar guías o metodologías de clasificación de la información donde se presenten las categorías de clasificación de la información. Especificar para cada categoría de clasificación de información procedimientos de manejo que incluyan, entre otros, acceso, procesamiento, almacenamiento, transmisión, destrucción segura y etiquetado, considerando las tablas de retención documental existentes para el instituto. Divulgar las guías de clasificación de la información y procedimientos de manejo.
Oficina Asesora de Planeación (como líder del SGSI). Subdirección Administrativa.
Dominio 8 4 1 4
9
CLASIFICACIÓN DE LA INFORMACIÓN Y APLICACIÓN DE PROCEDIMIENTOS DE MANEJO
El objetivo proyecto es clasificar la información del INVIAS aplicando las guías de clasificación de la información y los procedimientos de manejo establecidos.
Identificar los propietarios de la información al interior de las áreas o procesos del INVIAS. Clasificar la información en las áreas o procesos de acuerdo con las guías de clasificación de la información. Implantar los procedimientos de manejo establecidos para la información clasificada en cada una de las áreas o procesos.
Oficina Asesora de Planeación (como líder del SGSI). Subdirección Administrativa. Propietarios de los activos de información.
Dominio 8 20 2 3
10
10 GESTIÓN DEL ACCESO LÓGICO
El objetivo es establecer una gestión adecuada del acceso lógico en la plataforma tecnológica, considerando los entornos de usuario y los ambientes de desarrollo, pruebas y producción del Instituto Nacional de Vías INVIAS, con el fin de proteger los servicios de procesamiento y almacenamiento de información.
Instaurar y ejecutar el procedimiento de administración de usuarios y contraseñas a través del cual se formalizan las solicitudes de acceso y los privilegios correspondientes. Implantar los controles de acceso lógico correspondientes de acuerdo con los servicios de red, los componentes de la plataforma tecnológica o los sistemas de información, considerando los riesgos a los que se encuentra expuesta la información contenida en ellos y las políticas de seguridad de la información. Establecer los perfiles y roles de acceso lógico de usuarios o grupos de usuarios, considerando segregación de funciones y limitación de accesos según necesidad de uso, de acuerdo con sus funciones y las políticas de seguridad de la información. Monitorear la efectividad de los controles de acceso lógico implantados, con el objetivo de generar propuestas de mejora de acuerdo con las políticas de seguridad de la información.
Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Propietarios de los Activos de Información. Supervisores de Contratos con Terceros.
Dominios 6, 9 y 12
6 1 6
Plan Estratégico de Seguridad Informática y de la Información
11
REVISIÓN Y AJUSTES DE PERFILES EN SISTEMAS DE INFORMACION, SERVICIOS DE RED Y RECURSOS TECNOLÓGICOS
Tiene como objetivo asegurar que todo el personal con acceso a los sistemas de información, servicios de red, y cualquier recurso de la plataforma tecnológica del Instituto Nacional de Vías INVIAS, cuente con un perfil acorde a las labores y funciones que desempeña.
Revisar los perfiles y roles de acceso lógico de usuarios o grupos de usuarios, de acuerdo con las funciones de cargo y las políticas de seguridad de la información en cada uno de los sistemas de información existentes, servicios de red y recursos tecnológicos, con fin de ratificar o de ser necesario ajustar, los perfiles y roles de acuerdo con los cambios detectados durante la revisión. Llevar a cabo cuando resulte necesario, el ajuste de los perfiles y roles, siguiendo el procedimiento de administración de usuarios y contraseñas por el cual se deben realizar este tipo de cambios, generando registros de control.
Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Propietarios de los Activos de Información. Supervisores de Contratos con Terceros. Subdirección Administrativa.
Dominios 6, 12, 13, 14, 15 y 18
6 1 2
3
12 GESTION DEL ACCESO FISICO
El objetivo es establecer una gestión adecuada del acceso físico para las instalaciones del Instituto Nacional de Vías INVIAS, con el fin de proteger las áreas de almacenamiento y procesamiento de información
Identificar las áreas que pueden considerarse restringidas, teniendo en cuenta el tipo de información que se almacena o procesa y la sensibilidad de dicha información. Evaluar y ajustar los controles de acceso físico existentes, considerando aspectos como las labores correspondientes al cargo y las políticas de seguridad de la información, para las diferentes áreas, especialmente para las áreas identificadas como sensibles, con el fin de permitir acceso solo a personal autorizado. Implementar el procedimiento de control de acceso físico, con el fin de establecer controles sobre el acceso físico y generar registros. Monitorear, de manera periódica, la efectividad de los controles de acceso físico establecidos, con el objetivo de generar propuestas de mejora de acuerdo con las políticas de seguridad de la información y los análisis de riesgos realizados.
Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Subdirección Administrativa.
Dominio 11 4 1 4
13
ESTABLECIMIENTO Y MONITOREO DE LAS CONDICIONES AMBIENTALES
Tiene como objetivo establecer y monitorear las condiciones ambientales y de las instalaciones donde se encuentra la plataforma tecnológica del Instituto Nacional de Vías INVIAS.
Mantener las instalaciones donde se encuentra ubicada la plataforma tecnológica del instituto libre de materiales combustibles o peligrosos como cartón, papel y líquidos inflamables. Evaluar las condiciones de las instalaciones donde se encuentra ubicada la plataforma tecnológica, verificando las condiciones de manejo de incendios, altas temperaturas, humedad, inundaciones, contaminación por polvo y cualquier otra forma de desastre natural o artificial; de ser necesario llevar a cabo la adecuación necesarias. Evaluar las condiciones de seguridad física del instituto para ver si se protegen las instalaciones donde se encuentra ubicada la plataforma tecnológica ante amenazas ambientales y verificar la necesidad de controles adicionales a los existentes. Realizar un monitoreo periódico de las instalaciones donde se encuentra ubicada la plataforma tecnológica, con el objetivo de ratificar o ajustar consideraciones referentes a incendios, altas temperaturas, humedad, inundaciones, contaminación por polvo, materiales combustibles o peligrosos, almacenamiento de equipos de cómputo y medios, y cualquier otro aspecto que pueda afectar las condiciones de las instalaciones.
Oficina Asesora de Planeación (responsable por la plataforma tecnológica y los sistemas de información). Subdirección Administrativa.
Dominio 11 6 1 6
14 SEGURIDAD DE LOS EQUIPOS FUERA DE LAS INSTALACIONES
El objetivo es establecer las medidas de control adecuadas para la movilización fuera de las instalaciones de los equipos de cómputo, dispositivos móviles y cualquier medio electrónico que contenga información correspondiente al Instituto Nacional de Vías INVIAS, con el fin de proteger la información contenida en ellos.
Realizar, en apoyo con el proyecto de concienciación y educación, la divulgación correspondiente de los riesgos a los que se ven expuestos los equipos de cómputo, dispositivos móviles y cualquier otro medio que contenga información, cuando son retirados del instituto. Establecer los mecanismos adecuados con el fin de evitar la fuga de información en los equipos de cómputo, dispositivos móviles y cualquier otro medio que contenga información, a través del uso de controles como los criptográficos.
Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Subdirección Administrativa.
Dominio 11 2 1 2
15 SEGURIDAD EN LA REUTILIZACIÓN DE EQUIPOS
El objetivo es establecer medidas de control seguras para la reutilización de los equipos de cómputo, dispositivos móviles y cualquier medio electrónico que contenga o haya contenido información correspondiente al Instituto Nacional de Vías INVIAS, con el fin de proteger la información contenida en ellos.
Establecer cuáles serán los mecanismos y herramientas para la eliminación de información y reutilización segura de los equipos de cómputo, dispositivos móviles y cualquier medio electrónico que contenga o haya contenido información, considerando métodos como la destrucción física, borrado o sobre-escritura segura y la protección de la información durante la vida útil del dispositivo. Establecer un procedimiento que defina las acciones a seguir en caso de eliminación de información o reutilización de un equipo de cómputo, dispositivo móvil y cualquier medio electrónico que contenga o haya contenido información; dicho procedimiento debe generar registros de las actividades realizadas.
Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información).
Dominios 8, 11 y 18
2 1 2
Plan Estratégico de Seguridad Informática y de la Información
16
MANTENIMIENTO Y PRUEBAS DE UTILIDADES DE SOPORTE Y EQUIPOS DE COMPUTO
El objetivo es la realización de mantenimientos y pruebas en las utilidades de soporte y equipos de cómputo del Instituto Nacional de Vías INVIAS, con el fin de prevenir fallas de hardware.
Realizar periódicamente mantenimientos preventivos y, de ser necesarios correctivos, a todas las utilidades de soporte como sistemas de extinción de incendios, UPS, aire acondicionado, plantas eléctricas y cableado estructurado; además, se deben llevar a cabo mantenimientos periódicos a los equipos de cómputo en general. Generar registros acorde a los mantenimientos, preventivos o correctivos realizados a las utilidades de soporte y equipos de cómputo, en donde se detalle información relacionada con el mantenimiento, como componentes involucrados, motivo de la realización, fecha y tiempo de duración del mantenimiento. Ejecutar periódicamente pruebas a las utilidades de soporte, con el objetivo de garantizar su óptimo funcionamiento; adicionalmente, dichas pruebas deben ser documentadas, detallando siempre los aspectos más relevantes de las mismas.
Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Subdirección Administrativa.
Dominio 11 4 1 2 3
4
17 IMPLEMENTACION DE CONTROLES CRIPTOGRAFICOS
El objetivo es realizar la implementación de controles criptográficos, con el fin de mitigar él envió de información sensible en texto claro, obteniendo así un fortalecimiento de la plataforma tecnológica del Instituto Nacional de Vías INVIAS
Identificar y establecer la herramienta adecuada para aplicar controles criptográficos, considerando aspectos como algoritmos y tipos de llaves criptográficas, y evaluando alternativas como PGP o GPG. Almacenar las llaves criptográficas en un repositorio central, el cual debe contar con protección contra modificación, pérdida o destrucción. Establecer los lineamientos para el uso adecuado de los controles criptográficos. Llevar cabo la implementación de los controles criptográficos considerando los lineamientos para su uso. Definir y establecer procedimientos para la administración de llaves criptográficas, si resulta aplicable, considerando aspectos como fechas finales de uso, retiro de llaves, destrucción de llaves, usuarios autorizados para su uso, registros y auditoria, y copias de respaldo de las mismas.
Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Subdirección Administrativa. Terceros proveedores de sistemas de información.
Dominios 10 y 13
12 3 12
18
DOCUMENTACIÓN Y MANTENIMIENTO DE PROCEDIMIENTOS OPERATIVOS
Tiene como propósito la elaboración, establecimiento y mantenimiento de los procedimientos operativos relacionados con las actividades necesarias para la operación de los aspectos tecnológicos del Instituto Nacional de Vías INVIAS.
Elaborar la documentación correspondiente a los procedimientos de operación y configuración de los diferentes componentes tecnológicos de la plataforma, como encendido y apagado de equipos, generación de copias de respaldo, manejo de medios, gestión de correo electrónico y procedimientos relacionados con seguridad, entre otros. Establecer los procedimientos de operación elaborados, con el fin de llevar a cabo las actividades propias de los aspectos tecnológicos de manera consistente. Mantener los procedimientos de operación, a través del monitoreo de su aplicabilidad, y de ser necesario generar cambios controlados en ellos.
Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información).
Dominios 8, 9, 11, 12, 13, 14 y
16 10
1 2
5
19 GESTIÓN DEL CAMBIO
El objetivo es definir como se deben controlar los cambios en los sistemas operativos, servicios de red, aplicativos y sistemas de procesamiento de información del Instituto Nacional de Vías INVIAS
Formalizar el comité o grupo que revisará y aprobará los cambios en los componentes de la plataforma tecnológica y los sistemas de información. Establecer un procedimiento para el control de cambios el cual considere aprobación formal, evaluación de impactos potenciales, registro de cambios, planificación de cambios y pruebas. Establecer procedimientos de emergencia que incluyan responsabilidades de cancelación, recuperación o eventos anómalos en la realización de cambios en la plataforma tecnológica. Divulgar y establecer los procedimientos de control de cambios, con el objetivo de socializar ante las partes interesadas el cómo se deben llevar a cabo los nuevos cambios. Validar aspectos a tener en cuenta frente a los cambios como actividades, pruebas, operaciones de restauración o rollback, tiempos estimados, resultados esperados y recursos requeridos para ejecutar el cambio. Hacer revisiones posteriores a la realización de los cambios en la plataforma tecnológica y los sistemas de información.
Comité de Planeación Estratégica de TI. Oficina Asesora de Planeación (responsable por la plataforma tecnológica y los sistemas de información).
Dominios 12 y 14
5 2 5
Plan Estratégico de Seguridad Informática y de la Información
20 GENERACIÓN Y VERIFICACIÓN DE COPIAS DE RESPALDO
Busca mantener la integridad y disponibilidad de la información a través de la generación de copias de respaldo y pruebas de restauración de estas, con el fin de garantizar que la información se lograría recuperar después de un desastre o falla que afecte la plataforma tecnológica del Instituto Nacional de Vías INVIAS.
Elaborar el procedimiento de copias de respaldo junto a un formato asociado en el cual se deben consignar los registros de dichas copias. Divulgar y establecer el procedimiento de copias de respaldo junto con el formato asociado. Definir la frecuencia de generación de copias de respaldo considerando aspectos como los requisitos de seguridad de la información involucrada y la importancia de la continuidad en la operación. Definir el sitio de custodia externa y, de ser necesario, suscribir los contratos o convenios para dicha custodia. Establecer períodos para realizar pruebas de restauración de información aleatorias a partir de las copias de respaldo. Determinar el tiempo de retención de las copias de respaldo teniendo en cuenta la importancia de la información respaldada y los requisitos legales que rigen al instituto. Evaluar la necesidad de instaurar controles criptográficos a las copias de respaldo, considerando los requisitos legales aplicables al instituto.
Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información).
Dominios 8 y 12
4 1 4
21 GESTIÓN DE LA CAPACIDAD
El objetivo de este proyecto es mantener la capacidad de los recursos tecnológicos en niveles adecuados, considerando aspectos como tiempos de respuesta, necesidades actuales y necesidades futuras para el Instituto Nacional de Vías INVIAS.
Crear, establecer y mantener un plan de capacidad actualizado que refleje las necesidades presentes y futuras del instituto. Verificar periódicamente el uso de los recursos, capacidad y rendimiento de la plataforma tecnológica y de los servicios provistos por esta. Evaluar las necesidades de capacidad frente a los servicios tecnológicos prestados y las posibilidades de almacenamiento de dichos servicios y de la información asociada (local, en la nube u otras posibilidades). Identificar y remediar los problemas e incidencias de rendimiento y capacidad de la plataforma tecnológica y de los servicios provistos por esta, con el fin de proveer mejoras para el instituto. Llevar a cabo la administración de la plataforma tecnológica y de los servicios provistos por esta, considerando siempre los objetivos y el impacto de estos, frente a los niveles de rendimiento y capacidad actuales. Realizar acciones proactivas con el objetivo de mejorar el rendimiento y la capacidad de la plataforma tecnológica y de los servicios provistos por esta. Generar información estadística del uso de recursos y capacidad de la plataforma tecnológica para utilizar como información de base para las proyecciones de capacidad periódicas.
Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información).
Dominio 12 8 2 8
22 SEPARACIÓN DE AMBIENTES DE PRUEBAS Y PRODUCCIÓN
Tiene como objetivo establecer la separación de los ambientes de pruebas y producción del Instituto Nacional de Vías INVIAS, con el fin mitigar los riesgos que se presentan al contar con ambientes unificados
Evaluar y, de ser posible, establecer la separación lógica y física de los ambientes de pruebas y producción en apoyo con los proyectos de segmentación de red, gestión de acceso lógico y gestión de acceso físico propuestos en este documento. Establecer el procedimiento aplicable y los registros correspondientes al paso entre los ambientes de pruebas y producción. Definir los datos que serán utilizados en el ambiente de pruebas. Acogerse a la gestión de cambios y cuando sea necesario actualizar los ambientes productivos a partir de los ambientes de pruebas.
Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información).
Dominios 12 y 14
8 2 8
Plan Estratégico de Seguridad Informática y de la Información
23
REGISTROS DE AUDITORIA Y CORRELACIÓN DE EVENTOS
Tiene como objetivo la gestión de los registros de auditoria y la correlación de eventos de los diferentes componentes de la plataforma tecnológica y los sistemas de información presentes en el Instituto Nacional de Vías INVIAS.
Definir y establecer las características de la información a ser contenida en los registros de auditoria de los diferentes componentes de la plataforma tecnológica como servidores, dispositivos de seguridad, dispositivos de comunicaciones y equipos de cómputo en general, así como en los sistemas de información con el fin de garantizar que los registros de auditoria puedan llegar a facilitar actividades de investigación y monitoreo. Establecer las herramientas o mecanismos para establecer un repositorio único que permita el análisis de los registros de auditoria previamente definidos para la plataforma tecnológica. Indicar a los terceros proveedores de sistemas de información las definiciones de los registros de auditoria requeridos en los sistemas de información a ser construidos y/o modificados. Establecer el tiempo de retención y los controles de protección adecuados para la conservación de los registros de auditoria, considerando aspectos como la capacidad de los medios donde se almacenan, los tipos de eventos críticos, requerimientos de normas o estándares y los usuarios que cuentan con el perfil adecuado para acceder a ellos. Asignar responsabilidades para el monitoreo y revisión de los registros de auditoría. Elaborar e implantar procedimientos para el monitoreo, correlación y análisis de los registros de auditoria, de acuerdo con las características y tipo de componente de la plataforma tecnológica y los sistemas de información.
Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Terceros proveedores de sistemas de información y de componentes de la plataforma tecnológica. Oficina de Control Interno.
Dominios 12 y 18
16 2 3
8
24 ANÁLISIS DE VULNERABILIDADES TÉCNICAS
Tiene como objetivo realizar un análisis de vulnerabilidades técnicas sobre la plataforma tecnológica del Instituto Nacional de Vías INVIAS, con el fin de identificar brechas de seguridad a través de la explotación de vulnerabilidades, para que estas conlleven a una posterior reducción de dichas brechas de seguridad, reflejándose en mejoras en la eficacia y eficiencia de los controles.
Realizar recopilación de información, con el objetivo de identificar objetivos específicos (servidores, enrutadores, firewalls, accesos externos, entre otros) en las redes que serán objeto del análisis de vulnerabilidades técnicas. Llevar a cabo un proceso de enumeración, con el fin de obtener y clasificar los posibles vectores de ataque. Ejecutar un análisis de la información y resultados del proceso de enumeración, para determinar posibles brechas de seguridad o falsos positivos en los vectores de ataque definidos. Efectuar la explotación o ataque a los objetivos seleccionados, aprovechando las vulnerabilidades descubiertas y determinando el impacto de las mismas en los activos donde se encuentran. Elaborar un documento donde se informen detalladamente los resultados obtenidos durante todo el proceso de análisis de vulnerabilidades técnicas, como las vulnerabilidades detectadas, el impacto de cada una de ellas y las medidas a tomar para su posterior remediación.
Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información). Terceros proveedores de sistemas de información y de componentes de la plataforma tecnológica.
Dominios 12, 13, 14 y 18
5 1 2 3
5
25 DEFINICIÓN DE ESTANDARES DE SEGURIDAD
Tiene como objetivo establecer estándares de seguridad, en los diferentes componentes de la plataforma tecnológica del Instituto Nacional de Vías INVIAS.
Seleccionar estándares de seguridad aplicables a la plataforma tecnológica. Del INVIAS, tomando como referencia guías de aseguramiento elaboradas por asociaciones profesionales o institutos con reconocimiento internacional, por ejemplo NIST. Ajustar los estándares a las necesidades del INVIAS y a sus características de particulares de funcionalidad de la plataforma tecnológica. Ejecutar los estándares y realizar pruebas en ambientes provistos para este fin a los componentes de la plataforma tecnológica involucrados. Implementar los estándares de acuerdo con los lineamientos de control de cambios y validar el éxito de la puesta en producción de los componentes de la plataforma tecnológica involucrados.
Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información). Terceros proveedores de sistemas de información y de componentes de la plataforma tecnológica.
Dominios 12, 13, 14 y 18
4 1 4
Plan Estratégico de Seguridad Informática y de la Información
26 DEFINICIÓN Y APLICACIÓN DE ESTANDARES DE DESARROLLO SEGURO
Tiene como objetivo establecer y aplicar estándares para el desarrollo seguro de software en el Instituto Nacional de Vías INVIAS.
Identificar riesgos de seguridad en los lenguajes de desarrollo de las aplicaciones, considerando técnicas de ataque como Cross Site Scripting – XSS (inyección de código malicioso para su posterior ejecución que puede realizarse a sitios web, aplicaciones locales o al propio navegador) o SQL Injection (creación o alteración de comandos SQL para exponer datos ocultos, sobrescribir valores o ejecutar comandos a nivel de sistema en el equipo que hospeda la base de datos), entre otros. Analizar estándares o guías de desarrollo en las que se implementen controles para mitigar los riegos identificados. Ajustar los estándares o guías a las necesidades del instituto y a sus características de particulares de desarrollo de software. Notificar a los terceros proveedores de sistemas de información los estándares o guías construidos para que los ejecuten en la fase de construcción de software. Realizar pruebas de seguridad con el fin de validar la efectividad de los estándares o guías implementados a nivel de desarrollo de software.
Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información). Terceros proveedores de sistemas de información.
Dominio 14 6 1 6
27
ASEGURAMIENTO DE PLATAFORMA: REDES, SERVIDORES Y BASES DE DATOS
El objetivo es realizar el aseguramiento de la plataforma tecnológica, en sus componentes de redes, servidores y bases de datos; adicionalmente, apoyar la mitigación de vulnerabilidades detectadas en estos componentes durante la ejecución del proyecto de análisis de vulnerabilidades técnicas, obteniendo así un fortalecimiento de la plataforma tecnológica del Instituto Nacional de Vías INVIAS.
Llevar a cabo el aseguramiento correspondiente a los componentes de red considerando aspectos como el bloqueo de puertos, fortalecimiento de las credenciales de acceso, registros de auditoria, buenas prácticas aplicables y guías de aseguramiento provistas por el fabricante de acuerdo con las características y modelo del componente de red. Realizar el aseguramiento correspondiente a los servidores considerando aspectos como el bloqueo de puertos, fortalecimiento de las credenciales de acceso, registros de auditoria, políticas de software, actualización de parches de seguridad, buenas prácticas y guías de aseguramiento de acuerdo con el sistema operativo y los servicios que provea el servidor. Efectuar el aseguramiento correspondiente a las bases de datos considerando aspectos como el uso controlado de puertos, fortalecimiento de las credenciales de acceso y métodos de autenticación, registros de auditoria, políticas de administración del motor de base de datos, almacenamiento cifrado de la información, transmisión segura de información, buenas prácticas y guías de aseguramiento de acuerdo con el motor de base de datos y los servicios que este provea.
Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información). Terceros proveedores de sistemas de información.
Dominios 12 y 13
6 1 6
28 ASEGURAMIENTO DE PLATAFORMA: SISTEMAS DE INFORMACION
El objetivo es realizar el aseguramiento de los sistemas de información; adicionalmente, apoyar la mitigación de vulnerabilidades detectadas en este componente durante la ejecución del proyecto de análisis de vulnerabilidades técnicas, obteniendo así un fortalecimiento de la plataforma tecnológica del Instituto Nacional de Vías INVIAS.
A partir del análisis del código fuente de las aplicaciones certificar que no existe código malicioso, fugas de información y errores en el desarrollo de software que permitan generar fallas de seguridad. Verificar que las aplicaciones a ser analizadas no se encuentren instaladas por defecto. Efectuar el fortalecimiento de las interfaces de administración de las aplicaciones, a través del cambio de rutas de acceso, puertos, usuarios, contraseñas y roles.
Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información). Terceros proveedores de sistemas de información.
Dominios 12 y 14
8 2 8
29 ASEGURAMIENTO DE PLATAFORMA: ESTACIONES DE USUARIO
El objetivo es realizar el aseguramiento de la plataforma tecnológica, en el componente de estaciones de usuario; adicionalmente, apoyar la mitigación de vulnerabilidades detectadas en este componente durante la ejecución del proyecto de análisis de vulnerabilidades técnicas, obteniendo así un fortalecimiento de la plataforma tecnológica del Instituto Nacional de Vías INVIAS
Realizar la configuración de protocolos, puertos y servicios necesarios para el desarrollo de las labores en las estaciones de usuario del instituto. Establecer políticas de dominio y listas de acceso que rijan las configuraciones de las estaciones de usuario. Renombrar las cuentas de administrador y proteger o deshabilitar las cuentas de invitado en las estaciones de usuario, con el fin mitigar los riesgos relacionados con los nombres de usuario y cuentas por defecto. Verificar y optimizar los procesos y servicios de arranque de los sistemas operativos de las estaciones de usuario. Actualizar los componentes de software y los parches de seguridad de las estaciones de usuario siguiendo los lineamientos para la gestión del cambio. Habilitar y personalizar los mecanismos de auditoria y monitoreo de las estaciones de usuario, considerando aspectos como la generación de registros sobre las acciones de los administradores, eliminación de registros de auditoria y acceso a diferentes elementos del sistema. Seguir buenas prácticas y guías de aseguramiento de acuerdo con el sistema operativo con el que cuenten las estaciones de usuario.
Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información).
Dominios 11 y 12
6 3 6
Plan Estratégico de Seguridad Informática y de la Información
30
SEGMENTACION DE RED A NIVEL DE COMUNICACIONES (ROUTERS, SWITCHES)
Tiene como objetivo realizar y/o revisar la segmentación de red, a través de la identificación de los recursos de la plataforma tecnológica que así lo requieren, debido al servicio que proveen o a la sensibilidad de la información que almacenan y/o procesan del Instituto Nacional de Vías INVIAS.
Definir los segmentos de la red por áreas funcionales que componen el instituto, ayudando así a identificar y separar los perfiles de usuario que componen cada una de estas áreas. Definir segmentos adicionales por los cuales circulará tráfico relacionado únicamente a servicios, voz y vídeo (los dos últimos podrían ir en uno solo). Determinar sobre cada uno de los segmentos la distribución de los recursos tecnológicos, conforme al servicio que prestan, definiendo de esta manera cuáles deben ser accedidos única y exclusivamente desde el interior de la red, y cuáles podrían recibir conexión desde el exterior de la misma, y de esta manera adecuar las necesidades de uso de la DMZ. Documentar la segmentación definida de tal manera que se pueda seguir a futuro un control de cambios sobre la misma. Identificar la necesidad de adquisición de equipos de comunicaciones faltantes como routers o switches, con el fin de poner en marcha la segmentación definida de acuerdo con los procesos o procedimientos de control de cambios.
Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información).
Dominio 13 8 1 8
31
REVISIÓN Y AJUSTE DE LOS DISPOSITIVOS DE SEGURIDAD (FIREWALL, IDS, IPS)
Tiene como objetivo la revisión de la configuración de los dispositivos de seguridad y realización de ajustes de ser necesario, a través de la identificación de los recursos de la plataforma tecnológica que así lo requieren, debido al servicio que proveen o a la sensibilidad de la información que almacenan y/o procesan del Instituto Nacional de Vías INVIAS.
Verificar en la configuración del Firewall el tráfico entrante y saliente, con el fin de identificar mejoras en los filtros de tráfico a partir de estándares de seguridad y recomendaciones del proveedor del componente; adicionalmente, se debe validar que los puertos abiertos en la configuración del Firewall estén autorizados y aun se encuentren en uso. Evaluar las políticas configuradas en el IDS e IPS, con el fin de definir si se cumple con los objetivos de detección y prevención de intrusos planteados inicialmente. Realizar los ajustes identificados sobre los dispositivos de Firewall, IDS e IPS, considerando efectuar un monitoreo constante sobre los cambios realizados.
Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información).
Dominios 13 y 18
2 3 2
Plan Estratégico de Seguridad Informática y de la Información
32 MIGRACIÓN DEL PROTOCOLO DE CONECTIVIDAD IPv4 A IPv6
Tiene como propósito dar cumplimiento a un requerimiento del Modelo de Seguridad y Privacidad de Gobierno en Línea, para las entidades del estado colombiano con miras a lograr objetivos de innovación tecnológica.
Realizar el diagnóstico de la situación actual y planear la implementación de IPv6. Algunas de las principales actividades son: - Elaboración y/o validación del inventario de activos de información de servicios tecnológicos (hardware y software), identificando cuáles equipos soportan IPv6, cuales requieren actualizarse y cuáles no soportan el nuevo protocolo. - Análisis, diseño y desarrollo del plan de diagnóstico del protocolo IPv4 a IPv6. - Identificación de la topología de red y evaluación del grado de afinamiento del protocolo IPv6 a nivel de hardware y software con miras a preparar la nueva infraestructura de red. - Generación del plan detallado del proceso de transición hacia IPv6. - Planeación de la migración de los siguientes servicios tecnológicos: Servicio de Resolución de Nombres (DNS), Servicio de Asignación Dinámica de Direcciones IP (DHCP), Directorio Activo, Servicios WEB, Servidores de Monitoreo, Validación del Servicio de Correo Electrónico, Validación del Servicio de la Central Telefónica, Servicio de Backups, Servicio de Comunicaciones Unificadas e Integración entre Sistemas de Información. - Validación del estado actual de los sistemas de información, los sistemas de comunicaciones y evaluación de la interacción entre ellos cuando se adopte el protocolo IPv6. - Identificación de la configuración y los esquemas de seguridad de la red de comunicaciones y sistemas de información. - Revisión de las políticas de enrutamiento para IPv6 entre los segmentos de red internos, previa evaluación de los mismos. - Validación previa de la infraestructura tecnológica que permita medir el grado de avance en la adopción del protocolo IPv6. - Establecimiento del protocolo de pruebas para la validación de aplicativos, equipos de comunicaciones, plan de seguridad y coexistencia de los protocolos IPv4 e IPv6. - Capacitación a funcionarios del Grupos TI en IPv6 y sensibilización al personal del instituto a fin de dar a conocer el nivel de impacto del nuevo protocolo. implementar el protocolo IPv6. Algunas de las principales actividades son: - Habilitación del direccionamiento IPv6 para cada uno de los componentes de hardware y software. - Montaje, ejecución y corrección de configuraciones del piloto de pruebas de IPv6, simulando el comportamiento de la red de comunicaciones, agregando carga, servicios y usuarios finales. - Aplicación del modelo de transición de IPv6 en la red, permitiendo la coexistencia de los protocolos IPv4 e IPv6. - Validación de la funcionalidad de los siguientes servicios y aplicaciones sobre IPv6: Servicio de Resolución de Nombres (DNS), Servicio de Asignación Dinámica de Direcciones IP (DHCP), Directorio Activo, Servicios WEB, Servidores de Monitoreo, Validación del Servicio de Correo Electrónico, Validación del Servicio de la Central Telefónica, Servicio de Backups, Servicio de Comunicaciones Unificadas, Servicios VPN, Integración entre Sistemas de Información, Sistemas de Almacenamiento, servicios de administración de red. - Activación de las políticas de seguridad de IPv6 en los equipos de seguridad y comunicaciones (servidores AAA, firewalls, NAC, y equipos perimetrales de conformidad con los RFC de seguridad en IPv6). - Trabajo en coordinación con el (los) proveedor (es) de servicios de Internet para lograr la conectividad integral en IPv6 desde el interior de las redes LAN, hacia el exterior de las redes WAN. Probar la funcionalidad de IPv6. Algunas de las principales actividades son: - Pruebas y monitoreo de la funcionalidad de IPv6 en los sistemas de información, sistemas de almacenamiento, sistemas de comunicaciones y servicios. - Análisis de información y pruebas de funcionalidad del nuevo protocolo frente a las políticas de seguridad perimetral, de servidores de cómputo, servidores de comunicaciones y equipos de comunicaciones. - Afinamiento de las configuraciones de hardware, software y servicios. - Elaboración de un inventario final de servicios, aplicaciones y sistemas de comunicaciones bajo el funcionamiento del protocolo IPv6.
Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información).
N/A PEND 1 2
PEND
33
CONTROL DE VERSIONES DE CODIGO FUENTE DE LOS SISTEMAS DE INFORMACION
Tiene como propósito establecer un mecanismo de control para mantener un historial de cambios sobre los programas de código fuente de los sistemas de información del INVIAS, permitiendo su utilización para el desarrollo futuro de manera vigilada.
Definir la herramienta de mercado para control de versiones de programas de código fuente. Definir si los mecanismos de almacenamiento de los programas de código fuente que deba gestionar la herramienta serán centralizados o distribuidos. Asignar un responsable del sistema de control de versiones y definir sus responsabilidades. Generar y establecer el procedimiento o instructivo para realizar cambios sobre los programas de código fuente almacenados en la herramienta seleccionada. Verificar con una periodicidad establecida el registro histórico de las acciones realizadas con cada programa o conjunto de programas.
Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información).
Dominios 9 y 14
8 2 8
Plan Estratégico de Seguridad Informática y de la Información
34
REVISIÓN DE CODIGO FUENTE DE LOS SISTEMAS DE INFORMACION
Tiene como objetivo garantizar que el código fuente de los sistemas de información del Instituto Nacional de Vías INVIAS esté libre de problemas de seguridad, con el fin de evitar posibles ataques y fraudes. Este análisis debe ser constante y pre-requisito para la publicación de código en el ambiente de producción.
Definir o actualizar la metodología de revisión del código fuente de los sistemas de información del instituto. Definir las herramientas de revisión de código a ser utilizadas. Ejecutar análisis manuales y automatizados a los sistemas de información del INVIAS. Documentar los hallazgos de los análisis realizados. Generar el plan de remediación para las situaciones encontradas. Realizar una revisión post corrección de los hallazgos.
Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información).
Dominio 14 5 2 3
5
35 SEGURIDAD EN EL INTERCAMBIO DE INFORMACIÓN
El objetivo es mantener la seguridad de la información que se intercambia tanto dentro como fuera de las instalaciones del Instituto Nacional de Vías INVIAS.
Identificar y establecer la herramienta adecuada para aplicar controles criptográficos en el intercambio de información de acuerdo a las necesidades y considerando aspectos como algoritmos de cifrado, tipo de licencia y evaluando alternativas posibles como PGP, GPG, VeraCrypt y BitLocker. Almacenar las llaves criptográficas y las copias de seguridad de las mismas en un repositorio central, el cual debe contar con protección contra modificación, pérdida o destrucción. Establecer los lineamientos para el uso adecuado de los controles criptográficos, considerando aspectos relacionados con legislación y necesidad de uso. Instaurar acuerdos de intercambio de información entre partes externas y el instituto, considerando los lineamientos de uso de los controles criptográficos y consecuencias legales por el manejo inadecuado de la información.
Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Terceros proveedores de servicios con los cuales hay intercambio de información. Supervisores de Contratos con Terceros.
Dominios 8, 13 y 15
8 3 8
36
DEFINICIÓN Y ESTABLECIMIENTO DE ACUERDOS DE NIVELES DE SERVICIO
Tiene como propósito la definición y establecimiento de Acuerdos de Niveles de Servicio (ANS), donde se consideren los objetivos, niveles de servicio, estructuras organizacionales, niveles de escalamiento y responsabilidades del proveedor del servicio y el Instituto Nacional de Vías INVIAS.
Definir el diseño de la estructura de Acuerdo de Nivel de Servicio más adecuado para satisfacer las necesidades del instituto, considerando opciones como servicio, cliente y multinivel. Definir los requisitos del nivel de servicio considerando aspectos como soluciones, resultados y objetivos deseados, con el fin de cumplir adecuadamente los Acuerdos de Niveles de Servicio. Establecer los Acuerdos de Niveles de Servicio de acuerdo con el diseño y los requisitos de nivel de servicio seleccionados. Monitorear el rendimiento de los Acuerdos de Niveles de Servicio con el fin de verificar el cumplimiento de los niveles de servicio acordados y la satisfacción de los usuarios; asimismo, con los resultados obtenidos de la labor de monitoreo se pueden examinar y ajustar los acuerdos con el objetivo de mejorar la prestación de los servicios.
Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Supervisores de Contratos con Terceros.
Dominios 14 y 15
4 1 2 3
4
Plan Estratégico de Seguridad Informática y de la Información
37 CONTROLES SOBRE LOS TERCEROS
Tiene como objetivo mantener la seguridad de la información en los servicios de procesamiento y almacenamiento de información del Instituto Nacional de Vías INVIAS a los cuales tienen acceso terceras partes o personal provisto por estas.
Identificar los riesgos con terceras partes o con personal provisto por ellas, para la información y, los servicios de procesamiento y almacenamiento de la misma. Implementar los controles lógicos y físicos necesarios para proteger la información que no debe ser accesible a terceras partes o a personal provisto por ellas. Establecer los requisitos legales y obligaciones contractuales que se deberían tener en cuenta en las relaciones con terceras partes o personal provisto por ellas, incluyendo temas como el cumplimiento de las políticas de seguridad, acuerdos o clausulas para el intercambio de información y acuerdos o cláusulas de confidencialidad. Implantar y divulgar las funciones y responsabilidades frente a la seguridad de la información, que le competen al personal provisto por terceras partes que cuente con acceso a la plataforma tecnológica o la información contenida en ella. Establecer en el proceso de finalización de contrato, aspectos referentes a la entrega de bienes, información, derechos de acceso y puestos de trabajo de manera formal, por parte del personal provisto por terceras partes. Monitorear el cumplimiento de los Acuerdos de Niveles de Servicio con el fin de verificar el cumplimiento de los niveles de servicio acordados y la satisfacción de los usuarios frente a estos, con el objetivo de proponer mejoras sobre los mismos.
Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Supervisores de Contratos con Terceros.
Dominios 8, 9, 11, 13, 14 y 15
9 1 2 3
3
Plan Estratégico de Seguridad Informática y de la Información
38 ANALISIS DE IMPACTO AL NEGOCIO (BUSINESS IMPACT ANALYSIS – BIA)
Tiene como propósito realizar un Análisis de impacto al negocio (BIA – Business Impact Analysis) por medio de la identificación, categorización y priorización de los procesos misionales, evaluando la no disponibilidad de los mismos, al interior del Instituto Nacional de Vías INVIAS.
Identificar los procesos misionales del instituto para su supervivencia en el momento de una interrupción, teniendo en cuenta cuales de ellos son claves para que entren en operación rápidamente. Establecer los puntos y tiempos objetivos de recuperación. El Punto Objetivo de Recuperación (Recovery Point Objective - RPO) representa la tolerancia a la pérdida de información que se puede presentar durante la interrupción de un proceso y permite establecer el punto en el tiempo al cual la información debe ser recuperado, en caso de presentarse un siniestro. El Tiempo Objetivo de Recuperación (Recovery Time Objective – RTO) representa el periodo de tiempo requerido para que se restablezca la operación de sus servicios de red, sistemas de información o recursos tecnológicos y sus funciones, después de presentarse un evento contingente. Recolectar la información para lograr el entendimiento de las actividades realizadas al interior de los procesos evaluados, con personas que forman parte de cada uno de ellos. Valorar los impactos: legal, financiero, operacional y reputacional para cada proceso. Consolidar la información recolectada, analizarla y presentar cifras para los impactos evaluados. Analizar y presentar los hallazgos por proceso sobre los puntos objetivos de recuperación y tiempos objetivos de recuperación definidos (RPO y RTO respectivamente). Establecer la importancia de los procesos, definiendo los niveles de criticidad. Dicha importancia permite establecer la prioridad para restablecer los procesos dentro del tiempo de interrupción permitido. Identificar los servicios de red, sistemas de información y recursos tecnológicos asociados a los procesos identificados con mayor criticidad para poder elaborar un Plan de Contingencia Tecnológica que permita su recuperación. Identificar los tiempos críticos de operación, para posteriormente, al establecer las estrategias de recuperación, poder determinar la disponibilidad que deben tener los servicios, aplicativos y recursos tecnológicos durante los tiempos críticos de operación. Identificar procesos alternos que permitan continuar operando en caso de presentarse una interrupción.
Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información). Terceros expertos.
N/A 8 1 8
Plan Estratégico de Seguridad Informática y de la Información
39 CONTINGENCIA TECNOLÓGICA
Tiene como propósito restaurar los servicios de red, sistemas de información y recursos tecnológicos asociados a los procesos identificados con mayor criticidad del Instituto Nacional de Vías INVIAS, de forma rápida, eficiente y con el menor costo y pérdidas posibles, tomando como insumos los resultados del análisis de riesgos.
Determinar los servicios de red, sistemas de información y recursos tecnológicos críticos y utilizar los resultados del análisis de riesgos para conocer las principales amenazas a la seguridad y/o operación de dichos servicios, sistemas y recursos. Establecer los requisitos de recuperación, a través de un Plan de Respaldo, el cual contempla los controles preventivos antes de que se materialice una amenaza identificada en el análisis de riesgos. Algunas de las principales actividades son: - Establecimiento del centro alterno - Establecimiento de contratos de alquiler de equipos, canales alternos de comunicaciones y Acuerdos de Niveles de Servicio - Verificación de la existencia y cubrimiento de las pólizas de seguro - Establecimiento de procedimientos de recuperación y vuelta a la normalidad, consistentes con los escenarios y estrategias de recuperación definidos. - Actualización permanente y mantenimiento del inventario de software - Mantenimientos periódicos a los equipos de cómputo y las utilidades de soporte - Realización de copias de respaldo tanto de información como de configuraciones - Garantía de custodia externa de las copias de respaldo - Revisiones periódicas de las copias de respaldo - Simulacros por desastres naturales - Simulacros por fallas graves de las comunicaciones o la plataforma tecnológica Definir las acciones a seguir en el evento de una contingencia tecnológica, a través de un Plan de Emergencia, el cual contempla las contramedidas y controles necesarios durante la materialización de una amenaza, o inmediatamente después con el fin de mitigar los efectos adversos de la amenaza, de manera consistente con las estrategias de recuperación establecidas. Entre estas actividades se encuentran: - Activación del grupo encargado de la contingencia tecnológica - Activación del centro alterno, canales alternos de comunicaciones y de los contratos de alquiler de equipos informáticos - Gestión de los incidentes informáticos - Re-direccionamiento de las comunicaciones - Restauración de las copias de respaldo según la prioridad de recuperación identificada - Reanudación de las operaciones desde el centro alterno Restablecer las operaciones normales, a través de un Plan de Recuperación, el cual contempla las medidas necesarias después de materializada y controlada la amenaza, con el fin de restaurar los servicios de red, sistemas de información y recursos tecnológicos tal y como se encontraban antes de la materialización de la amenaza. Algunas de sus actividades se relacionan a continuación: - Evaluación de daños - Traslado de datos desde el centro alterno a las instalaciones habituales - Recuperación y reanudación de las actividades - Desactivación del centro alterno, canales alternos de comunicaciones y de los contratos de alquiler de equipos - Reclamaciones a la compañía de seguros Revisar y actualizar los Planes de Contingencia Tecnológica.
Oficina Asesora de Planeación (como responsable por la plataforma tecnológica y los sistemas de información).
Dominio 17 7 2 7
40 GESTIÓN DE INCIDENTES
Tiene como propósito que todos los incidentes relacionados con seguridad de la información se comuniquen formalmente, se analicen, se contengan, se investiguen y sean solucionados, tomando las acciones correctivas correspondientes de manera oportuna.
Establecer canales para el reporte de eventos de seguridad de la información. Clasificar los eventos que corresponden y no corresponden a incidentes de seguridad de la información. Definir y establecer procedimientos para asegurar una adecuada gestión de los incidentes de seguridad de la información, considerando aspectos como el tratamiento del incidente y la recolección de evidencia cuando así se requiera. De ser necesario, poner denuncia ante las autoridades competentes. Capacitar al personal sobre que es un incidente de seguridad de la información y cuál es el procedimiento que se debe seguir en caso de presentarse uno. Establecer los mecanismos que se usaran para la recolección de evidencias. Instaurar mecanismos para cuantificar y monitorear todos los tipos, volúmenes y costos de los incidentes de seguridad de la información. Generar una base de conocimiento y futura consulta, con la documentación de
Oficina Asesora de Planeación (como líder del SGSI). Oficina de Control Interno.
Dominios 7 y 16
6 3 6
Plan Estratégico de Seguridad Informática y de la Información
los incidentes de la seguridad de la información presentados, registrando la solución a incidentes resueltos.
41 GESTIÓN DEL LICENCIAMIENTO DE SOFTWARE
Tiene como propósito evitar el incumplimiento de las leyes relacionadas con derechos de autor y controlar el licenciamiento del software utilizado en el Instituto Nacional de Vías INVIAS.
Establecer procedimientos y controles para asegurar el cumplimiento de la legislación aplicable a material con derechos de propiedad intelectual. Definir los responsables de monitorear las licencias utilizadas con una periodicidad establecida. Deshabilitar las licencias no utilizadas en el momento de dar de baja los equipos de cómputo o reasignarlos.
Oficina Asesora de Planeación (como líder del SGSI y responsable por la plataforma tecnológica y los sistemas de información).
Dominios 7, 8 y 18
6 3 6
42 AUDITORIA INTERNA Y/O EXTERNA AL SGSI
Tiene como propósito presentar el proceso de las auditorías tanto internas como externas, donde se realice la evaluación del modelo de seguridad de la Información, incluyendo su alcance, políticas, objetivos, estructura organizacional y los controles de seguridad implantados por el INVIAS.
Definir los objetivos y establecer el alcance de la auditoría. Si se trata de una auditoría interna, se debe definir el equipo auditor; en caso de una auditoría externa se debe contratar el equipo auditor con un tercero. Elaborar el plan de auditoria, estableciendo el tipo de auditoria a realizar, el equipo auditor, las fechas previstas para llevar a cabo la auditoría, la documentación de referencia y las personas que deben participar en la auditoria. Preparar la auditoría, llevando a cabo las siguientes actividades: - Establecimiento de la estrategia de la auditoría, por procesos o por controles específicos - Preparación de las listas de verificación con los aspectos que serán auditados - Revisión de la documentación disponible previamente - Preparación de la agenda de trabajo Ejecutar la auditoría, teniendo en consideración la realización de las siguientes actividades: - Reunión de inicio de la auditoría con el área líder de la misma, presentando los objetivos, el alcance, la metodología, el grupo de personas a entrevistar y el itinerario - Evaluación de cumplimiento de acuerdo con las listas de chequeo elaboradas - Revisión y análisis de los hallazgos Elaborar el informe de auditoría y presentar los hallazgos y recomendaciones.
Oficina Asesora de Planeación (como líder del SGSI). Oficina de Control Interno o Equipo de trabajo de Auditoria Externa.
Numeral 9 Dominio 18
3 1 2 3
3
43
REVISIÓN DE DOCUMENTACIÓN DEL SGSI Y DE LOS REQUERIMIENTOS DE GEL
Busca realizar la revisión de la documentación del Sistema de Gestión de Seguridad de la Información (SGSI), dado que, el Instituto Nacional de Vías INVIAS deberá cumplir con los requisitos exigidos por él y por el Modelo de Seguridad y Privacidad de Gobierno en Línea (GEL) para posteriormente operar, hacer seguimiento, revisar, mantener y mejorar el SGSI.
Reevaluar o confirmar el alcance del SGSI. Evaluar el cumplimiento de la política y objetivos del SGSI. Aplicar nuevos análisis de acuerdo con la metodología de gestión de riesgos definida. Identificar, valorar y/o revalorar el inventario de activos de información para el alcance definido. Analizar y evaluar los riesgos de seguridad para los activos de información del alcance definido, teniendo en cuenta el análisis de riesgo ya existente y considerando aspectos referentes a cambios en los procesos, los activos de información, la tecnología, nuevas amenazas y la efectividad de los controles implementados. Reevaluar y, de ser necesario, ajustar el plan de tratamiento de riesgos en función de los controles del Anexo A de la norma ISO/IEC 27001:2013. Reevaluar y, de ser necesario, ajustar la declaración de aplicabilidad. Reevaluar el modelo de seguridad y la documentación que lo conforma (políticas, normas y procedimientos del SGSI, organización de la seguridad). Obtener la aprobación del modelo de seguridad y de la implementación y operación del SGSI en caso de realizar cambios en este.
Comité de Desarrollo Administrativo. Oficina Asesora de Planeación (como líder del SGSI).
Numerales 4 y 6
Dominios 7 y 18
4 2 3
4
44 REVISIÓN Y MEDICIÓN DE INDICADORES
Tiene como objetivo la revisión y medición de los indicadores del modelo de seguridad de la información del Instituto Nacional de Vías INVIAS, con el objetivo de monitorear sus métricas frente a su eficacia y eficiencia.
Revisar y medir los indicadores existentes de acuerdo con los registros generados en cada uno de ellos durante el periodo de tiempo que han estado en uso y no han sido revisados, con el fin de verificar si el objetivo del indicador se cumple o si el mismo requiere un ajuste de acuerdo con su comportamiento. Ajustar los indicadores si estos no generan valor al modelo de seguridad de la información, considerando aspectos como la madurez del modelo y la información considerada como relevante en el mismo.
Oficina Asesora de Planeación (como líder del SGSI).
Numeral 9 2 2 3
2
Plan Estratégico de Seguridad Informática y de la Información
45 REVISIÓN Y AJUSTES DEL ANALISIS DE RIESGOS Y PLAN DE TRATAMIENTO
Busca revisar y ajustar el análisis de riesgos y plan de tratamiento existentes en el Instituto Nacional de Vías INVIAS, con el fin de identificar nuevos riesgos o cambios en los niveles de riesgos por cambios en los procesos, la plataforma tecnológica o los controles aplicables.
Reevaluar los niveles de las zonas de riesgo que fueron acordadas y utilizadas para el desarrollo del análisis de riesgo inicial, con el objetivo de mantener o cambiar la rigurosidad de las mismas. Notificar que el análisis de riesgos se va a realizar a nivel de procesos, por tipologías de activos de información. Realizar la valoración de impacto de los tipos de activos frente a la confidencialidad, integridad y disponibilidad, teniendo en cuenta la metodología usada para el desarrollo del análisis de riesgos de seguridad de la información. Identificar nuevas o reevaluar las amenazas y vulnerabilidades a las que se ven expuestas los tipos de activos. Valorar la probabilidad de ocurrencia de la combinación de amenazas y vulnerabilidades. Valorar el nivel de los riesgos en las zonas establecida y asignar la prioridad de atención (Baja, Moderada, Alta o Muy Alta). Seleccionar los controles del Anexo A de la norma ISO/IEC 27001:2013 apropiados para mitigar las vulnerabilidades identificadas y, de ser necesario, controles adicionales. Establecer un plan de tratamiento de riesgos teniendo en cuenta las opciones de evitar, aceptar o transferir los riegos y la guía de aplicación de los controles seleccionados.
Oficina Asesora de Planeación (como líder del SGSI).
Numerales 4, 6 y 8
Dominio 8 8
2 3
8