Portal Gobierno Digital

Imagen logo - versión móvil

Buenas prácticas

¿De qué se trata?

Espacio dedicado como repositorio de consejos y buenas prácticas para que las entidades tengan una guía de cómo cumplir con normatividad específica o necesidades adicionales dentro de la implementación de la Seguridad y Privacidad de la Información.

Siendo el Ministerio de la TIC líder de las Políticas de Gobierno Digital y Seguridad Digital y partícipe en la construcción del decreto 612 de 2018, se permite dar algunas recomendaciones relacionadas con la implementación de los planes de acción relacionados en este decreto, como lo son el Plan Estratégico de Seguridad de la Información (PESI) y Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la Información.

LINEAMIENTOS PARA LA ELABORACIÓN DEL PLAN DE SEGURIDAD DE LA INFORMACIÓN (PESI)

El Plan de Seguridad y Privacidad de la Información, las entidades deberán detallar la(s) línea(s) de acción para implementar el Modelo de Seguridad y Privacidad de la Información (MSPI), basándose en el ciclo PHVA que hace parte de los sistemas integrados de gestión. Para dar mayor profundidad a lo anterior, el Ministerio TIC ha diseñado la la Guía para estructurar un PESI.

LINEAMIENTOS PARA LA ELABORACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN:

El documento con Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la Información se obtiene como resultado de la aplicación de la “Guía de Administración de Riesgos y Diseño de Controles en Entidades Públicas”, expedida por el Ministerio TIC y el Departamento Administrativo de la Función Pública.

En este sentido, para cumplir con lo solicitado en el Decreto No. 612 de 2018, se recomienda generar un informe ejecutivo en el que se ilustre la siguiente información:

  • Cantidad de riesgos identificados
  • Cantidad de riesgos en zona no aceptable y que deberán ser tratados y están siendo tratados.
  • Cantidad de controles implementados y por implementar, clasificando cuantos son de tipo estratégico, documental o procedimental.

En el informe ejecutivo no deberá brindarse ningún tipo de detalle sobre los riesgos específicos, amenazas o vulnerabilidades analizados durante el proceso de gestión de riesgos, ya que esta información es clasificada o reservada de acuerdo con la ley 1712 de 2014, por esta razón solo se deben indicar cantidades.

personas trabajando en computador

LINEAMIENTOS PARA LA ELABORACIÓN DEL PLAN DE SEGURIDAD DE LA INFORMACIÓN (PESI)

El Plan de Seguridad y Privacidad de la Información, las entidades deberán detallar la(s) línea(s) de acción para implementar el Modelo de Seguridad y Privacidad de la Información (MSPI), basándose en el ciclo PHVA que hace parte de los sistemas integrados de gestión. Para dar mayor profundidad a lo anterior, el Ministerio TIC ha diseñado la la Guía para estructurar un PESI.

LINEAMIENTOS PARA LA ELABORACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN:

El documento con Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la Información se obtiene como resultado de la aplicación de la “Guía de Administración de Riesgos y Diseño de Controles en Entidades Públicas”, expedida por el Ministerio TIC y el Departamento Administrativo de la Función Pública.

En este sentido, para cumplir con lo solicitado en el Decreto No. 612 de 2018, se recomienda generar un informe ejecutivo en el que se ilustre la siguiente información:

  • Cantidad de riesgos identificados
  • Cantidad de riesgos en zona no aceptable y que deberán ser tratados y están siendo tratados.
  • Cantidad de controles implementados y por implementar, clasificando cuantos son de tipo estratégico, documental o procedimental.

En el informe ejecutivo no deberá brindarse ningún tipo de detalle sobre los riesgos específicos, amenazas o vulnerabilidades analizados durante el proceso de gestión de riesgos, ya que esta información es clasificada o reservada de acuerdo con la ley 1712 de 2014, por esta razón solo se deben indicar cantidades.