Securities">
Articles-237904 Maestro Mspi
Articles-237904 Maestro Mspi
Articles-237904 Maestro Mspi
Versión Observaciones
Esta guía de la Dirección de Gobierno Digital se encuentra bajo una Licencia Creative
Commons Atribución 4.0 Internacional.
Esta guía de la Dirección de Gobierno Digital se encuentra bajo una Licencia Creative
Commons Atribución 4.0 Internacional.
2
Contenido
Guía - Roles y responsabilidades .......................................................................................... 4
1. Definición de roles y responsabilidades ....................................................................... 4
2. Identificación de los responsables ................................................................................ 4
3. Equipo de gestión al interior de cada una de las entidades .................................... 4
4. Perfiles y responsabilidades ............................................................................................5
5. Responsable de Seguridad de la Información para la entidad .................................5
6. Comité Institucional de Gestión y Desempeño Institucional – Comité de
Seguridad y privacidad de la información ........................................................................ 6
7. Oficina asesora Jurídica .................................................................................................. 6
8. Gestión del Talento Humano.......................................................................................... 6
9. Control Interno................................................................................................................... 7
LISTA DE ILUSTRACIONES
Ilustración 2: Equipo de Gestión de Seguridad de la Información en las entidades ............................. 9
LISTA DE TABLAS
Tabla 3: Responsabilidades – Marco de Arquitectura Empresarial .................................................................. 7
3
Guía - Roles y responsabilidades
1. Definición de roles y responsabilidades
Todas las entidades deben definir internamente las responsabilidades para ejecutar las
actividades específicas de seguridad de la información designando a las personas
apropiadas.
El mayor aporte que genera una definición de roles es que se tendrán establecidas las
tareas que realizará cada uno de los miembros del equipo del MSPI, dejando un campo
muy pequeño a que se presenten imprecisiones en referencia a las responsabilidades
que cada personaje tiene.
Partiendo de este punto, las entidades tendrán asegurado que cada actividad
establecida dentro de la etapa de planeación del MSPI, tenga un responsable claro y de
igual forma que cada uno de los miembros del equipo responsable de la ejecución
entiendan claramente sus roles y responsabilidades.
El equipo de gestión del proyecto en cada una de las entidades se encarga de tomar
las medidas necesarias para planear, implementar y hacer seguimiento a todas las
actividades necesarias para adoptar el Modelo de Seguridad de la Información al interior
de su entidad, así como planear las actividades necesarias para una adecuada
administración y sostenibilidad de este.
4
4. Perfiles y responsabilidades
5
6. Comité Institucional de Gestión y Desempeño Institucional –
Comité de Seguridad y privacidad de la información
6
9. Control Interno
DOMINIO RESPONSABILIDADES
SERVICIOS TECNOLÓGICOS - Liderar la gestión de riesgos de seguridad sobre la
gestión de TI y de información de la institución.
- Gestionar el desarrollo e implementación de
políticas, normas, directrices y procedimientos de
seguridad de gestión de TI e información.
- Definir mecanismos de control y seguimiento que
permitan medir el nivel de cumplimiento de
implantación de las medidas de seguridad.
- Supervisar la respuesta a incidentes, así como la
investigación de violaciones de la seguridad,
ayudando con las cuestiones disciplinarias y
legales necesarias.
- Trabajar con la alta dirección y los dueños de los
procesos misionales dentro de la entidad en el
desarrollo de los planes de recuperación de
desastres y los planes de continuidad del negocio.
- Realizar y/o supervisar pruebas de vulnerabilidad
sobre los diferentes servicios tecnológicos para
detectar vulnerabilidades y oportunidades de
mejora a nivel de seguridad de la información.
7
SISTEMAS DE INFORMACIÓN - Establecer los requerimientos mínimos de
seguridad que deberán cumplir los sistemas de
información a desarrollar, actualizar o adquirir
dentro de la entidad.
- Apoyar la implementación segura de los sistemas
de información, de acuerdo con el modelo de
seguridad y privacidad de la información del
estado colombiano.
- Desarrollar pruebas periódicas de vulnerabilidad
sobre los diferentes sistemas de información para
detectar vulnerabilidades y oportunidades de
mejora a nivel de seguridad de la información.
- Liderar el proceso de gestión de incidentes de
seguridad, así como la posterior investigación de
dichos eventos para determinar causas, posibles
responsables y recomendaciones de mejora para
los sistemas afectados.
- Trabajar con la alta dirección y los dueños de los
procesos misionales dentro de la entidad en el
desarrollo de los planes de recuperación de
desastres y los planes de continuidad del negocio.
o del proyecto:
Teniendo en cuenta la naturaleza de la entidad, debe conformarse un equipo para el
desarrollo del proyecto al cual deben pertenecer miembros directivos y representantes
de las áreas misionales, con el propósito de asegurar que toda la información más
relevante de la entidad esté disponible oportunamente. De esta forma se busca
asegurar que sea una iniciativa de carácter transversal a la entidad, y que no dependa
exclusivamente de la oficina o área de TI.
8
Una de las tareas principales del líder del proyecto es entregar y dar a conocer los
perfiles y responsabilidades de cada personaje al grupo de trabajo e identificar las
personas idóneas para tomar cada rol. De esta forma, y de manera general se pone a
consideración el siguiente listado para que las entidades analicen de acuerdo con su
composición orgánica cuales deben ser los miembros del equipo de seguridad y
privacidad de la información, de acuerdo con los siguientes perfiles:
•Comité de seguridad
Estratégico •Responsable de Seguridad de
la entidad
•Responsable de Seguridad de
Táctico la entidad
9
• Ayudar al líder de proyecto designado, en la gestión de proveedores de tecnología
e infraestructura.
• Asistir a las reuniones de seguimiento o de cualquier otra naturaleza planeadas
por el líder de proyecto.
• Las que considere el líder del proyecto o el comité de seguridad de la entidad.
De manera particular se resaltan dos perfiles que deben estar participando de manera
activa durante el desarrollo del proyecto, a pesar de que el proyecto no es de
responsabilidad exclusiva del área de TI su papel es fundamental, y de acuerdo con la
Ley de Protección de Datos Personales se debe tener muy presente el rol de
responsable del tratamiento de los datos personales.
Teniendo en cuenta que el responsable del tratamiento de datos personales en la
entidad, es quien tiene decisión sobre las bases de datos que contengan este tipo de
datos y que el responsable es quien direcciona las actividades de los encargados de los
datos personales (quien realiza el tratamiento directamente), como se mencionaba
anteriormente, adicional a las responsabilidades arriba citadas se tendrán en cuenta
que de acuerdo a la Ley 1581 de 2012 Protección de Datos Personales los deberes y
responsabilidades de los responsables y/o encargados del tratamiento de los datos
personales son:
COMITÉ DE SEGURIDAD :
Las funciones de este comité pueden ser incluidas por el comité Institucional de
desarrollo administrativo, como instancia orientadora de la implementación de la
estrategia de Gobierno en línea de acuerdo con el señalado en el Art. 2.2.9.1.2.4.
Responsable de orientar la implementación de la Estrategia de Gobierno en Línea; ó si
la entidad así lo estima conveniente, se debe crear un comité de Seguridad de la
Información para la entidad.
A continuación, se presenta un ejemplo de plantilla que podría servir como base para
la generación de la resolución para la creación del comité de seguridad de la
información para las entidades, se reitera que está sujeta a las condiciones orgánicas
y misionales de cada entidad.
10
RESOLUCIÓN XX DE XXXX
CONSIDERANDO
Que….
RESUELVE:
Parágrafo 1º.El Comité podrá invitar a cada sesión, con voz y sin voto, a aquellas
personas que considere necesarias por la naturaleza de los temas a tratar.
11
organismo, así como de la formulación y mantenimiento de una política de
seguridad de la información a través de todo el organismo.
12
Artículo 6°. Funciones de la Secretaría Técnica. Las funciones de la Secretaría
Técnica serán las siguientes:
PUBLÍQUESE Y CÚMPLASE
Cargo
13