Modelo guía para la Certificación en ISO 27001 de las entidades, que han implementado las normas establecidas por la estrategia de gobierno en línea

MODELO GUÍA PARA LA CERTIFICACIÓN EN ISO 27001 DE LAS ENTIDADES, QUE HAN IMPLEMENTADO LAS NORMAS ESTABLECIDAS

POR LA ESTRATEGIA DE GOBIERNO EN LÍNEA.

WILMAN GEOVANY MONTOYA MARTIN

LINA PAOLA SANTOS VICTORINO

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD TECNOLÓGICA

INGENIERÍA EN TELEMÁTICA BOGOTA D.C.

MODELO GUÍA PARA LA CERTIFICACIÓN EN ISO 27001 DE LAS ENTIDADES, QUE HAN IMPLEMENTADO LAS NORMAS ESTABLECIDAS

POR LA ESTRATEGIA DE GOBIERNO EN LÍNEA.

WILMAN GEOVANY MONTOYA MARTIN

LINA PAOLA SANTOS VICTORINO

Proyecto de grado para optar al título de Ingeniero en telemática

Ingeniero, Jairo Hernández Gutiérrez

Director de proyecto, Universidad Distrital Francisco José de Caldas

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD TECNOLÓGICA

INGENIERÍA EN TELEMÁTICA BOGOTA D.C.

Nota de aceptación:

____________________________________ ____________________________________ ____________________________________ ____________________________________ ____________________________________ ____________________________________ ____________________________________ ____________________________________

____________________________________ Ingeniero Jairo Hernández Gutiérrez.

___________________________________ Ingeniero, Miguel Leguizamón

CONTENIDO

INTRODUCCIÓN ... 14

CAPITULO 1. DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN. ... 15

1.1 TITULO DEL PROYECTO ... 15

1.2 TEMA ... 15

1.3 PLANTEAMIENTO DEL PROBLEMA ... 15

1.4 ALCANCES Y DELIMITACIONES ... 16

1.5 OBJETIVOS ... 16

1.6 JUSTIFICACIÓN ... 17

1.7 MARCO DE REFERENCIA ... 17

1.8 FACTIBILIDAD ... 27

1.9 CRONOGRAMA ... 31

CAPITULO 2: ESTRATEGIAS DE GOBIERNO EN LÍNEA ... 32

2.1 INTRODUCCIÓN ... 32

2.2 MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN.(Ministerio de las tecnologías de la telecomunicación y de la información, portal Min Tic)... 32

2.3 ESTRATEGIA DE GOBIERNO EN LINEA. ... 33

2.4 NORMA ISO 27001. ... 62

2.5 GEL EN EL PROYECTO. ... 68

CAPITULO 3: MODELO ... 73

3.1 INTRODUCCIÓN ... 73

3.2 DEFINICIÓN DEL MODELO. ... 73

3.3 COMPOSICIÓN DEL MODELO ... 73

3.4 FUNCIONAMIENTO DEL MODELO ... 75

3.5 BENEFICIOS DE LA IMPLEMENTACIÓN DEL MODELO ... 83

3.6 MODELO GUIA PARA LA CERTIFICACIÓN EN ISO27001DE LAS ENTIDADES, QUE HAN IMPLEMENTADO LOS NORMAS ESTABLECIDAS POR LA ESTRATEGIA DE GOBIERNO EN LÍNEA ... 83

CAPITULO 4: ANÁLISIS Y DIAGNÓSTICO ... 84

4.1 INTRODUCCIÓN ... 84

4.2 ENTIDAD A ANALIZAR: CONTADURIA GENERAL DE LA NACIÓN. ... 84

4.4 RESULTADOS. ... 85

4.5 CONCLUSIONES ... 87

CAPITULO 5: AUDITORIA ... 88

5.1 INTRODUCCIÓN ... 88

5.2 INFORME DE LA REVISIÓN. ... 88

CAPITULO 6: APLICACIÓN ... 100

6.1 INTRODUCCIÓN ... 100

6.2 TECNOLOGÍA ... 100

6.3 FUNCIONAMIENTO DEL APLICATIVO ... 101

6.4 BENEFICIOS DE LA APLICACIÓN. ... 121

CONCLUSIONES ... 122

RECOMENDACIONES ... 124

BIBLIOGRAFIA ... 125

ANEXO A 128

LISTA DE TABLAS

Tabla 1 Factibilidad Económica - Recursos Humanos ... 28

Tabla 2 Factibilidad Económica - Recursos Técnicos ... 29

Tabla 3 Factibilidad Económica Costo Total ... 30

Tabla 4 Definición de los niveles de madurez del MSPI ... 60

Tabla 5. Logros a implementar en el proyecto ... 69

Tabla 6. Lineamientos a implementar en el proyecto. ... 71

Tabla 7 Homologación de niveles de madurez entre el GEL y el modelo. ... 72

Tabla 8 Definición de porcentaje de fases... 75

Tabla 9 Definición de porcentajes por grupos... 76

Tabla 10 Calificación ... 80

Tabla 11 Definición de los rangos de los Niveles de madurez del sistema de evaluación ... 81

Tabla 12 Definición de la calificación para los objetivos de control ... 82

Tabla 13.Resultados obtenidos con el modelo. Objetivos de control... 85

Tabla 14 Resultados del modelo aplicado en la contaduría ... 86

Tabla 15 Auditoria correspondiente a la política de seguridad y SGSI ... 88

Tabla 16 Auditoria implementación Procesos de GEL ... 92

Tabla 17 Tabla de Rol ... 101

Tabla 18 Tabla Usuario ... 101

Tabla 19 Tabla de Estados ... 102

Tabla 20 Tabla Control ... 102

Tabla 21 Tabla Fase ... 103

Tabla 22 Tabla grupo Control ... 103

Tabla 23 Tabla Usuario Control ... 103

Tabla 24 Roles ... 104

Tabla 25 Acciones ... 109

Tabla 26 Acciones administrador ... 114

TABLA DE FIGURAS

Ilustración 1 Estadísticas de certificados en ISO27001 ... 21

Ilustración 2 Ciclo PDCA. (Bernal, Jorge Jimeno, Grupo PDCAHOME. ¿Qué es el Ciclo PDCA (o Ciclo PHVA)? Ciclo PDCA (Planificar, Hacer, Verificar y Actuar): El círculo de Deming de mejora continua. (2013)). ... 25

Ilustración 3 Cronograma ... 31

Ilustración 4 Explicación de los porcentajes de las actividades por componente GEL ... 37

Ilustración 5 Porcentajes por actividades componente 1 ... 37

Ilustración 6 Porcentajes de actividades componente 2 ... 38

Ilustración 7 Porcentajes de actividades por componente 3 ... 39

Ilustración 8 Porcentajes de actividades por componente 4 ... 39

Ilustración 9 Porcentajes de actividades por Componente 5 ... 40

Ilustración 10 Porcentajes de actividades por componente 6 ... 40

Ilustración 11 Niveles de Madurez de Gobierno en Línea ... 42

Ilustración 12 Grafico del componente de Seguridad de la información de GEL ... 56

Ilustración 13Cinco Fases del modelo de seguridad y privacidad de la información. ... 59

Ilustración 14 Niveles de madurez MSPI ... 60

Ilustración 15 Modelo de Base de Datos ... 101

Ilustración 16 Página de Inicio ... 104

Ilustración 17 Interfaz Super Admin ... 105

Ilustración 18 Análisis y definición ... 105

Ilustración 19 Cambio de estado del control. ... 106

Ilustración 20 Ítem desactivado ... 106

Ilustración 21 ítem desactivado ... 106

Ilustración 22 Inserta Documento ... 107

Ilustración 23 subir archivo ... 107

Ilustración 24 Seleccionar Archivo para subir ... 108

Ilustración 25 Archivo subido ... 108

Ilustración 26 Fase ... 109

Ilustración 27 Vista previa de archivo subido ... 110

Ilustración 28 Actualización de archivo ... 110

Ilustración 29 Eliminación de archivos ... 111

Ilustración 30 Listo para subir nuevamente el archivo ... 111

Ilustración 31 Objetivos de control ... 111

Ilustración 32 Calificación Objetivos de control ... 112

Ilustración 33 Enviar o retroceder Objetivos de control ... 112

Ilustración 34 Confirmación objetivos de control ... 113

Ilustración 35 Gestión de usuarios ... 113

Ilustración 36 Agregar administración ... 113

Ilustración 37 Creación de usuario ... 114

Ilustración 38 Administradores ... 114

Ilustración 39 Actualización de administradores ... 115

Ilustración 40 Actualizaciones de administradores ... 115

Ilustración 42 Gestión de Empleados ... 115

Ilustración 43 Agregar empleado ... 116

Ilustración 44 Empleado creado ... 116

Ilustración 45 Empleados ... 116

Ilustración 46 Actualización empleado ... 117

Ilustración 47 Usuario actualizado ... 117

Ilustración 48 Eliminación de empleados ... 118

Ilustración 49 Empleados después de la actualización ... 118

Ilustración 50 Sistema de evaluación ... 118

Ilustración 51 Calificaciones ... 119

Ilustración 52 vista de documentos disponibles ... 119

Ilustración 53 Visualización de documento empleado ... 119

Ilustración 54 Descargar Objetivos de control ... 120

TABLA DE FORMULAS

Formulas 1 Multiplicación de la sumatoria de la calificación del cumplimiento. Los autores ... 80

Formulas 2 Valor del nivel de madurez. Los autores ... 81

Formulas 3 Objetivos en total que le aplican a la entidad. Los autores ... 82

RESUMEN

El propósito principal de este proyecto es desarrollar una herramienta la cual sea empleada como referente, para guiar el proceso de certificación en la norma internacional ISO27001. Estará compuesta de un modelo propuesto para las entidades estatales, basado en los parámetros definidos en dicha norma. Los cuales permiten la protección, la confidencialidad e integridad de los datos y de la información, así como los sistemas que la procesan. Esta base también la apoyara la Estrategia de Gobierno en Línea, elaborado por el Ministerio de Tecnología y Telecomunicaciones. Para que el modelo adquiriera dinamismo, se elaborara una aplicación que sistematizara lo anteriormente planteado, con el objetivo de agilizar y simplificar todo el proceso.

Se planteó también una investigación para conocer a fondo el modelo de Gobierno en línea proporcionado por el ministerio de tecnología de la información y de las comunicaciones, esto se realizó para generar la propuesta con las mismas bases del GEL.

Con el fin de robustecer el proyecto se propondrán un análisis y una auditoria al plan de seguridad de la información de una entidad gubernamental.

ABSTRACT

The main purpose of this project is to develop a tool which will be used as a reference, to guide the certification process in the ISO27001 international standard. It will be composed of a proposed model for state entities, based on the parameters defined in said standard. Which allow the protection, confidentiality and integrity of the data and information, as well as the systems that process it. This base will also be supported by the Online Government Strategy, prepared by the Ministry of Technology and Telecommunications. In order for the model to acquire dynamism, an application was developed to systematize the previously proposed, with the aim of streamlining and simplifying the entire process.

An investigation was also proposed to know in depth the online Government model provided by the Ministry of information technology and communications, this was done to generate the proposal with the same GEL bases.

In order to strengthen the project, an analysis and audit of the information security plan of a government entity will be proposed.

INTRODUCCIÓN

Uno de los objetivos de las compañías, es tener actualizados todos sus procesos con las últimas tecnologías, debido a que el cotidiano vivir está cada vez más acelerado. La información, que siempre será un activo vital en una organización, puede verse afectada con esos constantes cambios que trae consigo la rapidez con la que se viene dando la vida, por ende, las entidades deben estar al tanto de todas las herramientas que existan para protegerla.

Dispuesta para fortalecer la seguridad de la información, se encuentra la norma ISO 27001, la cual provee a quien la utiliza, una normativa para gestionar los procesos de seguridad. Si bien es cierto que una compañía podría emplearla solamente de guía, generaría para si un plus al obtener la certificación. Ya que además de adquirir ventajas como salvaguardar los datos de manera ordenada, tendrá confiabilidad ante sus clientes, mejorara la efectividad de sus procesos, hasta podrían tener más oportunidades de negocio.

Pero existe un problema, a la mayoría de las entidades les parece muy engorroso el proceso de certificación, porque puede tornarse bastante largo y dispendioso, el no saber por dónde empezar o como continuar, ¿me tengo que remitir de nuevo a la norma?

Con base en esta dificultad, se generaron una serie de ideas, las cuales podrían facilitar la labor, y ¿si también se obtuviera una optimización al sistema de gestión de seguridad actual?, como segunda fuente fue consultado el modelo de Gobierno en línea, esté, fue creado por el ministerio de las telecomunicaciones, al igual que la ISO 27001, es una guía para el manejo de los procesos de IT, entre estos la seguridad informática. Si se complementan estas alternativas, la herramienta resultante podría volverse una forma efectiva de tratar la certificación de la norma, incluyendo actividades complementarias de GEL, obteniendo un cubrimiento a las áreas puntuales que no contempla la ISO. Además, al ser Gobierno en línea un producto nacional, tiene en cuenta la problemática a nivel de seguridad en Colombia,

Para mitigar el problema de la ardua certificación, surge un modelo, el cual será una guía detallada de los procesos de la norma ISO 27001, ajustada para listar también las actividades complementarias de GEL. Este sistema brinda además un sistema de evaluación del cumplimiento de una serie de parámetros y le brinda al usuario un estado real de donde se encuentra con relación a lo desarrollado para la certificación. Tiene una versión aplicación con la cual se podrán alojar documentos donde el usuario desee y a su vez podrá generar la calificación.

CAPITULO 1. DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN. 1.1 TITULO DEL PROYECTO

Modelo guía para la certificación en ISO 27001 de las entidades, que han implementado las normas establecidas por la estrategia de gobierno en línea.

1.2 TEMA

Desarrollo de un modelo que sirva de guía para la certificación de la norma ISO 27001, enfocándose en las entidades que han implementado los lineamientos de gobierno en línea.

1.3 PLANTEAMIENTO DEL PROBLEMA

1.3.1 Descripción. En la actualidad, usar y realizar procesos asociados a la información tiene un gran impacto en cuanto al desarrollo tanto económico, como intelectual de los seres humanos y de las organizaciones. Son útiles para la toma de decisiones y son la base del progreso de las entidades.

Debido a que la información es un activo valioso para cualquier corporación, es de mucha importancia, velar por su seguridad, la cual puede ser establecida bajo normas y políticas que la protejan y estar incluida bajos modelos como los SGSI, los cuales dictan la manera de proteger y utilizar la información. La norma ISO 27001 es el estándar que certifica que el SGSI de la organización cumpla con los controles y parámetros adecuados.

Las compañías pueden certificarse bajo esta norma y esto les traerá beneficios como la reducción de los costos vinculados a incidentes relacionados con la seguridad, generarán confiabilidad ante los posibles clientes, y sus empleados conocerán de la importancia de tener compromiso y sensibilidad hacia la manipulación de la información.

El Ministerio de Tecnologías de la Información y las Comunicaciones, a través de su estrategia Gobierno en línea, ha diseñado un modelo de seguridad y privacidad de la información para las entidades públicas de orden nacional y territorial, así como proveedores de servicios de Gobierno en Línea, este modelo se basa en los siguientes aspectos:

• La arquitectura del modelo, se basa en el ciclo PHVA

• Etapas alineadas con los niveles de madurez del manual de GEL 3.0 • Lineamientos del estándar NTC:ISO/IEC 27001:2005.

El modelo de seguridad quiere generar conciencia acerca del uso que se le puede dar a la información, y a la manera de brindarle protección.

certificación bajo la norma ISO27001 y con esto puedan garantizar que el desarrollo de sus SGSI cumpla correctamente con los lineamientos de la norma de seguridad.

Es allí donde surge la necesidad de desarrollar un modelo guía como preparación para la certificación en la norma ISO27001 enfocado en las entidades que implementan las estrategias de gobierno en línea.

1.3.2 Formulación del problema. ¿Para las entidades que implementan la estrategia de Gobierno en línea, puede ser de apoyo un modelo que se convierta en guía de preparación para la certificación en la norma ISO 27001?

1.4 ALCANCES Y DELIMITACIONES 1.4.1 Alcances

• El modelo guía se realizará bajo la norma ISO27001 y se tendrá como referencia el Modelo de Seguridad y Privacidad de la Información, que ha sido diseñado por el Ministerio de Tecnologías de la Información y las Comunicaciones (MINTIC).

• La solución anteriormente propuesta puede ser utilizada por las entidades públicas de orden nacional, así como proveedores de servicios de Gobierno en Línea y terceros que han adoptado el modelo de seguridad y privacidad de la información en el marco de la Estrategia de Gobierno Línea.

1.4.2 Delimitaciones El desarrollo e implementación de este proyecto está sujeto a los lineamientos establecidos en el Modelo de Seguridad y Privacidad de la Información del Ministerio de Tecnologías de la Información y las Comunicaciones.

1.5 OBJETIVOS

1.5.1 Objetivo General.

Desarrollar un modelo, que se convierta en guía para la preparación en la certificación en la norma ISO27001, a las entidades que se rigen bajo los lineamientos de Gobierno de en Línea.

1.5.2 Objetivos Específicos.

• Adquirir conocimientos acerca de los lineamientos que propone el modelo actual de Gobierno en Línea y conocer a detalle la norma ISO27001, teniendo en cuenta los pasos para su certificación.

• Realizar un análisis y un diagnóstico del sistema de seguridad de la información, de una entidad gubernamental que se rija bajo los lineamientos de gobierno en línea. • Realizar una auditoria interna, en la cual se evalúen las políticas, en una entidad

gubernamental que se rija por los lineamientos de gobierno en línea.

• Desarrollar una aplicación web que sirva de base para la preparación de la certificación de la norma ISO 27001.

1.6 JUSTIFICACIÓN

Este proyecto surgió en base a la necesidad de muchas empresas de querer certificarse en seguridad de la información bajo la norma ISO27001, sin tener una guía que fuera un indicador de los documentos y procesos necesarios para realizarla. Siendo apoyada por las directrices brindadas por el Ministerio de Tecnología y de la información, bajo un modelo llamado gobierno en línea.

1.7 MARCO DE REFERENCIA 1.7.1 Marco Histórico

Los proyectos que se mencionaran en este apartado, muestran el uso y la implementación de la norma ISO27001 en diferentes SGSI, con ellos se pueden ver los pasos utilizados para certificar sus modelos de seguridad. Estos proyectos en su respectivo negocio pudieron ser un apoyo como marco de referencia para verificar la correcta implantación de procesos en los modelos de seguridad de la información. Los proyectos de referencia son tanto académicos como corporativos.

1.7.1.1 Plan de implementación del SGSI den la norma ISO 27001:2013

Este es un Proyecto de investigación e implementación para la empresa ISAGXXX con apoyo de la Universidad Oberta Catalunya presentado en el año 2014 con el objetivo de establecer las bases para el desarrollo de un SGSI (Sistema de Gestión de la Seguridad de la Información) dentro de la organización.

Aporte Del Proyecto A La Propuesta A Grado

El aporte que brinda esta referencia, es mostrar en primera instancia la manera en que se debe crear un plan de implementación de la norma ISO/IEC 27001 en cualquier organización. A través de este proyecto se fomenta la aplicación de mejores prácticas en cuanto a seguridad de la información, permitiendo que la compañía genere confianza en la industria.

Introducción Del Proyecto

ISAGXXX es consciente de que la seguridad de la información es principalmente un proceso administrativo, relacionado y dependiente de aspectos tecnológicos. Por esta razón, se establece un compromiso institucional mediante el desarrollo de un modelo de soporte para la gestión y la promoción de una cultura de seguridad, definiendo las responsabilidades por parte de su personal, clientes y usuarios, para la protección de la seguridad de sus activos de información.

Para ISAGXXX es una decisión gerencial y estratégica, implantar su Sistema de Gestión de Seguridad de la Información, el cual le permite brindar a sus funcionarios, clientes y socios de negocio, niveles apropiados de seguridad y protección de la información.

Las responsabilidades y el modelo de organización de la gestión de la seguridad de la información en ISAGXXX hacen parte de este Sistema de Gestión de Seguridad de la Información.

El objetivo principal de ISAGXXX para el procesamiento y almacenamiento de su información, es preservar niveles apropiados de seguridad y calidad de acuerdo con los siguientes criterios:

Disponibilidad: Asegurar que los clientes, contratistas, proveedores y usuarios de los servicios de ISAGXXX puedan acceder a la información cuando lo requieran.

Confidencialidad: Asegurar que la información pueda ser accedida únicamente por los clientes, contratistas, proveedores y usuarios de los servicios de ISAGXXX debidamente autorizados.

Integridad: Asegurar que la información almacenada y/o procesada por ISAGXXX no sea alterada o modificada sin autorización.

Confiabilidad: La información debe ser la apropiada para la administración de la entidad y el cumplimiento de sus obligaciones. (Definición tomada de la circular externa 052 de 2007 expedida por la Superintendencia Financiera de Colombia)

Efectividad: TFM MISTIC Confidencial Página 7 de 42 La información relevante debe ser pertinente y su entrega oportuna, correcta y consistente. (Definición tomada de la circular externa 052 de 2007 expedida por la Superintendencia Financiera de Colombia)

Eficiencia: El procesamiento y suministro de información debe hacerse utilizando de la mejor manera posible los recursos. (Definición tomada de la circular externa 052 de 2007 expedida por la Superintendencia Financiera de Colombia)

El diseño, implantación y operación del Sistema de Gestión de Seguridad de la Información (SGSI) en ISAGXXX está directamente relacionado con las necesidades y objetivos del negocio, sus requerimientos de seguridad, el alcance definido por la Presidencia y la estructura propia de la compañía.

Este documento es confidencial y de propiedad de ISAGXXX La Dirección de Seguridad de la Información será responsable publicar las actualizaciones en la herramienta de documentación. (Salcedo Robin, 2013, p8) 1

Justificación Del Proyecto

El presenta proyecto tiene como justificación principal, apoyar, optimizar y gestionar los procesos críticos de la operación de energía, gestión tecnológica y áreas transversales de la organización ISAGXX, con el fin de obtener beneficios a nivel de imagen reputacional, mejor relacionamiento con el mercado y los clientes, mejora continua de los riegos de seguridad de la información y establecer un retorno de inversión (ROI) para la organización, a través de la definición e implementación del SGSI en ISAGXXX. (Salcedo Robin, 2013, p10) 2

Conclusiones Del Proyecto

A continuación, se describen las conclusiones del Proyecto:

• La cultura organizacional a nivel de seguridad de la información se ha incrementado en un 40%, debido a las actividades desarrolladas por el proyecto.

• Se llevaron a cabo campañas de sensibilización en la norma ISO 27001:2013 y los cambios con la ISO 27001:2005.

• El apoyo de la dirección es un factor clave en el gobierno del SGSI y en la madurez de la organización ISAGXX.

• Es necesario desarrollar una segunda auditoria interna al SGSI, para determinar el estado de los controles de seguridad que no fueron implementados en esta primera parte del proyecto.

• La gestión de riesgos, debe involucrar a todos los niveles de la organización y a la alta dirección de ISAGXXX.

• Es necesario dimensionar un presupuesto más amplio para las estrategias de seguridad de la información en la organización ISAGXXX.

• Se deben incrementar las pruebas de seguridad de forma periódica en ISAGXXXX. • Es necesario fortalecer el comité de seguridad de la información, para optimizar el

gobierno del SGSI.(Salcedo Robin, 2013, p12) 3

1.7.2 Marco Teórico

1.7.2.1 Sistemas De Información.

Un sistema de información (SI) es un conjunto de elementos orientados al tratamiento y administración de datos e información, organizados y listos para su uso posterior, generados para cubrir una necesidad o un objetivo. Dichos elementos formarán parte de alguna de las siguientes categorías:

• Personas;

• Actividades o técnicas de trabajo; • Datos;

Recursos materiales en general (recursos informáticos y de comunicación, generalmente, aunque no necesariamente).

Todos estos elementos interactúan para procesar los datos (incluidos los procesos manuales y automáticos) y dan lugar a información más elaborada, que se distribuye de la manera más adecuada posible en una determinada organización, en función de sus objetivos. (Sistemas de Información, 2013, p1)4

Bajo las directrices del Ministerio de Tecnologías de la Información y las Comunicaciones, los sistemas de información se tienen en cuenta para soportar los procesos misionales y de apoyo en una organización los cuales se conviertan en fuente única de datos útiles para apoyar o argumentar las decisiones corporativas. Los sistemas de información deben:

• Garantizar la calidad de la información

• Disponer de recursos de consulta para los públicos de interés

• Permitir transacciones desde los procesos que generan la información

• Ser escalables, interoperables, seguros, funcionales y sostenibles financiera y técnicamente

La estrategia de Sistemas de Información implica el desarrollo de los siguientes aspectos:

• Arquitectura de sistemas de información

• Desarrollo y mantenimiento

• Implantación

• Servicios de soporte técnico funcional

Como resultado de la gestión de sistemas de información se obtienen los sistemas de información de apoyo, sistemas de información misionales, servicios informativos digitales y sistemas de información de direccionamiento estratégico. (Fortalecimiento de la gestión TI en el estado. Sistemas de Información, p1)5

4 _{Wikipedia la enciclopedia libre, Sistema de información (2013).}

1.7.2.2 ISO 27001

ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.

ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas empresas han certificado su cumplimiento; aquí se puede ver la cantidad de certificados en los últimos años:(Advisera Expert Solutions. ¿Qué es la norma ISO27001? (2018))6

Ilustración 1 Estadísticas de certificados en ISO27001. AcademySchool. Advisera Expert Solutions (2018)

• Implantación

La implantación de ISO27001 en una organización es un proyecto que suele tener una duración entre 10 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido. Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO 27002, partirán de una posición más ventajosa a la hora de implantar ISO 27001

• Certificación

La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado.

• Beneficios directos:

Mejora en la seguridad de la información, en la gestión de servicios, con un sistema certificado por un tercero independiente.

• Beneficios indirectos:

1. Posicionamiento en el mercado.

2. Mejora de la imagen de la empresa.

3. Mejora de la competitividad de la empresa.

4. Depuración de procesos internos.

5. Empleados formados y concienciados en Seguridad.

6. Captación de clientes. (Tecniberia, ISO27001, SGSI. (2011))7

Enfoque basado en procesos

Esta norma promueve la adopción de un enfoque basado en procesos, para establecer, implementar, operar, hacer seguimiento, mantener y mejorar el SGSI de una organización. Para funcionar eficazmente, una organización debe identificar y gestionar muchas actividades. Se puede considerar como un proceso cualquier actividad que use recursos y cuya gestión permita la transformación de entradas en salidas. Con frecuencia, el resultado de un proceso constituye directamente la entrada del proceso siguiente. La aplicación de un sistema de procesos dentro de una organización, junto con la identificación e interacciones entre estos procesos, y su gestión, se puede denominar como un “enfoque basado en procesos”. El enfoque basado en procesos para la gestión de la seguridad de la información, presentado en esta norma, estimula a sus usuarios a hacer énfasis en la importancia de:

a) comprender los requisitos de seguridad de la información del negocio, y la necesidad de establecer la política y objetivos en relación con la seguridad de la información;

b) implementar y operar controles para manejar los riesgos de seguridad de la información de una organización en el contexto de los riesgos globales del negocio de la organización;

c) el seguimiento y revisión del desempeño y eficacia del SGSI, y

d) la mejora continua basada en la medición de objetivos. (NTC-IETC/ISO27001 (2006))8

1.7.2.3 Estrategia de gobierno en línea

Gobierno en línea es el nombre que recibe la estrategia de gobierno electrónico (e-government) en Colombia, que busca construir un Estado más eficiente, más transparente y más participativo gracias a las TIC. (Estrategia de Gobierno en Línea. (2016))9

Esto significa que el Gobierno:

• Prestará los mejores servicios en línea al ciudadano • Logrará la excelencia en la gestión

• Empoderará y generará confianza en los ciudadanos

• Impulsará y facilitará las acciones requeridas para avanzar en los Objetivos de Desarrollo Sostenible -ODS, facilitando el goce efectivo de derechos a través del uso de TIC. Declaración de compromiso con la agenda post 2015 -ODS-

Ejes temáticos de la estrategia

TIC para el Gobierno Abierto: Busca construir un Estado más transparente y colaborativo, donde los ciudadanos participan activamente en la toma de decisiones gracias a las TIC.

TIC para servicios: Busca crear los mejores trámites y servicios en línea para responder a las necesidades más apremiantes de los ciudadanos.

TIC para la gestión: Busca darle un uso estratégico a la tecnología para hacer más eficaz la gestión administrativa.

Seguridad y privacidad de la información: Busca guardar los datos de los ciudadanos como un tesoro, garantizando la seguridad de la información.

Actores clave de la estrategia

• Ciudadano: Son los principales beneficiarios de la Estrategia, ya que con ella tienen a su disposición una amplia oferta de trámites, servicios y canales de comunicación en línea para interactuar con las entidades públicas. Así mismo pueden participar en la toma de decisiones de asuntos de interés público, hacer sus peticiones, quejas, reclamos y denuncias para manifestar sus necesidades, y exigir el cumplimiento de sus derechos y contribuir en el mejoramiento de la gestión de las entidades públicas.

• Funcionario: Son los principales encargados de conocer, implementar, garantizar el cumplimiento y monitorear los resultados de la estrategia de Gobierno en línea en las

8 _{Organización Internacional de Normalización ISO. Editada por el Instituto Colombiano de Normas Técnicas}

y Certificación (ICONTEC). Norma Técnica Colombiana NTC-IETC/ISO27001 (2006).

entidades públicas del orden territorial y nacional con el fin de construir un Estado más eficiente y transparente gracias a las TIC.

• Industria TI, academia, organizaciones: Son actores fundamentales para la estrategia, ya que con su implementación podrán desarrollar alianzas y oportunidades de negocio con las entidades públicas del orden nacional y territorial. Son beneficiados por los acuerdos marco de precios para TI, participan en los programas de fortalecimiento a la industria de TI y en los programas de financiación a proyectos de innovación. (MINTIC. Estrategia de Gobierno en línea)10

1.7.2.4 Modelo de seguridad del ministerio de las tecnologías de la información y las comunicaciones

El Ministerio de Tecnologías de la Información y las Comunicaciones - MINTIC a través de la Dirección de Estándares y Arquitectura de TI y la Subdirección de Seguridad y Privacidad de TI, dando cumplimiento a sus funciones; publica El Modelo de Seguridad y Privacidad de la Información (MSPI), el cual se encuentra alineado con el Marco de Referencia de Arquitectura TI y soporta transversalmente los otros componentes de la Estrategia GEL: TIC para Servicios, TIC para Gobierno Abierto y TIC para Gestión.

El Modelo de Seguridad y Privacidad para estar acorde con las buenas prácticas de seguridad será actualizado periódicamente; reuniendo los cambios técnicos de la norma 27001 del 2013, legislación de la Ley de Protección de Datos Personales, Transparencia y Acceso a la Información Pública, entre otras, las cuales se deben tener en cuenta para la gestión de la información.

A nivel metodológico es importante tener presente que el (MSPI) cuenta con una serie de guías anexas que ayudarán a las entidades a cumplir lo solicitado permitiendo abordar de manera detallada cada una de las fases del modelo, buscando a su vez comprender cuáles son los resultados a obtener y como desarrollarlos, incluyendo los nuevos lineamientos que permiten la adopción del protocolo IPv6 en el Estado Colombiano.

La implementación del Modelo de Seguridad y Privacidad de la Información - MSPI, en la Entidad está determinado por las necesidades objetivas, los requisitos de seguridad, procesos, el tamaño y la estructura de la misma, todo con el objetivo de preservar la confidencialidad, integridad, disponibilidad de los activos de información, garantizando su buen uso y la privacidad de los datos.

Mediante la adopción del Modelo de Seguridad y Privacidad por parte de las Entidades del Estado se busca contribuir al incremento de la transparencia en la Gestión Pública, promoviendo el uso de las mejores prácticas de Seguridad de la Información como base de

la aplicación del concepto de Seguridad Digital. (MINTIC. Fortalecimiento de la gestión en el estado, Modelo de seguridad)11

1.7.2.5 Ciclo PHVA

El ciclo de Deming (de Edwards Deming), también conocido como círculo PDCA (del inglés plan-do-check-act) o espiral de mejora continua, es una estrategia de mejora continua de la calidad en cuatro pasos, basada en un concepto ideado por Walter A. Shewhart. Es muy utilizado por los sistemas de gestión de la calidad (SGC) y los sistemas de gestión de la seguridad de la información (SGSI).

Los resultados de la implementación de este ciclo permiten a las empresas una mejora integral de la competitividad, de los productos y servicios, mejorando continuamente la calidad, reduciendo los costos, optimizando la productividad, reduciendo los precios, incrementando la participación del mercado y aumentando la rentabilidad de la empresa u organización.

Ilustración 2 Ciclo PDCA. (Bernal, Jorge Jimeno, Grupo PDCAHOME. ¿Qué es el Ciclo PDCA (o Ciclo PHVA)? Ciclo PDCA (Planificar, Hacer, Verificar y Actuar): El círculo de Deming de mejora continua. (2013)). 12

Las cuatro etapas que componen el ciclo y las cuales serán implementadas en el desarrollo del modelo son las siguientes:

Planificar (Plan): Se definen las métricas, para que estas sean correctas tiene que cumplir una serie de puntos necesarios para ello.

o Tiene que ser algo notable para la entidad en la cual se va a realizar.

11 _{MINTIC. Fortalecimiento de la gestión en el estado, Modelo de seguridad.}

12 _{Bernal, Jorge Jimeno, Grupo PDCAHOME. ¿Qué es el Ciclo PDCA (o Ciclo PHVA)? Ciclo PDCA (Planificar,}

o Tiene que poder medir la evolución de la seguridad en la entidad en el paso del tiempo (cambios, mejoras).

o Tiene que ser reproducible.

o Tiene que ser objetiva.

o Tiene que ser justificable.

o Tiene que ser imparcial.

Una vez elegida la medida de seguridad hay que elegir la estrategia que haya sido seleccionada por la alta dirección de la entidad mediante una serie de objetivos estratégicos. A la hora de elegir las métricas hay que tener en cuenta los recursos con los que cuenta la organización, lo que obliga a que solo se puedan realizar las métricas que sean rentables a la entidad.

Hacer (Do): Se adaptan los procedimientos y controles con el fin de poder obtener los datos necesarios, definiendo así cómo medir la eficacia de los controles o grupos de controles seleccionados. Es necesaria comunicar los datos obtenidos al cuadro de mando Finalmente medir la eficacia de los controles para verificar que se han cumplido los requisitos de seguridad.

1.7.3 Marco conceptual

A continuación, se hará referencia a ítems en donde los Sistemas de Seguridad de la Información (SGSI) son parte importante para el Gobierno Nacional a través del Ministerio de Tecnologías de la Información y las Comunicaciones.

ISO (International Organization for Standardization): La organización Internacional de Normalización, es una organización para la creación de estándares internacionales compuesto por diversas organizaciones nacionales de estandarización.

ISO/IEC 27000: Esta norma proporciona una visión general de las normas que componen la serie 27000, indicando para cada una de ellas su alcance de actuación y el propósito de su publicación.

ISO/IEC 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones.

ISO/IEC 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable.

administración de la información. El término es utilizado principalmente por la ISO/IEC 27001, aunque no es la única normativa que utiliza este término o concepto.

SEGURIDAD DE LA INFORMACIÓN: Es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos y de la misma.

AUDITORÍA INFORMÁTICA: Es un proceso que consiste en recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos ya que esta lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, cumple con las leyes y regulaciones establecidas.

GOBIERNO EN LÍNEA (GEL): Es una estrategia definida por el Gobierno Nacional mediante el Decreto 1151 de 2008, que pretende lograr un salto en la inclusión social y en la competitividad del país a través de la apropiación y el uso adecuado de las Tecnologías de la Información y las Comunicaciones (T.I.C).

1.8 FACTIBILIDAD 1.8.1 Factibilidad Técnica

Para el correcto desarrollo del este proyecto, se tienen los conocimientos de las normas de la familia ISO/IEC 27000, de manera concreta con las normas ISO/IEC 27001:2013, también se cuenta con conocimiento en la implementación de SGSI y la estrategia de Gobierno en Línea.

Se contará con dos equipos de cómputo que poseen las siguientes características.

✓ Sistema operativo Windows 8.1 Enterprise

✓ Microsoft Office Professional Plus 2013 y 2016

✓ Microsoft Project Professional 2013 y 2016

✓ Microsoft Visio Professional 2013 y 2016

1.8.2 Factibilidad Operativa

1.8.3 Factibilidad Legal

Se cuentan con las normas necesarias para el desarrollo del modelo, se cuenta con la documentación del Ministerio de tecnologías de la información y las comunicaciones. Se cuenta con el licenciamiento de los sistemas operativos y de las herramientas de Microsoft.

1.8.4 Factibilidad Económica

Se consideró que el proyecto tiene una alta factibilidad económica, debido a que los insumos necesarios son mínimos, se necesitan asesorías por parte del tutor, conexión a internet, acceso a la biblioteca de la Universidad Distrital Francisco José de Caldas.

En las tablas que se presentan a continuación, se describe la factibilidad económica, identificando los costos de papelería, hardware, software y recursos humanos necesarios para la realización del proyecto que se propone.

Estas se dividieron en tres aspectos, recursos humanos, recursos técnicos y otros recursos, la distinción de los recursos humanos se presenta en la Tabla 1 Factibilidad de Recursos Humanos.

Tabla 1 Factibilidad Económica - Recursos Humanos. Los autores

TIPO DESCRIPCIÓN

VALOR-HORA

CANTIDAD PROVEEDOR TOTAL

Asesor Técnico

Asesorías

profesionales para la realización del proyecto,

referente a la metodología.

$ 40.000 90 Equipo de

trabajo

$ 3.600.000

Analistas Dos analistas con conocimiento en seguridad de la información, específicamente en la norma ISO27001 e implementen la solución.

$ 20.000 10 horas semanales

Equipo de trabajo

$ 4.000.000

Total, Recursos Humanos $ 7.600.000

Tabla 2 Factibilidad Económica - Recursos Técnicos. Los autores

RECURSO DESCRIPCIÓN VALOR

UNITARIO

CANTIDAD PROVEEDOR TOTAL

Computador portátil Toshiba Satélite C845 Procesador: Intel Core i3-2328M Memoria RAM: 4GB Almacenamien to: 500GB Equipo portátil para el desarrollo pertinente de la documentación respectiva, análisis del modelo guía para la certificación en ISO27001

$ 1.5000.000 1 Grupo de

trabajo

$ 1.500.000

Computador portátil HP 15-bw026ns Procesador: Intel® Core™ i5-7200U Memoria RAM: 4GB Almacenamien to: 500GB Equipo portátil para el desarrollo pertinente de las pruebas de implementación del modelo de medición.

$ 1.500.000 1 Grupo de

trabajo $ 1.500.000 Windows 8.1 Home Single Language Sistema operativo para los equipos de cómputo.

$ 200.000 2 Grupo de

trabajo $ 400.000 Microsoft Office Professional Plus 2013 Paquete de ofimática básico.

$ 250.000 2 Grupo de

trabajo $ 500.000 Microsoft Project Profesional 2013 Software de administración de proyectos.

$ 150.000 1 Grupo de

trabajo $ 150.000 Microsoft Visio Professional 2013 Software de dibujo vectorial

$ 150.000 1 Grupo de

trabajo

$ 150.000

Total, Recursos Técnicos $ 4.200.000

Tabla 3 Factibilidad Económica Costo Total. Los autores

RECURSO VALOR

Total, Recursos Humanos $ 7.600.000 Total, Recursos Técnicos $ 4.200.000 Total, Otros recursos $ 500.000

Costos imprevistos $ 400.000

1.9 CRONOGRAMA

CAPITULO 2:ISO 27001 Y LAS ESTRATEGIAS DE GOBIERNO EN LÍNEA 2.1 INTRODUCCIÓN

En el presente capítulo se dará a conocer al lector las normativas, preceptos, lineamientos y estipulaciones dadas por la estrategia de gobierno en línea. Iniciando con un preámbulo sobre las labores del Ministerio de Tecnologías de la información y la Comunicación. Seguido por una descripción detallada de los procesos de la estrategia de gobierno en línea. Esto con el fin de definir la participación de dichos procesos en el modelo propuesto en este proyecto.

2.2 MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN. (Ministerio de las tecnologías de la telecomunicación y de la información, portal Min Tic)13

El Ministerio de Tecnologías de la Información y las Comunicaciones, según la Ley 1341 del 2009 o Ley de TIC, es la entidad que se encarga de diseñar, adoptar y promover las políticas, planes, programas y proyectos del sector de las Tecnologías de la Información y las Comunicaciones.

Dentro de sus funciones está incrementar y facilitar el acceso de todos los habitantes del territorio nacional a las Tecnologías de la Información y las Comunicaciones y a sus beneficios.

2.2.1 Misión Y Visión

Misión

El Ministerio de Tecnologías de la Información y las Comunicaciones promueve el acceso, uso efectivo y apropiación masivos de las TIC, a través de políticas y programas, para mejorar la calidad de vida de cada colombiano y el incremento sostenible del desarrollo del país.

Visión

En el 2018, el Ministerio de las Tecnologías de la Información y las Comunicaciones estará preparado para enfrentar los retos de la economía digital y habrá logrado posicionar al país como referente en el desarrollo de aplicaciones sociales y contenidos digitales.

Contribuirá al desarrollo social y económico del país, al desarrollo integral de los ciudadanos y la mejora en su calidad de vida, mediante la investigación, promoción y apropiación del uso de nuevas tecnologías y la implementación de un modelo organizacional efectivo.

2.2.2 Objetivos y funciones

Los objetivos del Ministerio de Tecnologías de la Información y las Comunicaciones, conforme lo dispuesto por el artículo 17 de la Ley 1341 de 2009 son:

• Diseñar, formular, adoptar y promover las políticas, planes, programas y proyectos del Sector de Tecnologías de la Información y las Comunicaciones, en correspondencia con la Constitución Política y la ley, con el fin de contribuir al desarrollo económico, social y político de la Nación y elevar el bienestar de los colombianos.

• Promover el uso y apropiación de las Tecnologías de la Información y las Comunicaciones entre los ciudadanos, las empresas, el Gobierno y demás instancias nacionales como soporte del desarrollo social, económico y político de la Nación.

• Impulsar el desarrollo y fortalecimiento del Sector de Tecnologías de la Información y las Comunicaciones, promover la investigación e innovación, buscando su competitividad y avance tecnológico conforme al entorno nacional e internacional.

• Definir la política y ejercer la gestión, planeación y administración del espectro radioeléctrico y de los servicios postales y relacionados, con excepción de lo que expresamente determine la ley. (MINTIC, Gobierno de Colombia. A cerca del MINTIC.)14

El Ministerio diseñó y está implementando la Estrategia de Gobierno en línea, soportada en la construcción de la Arquitectura TI del Estado y el modelo de gestión estratégica con TI; todo esto para organizar las tecnologías de la información de acuerdo con la estrategia de cada sector, de cada región y de un solo país.

2.3 ESTRATEGIA DE GOBIERNO EN LINEA.

Fue liderada por el Ministerio de Tecnologías de la Información y las Comunicaciones, y corresponde al conjunto de instrumentos técnicos, normativos y de política pública que promueven la construcción de un Estado más eficiente, transparente y participativo, y que, a su vez, preste mejores servicios con la colaboración de toda la sociedad mediante el aprovechamiento de la tecnología. Lo anterior con el fin de impulsar la competitividad y el mejoramiento de la calidad de vida para la prosperidad de todos los colombianos. (MINTIC. Estrategia de Gobierno en línea. )15 Permite potenciar los cambios que se han presentado en la forma de operar de las naciones, aprovechando los avances de la tecnología para garantizar una mejor comunicación e interacción con la ciudadanía, que permita además la prestación de más y mejores servicios por parte del Estado.

14 _{MINTIC, Gobierno de Colombia. A cerca del MINTIC.}

La estrategia de Gobierno en Línea es la estrategia de gobierno electrónico (e-government) de Colombia. Está dividida en cuatro ejes temáticos: TIC para el Gobierno Abierto, TIC para servicios, TIC para la gestión y Seguridad y privacidad de la información.

Las entidades y los funcionarios públicos son los principales encargados de conocer, implementar, garantizar el cumplimiento y monitorear los resultados de la estrategia GEL.

2.3.1 Ejes Temáticos.

Con el fin de dar paso a la evolución de las entidades públicas, para lograr la adaptabilidad con las necesidades de la ciudadanía, MINTIC dio paso a la creación de los ejes temáticos los cuales apoyan a la estrategia a lograr que los ciudadanos cuenten con servicios en línea de muy alta calidad, impulsar el empoderamiento y la colaboración de los ciudadanos con el Gobierno, encontrar diferentes formas para que la gestión en las entidades públicas sea óptima gracias al uso estratégico de la tecnología y garantizar la seguridad y la privacidad de la información.

• TIC para gobierno en abierto. Comprende las actividades encaminadas a fomentar la construcción de un Estado más transparente, participativo y colaborativo en los asuntos públicos mediante el uso de las Tecnologías de la Información y las Comunicaciones.

• TIC para servicios. Comprende la provisión de trámites y servicios a través de medios electrónicos, enfocados a dar solución a las principales necesidades y demandas de los usuarios y empresas, en condiciones de calidad, facilidad de uso y mejoramiento continuo.

• TIC para la gestión. Comprende la planeación y gestión tecnológica, la mejora de procesos internos y el intercambio de información. Igualmente, la gestión y aprovechamiento de la información para el análisis, toma de decisiones y el mejoramiento permanente, con un enfoque integral para una respuesta articulada de gobierno y hacer más eficaz gestión administrativa de Gobierno.

• Seguridad y privacidad de la información. Comprende las acciones transversales a los demás componentes enunciados, tendientes a proteger la información y los sistemas de información, de acceso, uso, divulgación, interrupción o destrucción no autorizada. En el apartado 2.3.7 serán enunciados los logros, criterios y subcriterios de este ítem, debido a que de estos se desprenderán varios parámetros para el modelo guía para la certificación en ISO 27001 de las entidades, que han implementado las normas establecidas por la estrategia de gobierno en línea

2.3.2 Componentes de GEL en el plan de orden territorial.

Los componentes de la estrategia de Gobierno en línea se derivan de la evolución de las “Fases de Gobierno en línea” contempladas en el Decreto 1151 de 2008, y se adiciona un nuevo componente que contempla temas y actividades transversales, así:

investigar permanentemente sobre los cambios en las tendencias de comportamiento, para aplicar este conocimiento a sus diferentes momentos de interacción. De igual forma, se promueve que las entidades cuenten con una caracterización actualizada de la infraestructura tecnológica y establezcan un plan de ajuste permanente. En este componente también se describen actividades orientadas a que cada entidad cuente con una política de seguridad que es aplicada de forma transversal y mejorada constantemente; y que se garantice la incorporación del Gobierno en línea como parte de la cultura organizacional y elemento de soporte en sus actividades misionales.

Para alcanzar los objetivos de este componente, las entidades deberán desarrollar las siguientes actividades: 1. Institucionalizar la Estrategia de Gobierno en línea; 2. Centrar la atención en el usuario; 3. Implementar un sistema de gestión de Tecnologías de Información; 4. Implementar un sistema de gestión de seguridad de la información (SGSI). • Información en línea: comprende todas las actividades a desarrollar para que las

entidades dispongan para los diferentes tipos de usuarios de un acceso electrónico a toda la información relativa a su misión, planeación estratégica, trámites y servicios, espacios de interacción, ejecución presupuestal, funcionamiento, inversión, estructura organizacional, datos de contacto, normatividad relacionada, novedades y contratación, observando las reservas constitucionales y de Ley, cumpliendo todos los requisitos de calidad, disponibilidad, accesibilidad, estándares de seguridad y dispuesta de forma tal que sea fácil de ubicar, utilizar y reutilizar.

Las actividades de este componente están concentradas principalmente en dos aspectos: 1. Publicación de información y 2. Publicación de datos abiertos.

• Interacción en línea: comprende todas las actividades para que las entidades habiliten herramientas de comunicación de doble vía entre los servidores públicos, organizaciones, ciudadanos y empresas. Igualmente, este componente promueve la habilitación de servicios de consulta en línea y de otros mecanismos que acerquen a los usuarios a la administración pública, que les posibiliten contactarla y hacer uso de la información que proveen las entidades por medios electrónicos.

Las actividades están concentradas en dos aspectos: 1. Habilitar espacios electrónicos para interponer peticiones y 2. Habilitar espacios de interacción.

• Transacción en línea: comprende todas las actividades para que las entidades dispongan sus trámites y servicios para los diferentes tipos de usuarios, los cuales podrán gestionarse por diversos canales electrónicos, permitiéndoles realizar desde la solicitud hasta la obtención del producto sin la necesidad de aportar documentos que reposen en cualquier otra entidad pública o privada que cumpla funciones públicas. Lo anterior haciendo uso de autenticación electrónica, firmas electrónicas y digitales, estampado cronológico, notificación electrónica, pago por medios electrónicos y actos administrativos electrónicos.

La actividad a adelantar por parte de las entidades para dar cumplimiento al Componente de Transacción en línea está relacionada principalmente con la posibilidad del ciudadano de realizar trámites y servicios en línea, lo cual implica: 1. Formularios para descarga y/o diligenciamiento en línea, 2. Expedición en línea de certificaciones y constancias, 3. Automatización de trámites y servicios, 4. Ventanillas Únicas Virtuales, 4. Pagos en línea, 5. Uso de firmas electrónicas y digitales, entre otros.

entidades públicas, intercambiando información por medios electrónicos haciendo uso del lenguaje común de intercambio de información, liderando o participando en cadenas de trámites en línea. Asimismo, establece las pautas para que la entidad automatice sus procesos y procedimientos internos e incorpore la política de Cero Papel.

Las actividades se clasifican en dos grupos: 1. Actividades para hacer uso de medios electrónicos en procesos y procedimientos internos, y 2. Actividades para intercambiar información entre entidades.

• Democracia en línea: comprende todas las actividades para que las entidades creen un ambiente para empoderar a los ciudadanos e involucrarlos en el proceso de toma de decisiones. Con estas actividades se propicia que el ciudadano participe activa y colectivamente en la toma de decisiones de un Estado totalmente integrado en línea. Igualmente, se promueve que las entidades públicas incentiven a la ciudadanía a contribuir en la construcción y seguimiento de políticas, planes, programas, proyectos, la toma de decisiones, el control social y la solución de problemas que involucren a la sociedad en un diálogo abierto de doble vía. Este componente establece las indicaciones para que las entidades lleven a cabo sus ejercicios de participación en línea a través de un proceso ordenado y de realimentación permanente tanto al interior, como hacia sus ciudadanos y/o usuarios.

Son 4 los grupos de actividades de democracia en línea que se desarrollan en este componente: 1. Definir la estrategia de participación; 2. Construir de forma participativa las políticas y planeación estratégica; 3. Abrir espacios para el control social; 4. Abrir espacios de innovación abierta. (MINTIC. Estrategia de gobierno en línea, para orden territorial (2017))16

2.3.3 Implementación

La estrategia de gobierno en línea se debe incorporar dentro de los planes estratégicos y los planes de desarrollo administrativo de forma transversal en las entidades, con el fin de definir las actividades, responsables, metas y recursos con los que se cumplan los lineamientos establecidos en el decreto de Gobierno en línea. En este sentido, el GEL se encuentra incluido en Modelo Integrado de Planeación y Gestión como un instrumento para llevar a cabo las metas de las Políticas de Desarrollo Administrativo, las cuales permiten establecer el quehacer misional y el de apoyo, tomando como referentes las metas de Gobierno establecidas en el Plan Nacional de Desarrollo y las competencias normativas asignadas a cada entidad. En ese sentido se han proporcionado unos pesos ponderados de acuerdo a las actividades definidas en los componentes, según la complejidad de su desarrollo. Estos porcentajes son una recomendación de desarrollo del modelo para que la implementación de los lineamientos se lleve a cabo. La estrategia de GEL los define por componentes y se explica del siguiente modo:

Ilustración 4 Explicación de los porcentajes de las actividades por componente GEL. Manual de GEL

En el Plan de Orden Territorial

A continuación, se mostrarán las actividades por componentes:

• Porcentajes en Componente de Elementos Transversales

Ilustración 5 Porcentajes por actividades componente 1. Manual de GEL

La implementación del primer componente de la estrategia de gobierno en línea, en el plan territorial del 2017, se centró en comunicar a los usuarios impactados, el enfoque y los beneficios que tendría adoptar los parámetros en sus actividades como organización. Se realizo mediante cuatro actividades que a su vez tenían diferentes criterios. Los cuales apoyan el cumplimiento de las actividades de los componentes. En el plan territorial de orden nacional, realizó una concentración del 30% de participación de la actividad institucionalizar la estrategia de gobierno en línea, utilizando los criterios de comité de GEL, planeación del GEL, estrategia de apropiación y monitoreo y evaluación.

Luego se concentró un 30% en centrar la atención del usuario, para dar a conocer la estrategia a los usuarios impactados. Luego un 25% para gestionar la base del modelo de seguridad, el modelo de implementación SGSI. Y por último se designó un 15% para implementar un sistema de gestión de TI. Estos porcentajes dan el 100% del componente transversal.

• Componente de Información en Línea

Ilustración 6 Porcentajes de actividades componente. Manual de GEL

En el Plan de Orden Territorial

• Componente de interacción en línea.

Ilustración 7 Porcentajes de actividades por componente 3. Manual de GEL

En el Plan de Orden Territorial

El componente de interacción en línea se encarga de generar espacios de interacción con las plataformas del estado, donde el usuario pueda comunicar sus inquietudes y sea fácil acceder a la información. Para la implementación en el orden territorial se equilibraron las acciones para la realización de este componente.

• Componente de transacción en línea

Ilustración 8 Porcentajes de actividades por componente 4. Manual de GEL

En el Plan de Orden Territorial

• Componente de transformación

Ilustración 9 Porcentajes de actividades por Componente 5. Manual de GEL

En el Plan de Orden Territorial

El componente de transformación, brinda a las entidades la oportunidad de manejar la información entre miembros de la misma entidad y con otras entidades, de forma virtual, en este punto, el plan de orden territorial le brindo a la actividad de intercambio de información entre entidades mediante cadenas de trámites y servicios de intercambio de información, la mayoría de porcentaje de ejecución, la siguiente actividad tiene un porcentaje de 45% indicando que también es sumamente importante entregar la información de manera virtual.

• Componente de democracia en línea

Ilustración 10 Porcentajes de actividades por componente 6. Manual de GEL

En este ámbito, la estrategia de gobierno en línea se preocupa por involucrar a los usuarios finales en los todas los procesos de sí misma. Por ende, se designan un 40% en el plan de orden territorial para construir normas y políticas participativas. Luego se asignan 25% en promocionar la estrategia de datos abiertos y la solución de problemas, se deben asignar espacios para el control social por tal razón se designa un 20% y se dedica un 15% para definir una estrategia para que la ciudadanía participe.

2.3.4 Monitoreo y evaluación

En las entidades públicas se deben realizar los procesos correspondientes al monitoreo y evaluación del cumplimiento de la Estrategia de Gobierno en línea, asimismo se deberán gestionar las mediciones de impacto del uso y beneficio del Gobierno en línea en los usuarios y/o ciudadanos, lo anterior de acuerdo con las metodologías y lineamientos respectivos definidos por el Ministerio TIC.

Como resultado de este proceso de monitoreo y evaluación adelantado por cada entidad y por el Ministerio TIC, el Ministerio publicará periódicamente el Índice de Gobierno en línea, instrumento cuantitativo que mide el estado de avance de las entidades en la implementación de la Estrategia Gobierno en línea teniendo como referencia los criterios definidos en el Manual para la Implementación de la Estrategia de Gobierno en línea. El Índice de Gobierno en línea se calcula de la sumatoria de los pesos ponderados de cada uno de los diferentes criterios definidos en el Manual, los cuales están agrupados en los 6 componentes del nuevo modelo de Gobierno en línea y contemplan elementos de insumos, procesos y resultados que al sumarse completan 100 puntos por componente. Los resultados de cada componente, a su vez, se ponderan para obtener un resultado agregado total sobre 100 puntos, puntaje que se denomina Índice de Gobierno en línea. Adicional a este Índice, el Ministerio TIC y las entidades podrán identificar el grado de madurez en la implementación de lo establecido en los Manuales de Gobierno en línea, los cuales están determinados por el cumplimiento de la implementación de la Estrategia, así como por la obtención de resultados, y la generación de impacto y beneficios para los ciudadanos y usuarios. Los niveles de madurez que se enuncian a continuación se definen como un estado de evolución de la implementación de la Estrategia y sirven como referente para establecer el avance en términos generales en cada uno de los componentes (MINTIC. Estrategia de gobierno en línea, para orden territorial (2017))17:

Inicial: nivel en el cual se cuenta con las condiciones institucionales, en términos tecnológicos, humanos, normativos, presupuestales y de planeación para habilitar cada uno de los componentes.

Básico: nivel en el cual hay evidencia de prestación de trámites y servicios en línea. Existe entendimiento dentro de la entidad pública sobre los objetivos y beneficios del uso de las Tecnologías de la Información y las Comunicaciones en la apertura de información, en los procedimientos administrativos y en la interacción y prestación de servicios eficientes a los usuarios y ciudadanos que han sido caracterizados.

Avanzado: nivel en el cual se masifica la prestación de trámites y servicios en línea de acuerdo con las necesidades identificadas de los ciudadanos y usuarios. El Gobierno en Línea está institucionalizado, es parte de la rutina diaria y la cultura del sujeto obligado y los

procesos de rendición de cuentas y participación ciudadana en línea para la toma de decisiones que se realizan con frecuencia.

Mejoramiento permanente: nivel en el cual hay interiorización, innovación y réplica de experiencias exitosas en cuanto al Gobierno en línea. La entidad cuenta con datos abiertos a partir de los cuales se han generado servicios de valor agregado para los ciudadanos; implementa permanentemente acciones de mejora para garantizar la satisfacción de las necesidades de sus usuarios y de la ciudadanía en general, tanto en la prestación de servicios como en la discusión de políticas y promoción del control social.

Ilustración 11 Niveles de Madurez de Gobierno en Línea. Manual de GEL

En el Plan de Orden Territorial

Para medir la evolución de la implementación de gobierno en línea, se miden los índices de GEL, dependiendo su puntaje se pueden ir asignando niveles de madurez a la implementación del modelo gobierno en línea.

2.3.5 Marco de referencia. (MINTIC. Arquitectura TI Colombia. Marco de referencia) 18

Es la herramienta principal para implementar la Arquitectura TI de Colombia y facultar la Estrategia de Gobierno en línea. Con él se busca habilitar las estrategias de TIC para servicios, TIC para la gestión, TIC para el gobierno abierto y para la Seguridad y la privacidad. El ministerio de las Tics busca habilitar las estrategias de TIC para servicios, TIC para la gestión, TIC para el gobierno abierto y para la Seguridad y la privacidad, también permite constituir mejor la gestión de TI y abordar la arquitectura empresarial de las entidades públicas, con el objetivo que las Tecnologías de la información agreguen valor a las entidades del Estado.