comentarios a la propuesta de política nacional de seguridad digital

Comentarios a la propuesta de POLÍTICA NACIONAL de seguridad DIGITALFebrero 2016

COMENTARIO PARTE INTERESADAPARTE: COMENTARIOS GENERALES

1 En algunas partes del documento se hace referencia a los actores de interés y se puntualiza en algunos. Porque se excluye a los gobiernos territoriales?.

ACDTIC -05/02/2016

2 El concepto de seguridad digital no se encuentra definido en el glosario. ACDTIC -05/02/2016

DNI29/01/2016

3 Se debería unificar los mecanismos de socialización y concientización en una sola meta.

ACDTIC -05/02/2016

4 Se debería unificar las metas que corresponden al diseño de contenido educativo, capacitación de funcionarios para el fortalecimiento de la política de seguridad digital.

ACDTIC -05/02/2016

5 No se aprecia en el documento como se articulan las policías Judiciales ASOBANCARIA 05/02/20166 Consideran que la seguridad digital podría limitar el alcance, sugieren cambiar a

seguridad de la información o definir mejor el alcance.ASOBANCARIA 05/02/2016

7 La metodología de gestión de riesgos debe definir estándares por sector. ASOBANCARIA 05/02/20168 No es claro qué medidas se adoptaran para prevenir el delito en los equipos

terminales ( PC, MÓVIL, Smart TV, etc.)-ASOBANCARIA 05/02/2016

9 Las acciones previamente definidas en el CONPES 3701 y adelantadas por el sector privado como se incorporarán en esta nueva propuesta?

ASOBANCARIA 05/02/2016

10 La implementación de CSIRT sectoriales como se integraran con organismos del estado


11 Como se articula el nuevo papel del estado en materia del posconflicto con esta política?

Fundación Karisma, Fundación para la Libertad de Prensa , Comisión Colombiana de Juristas - 05/02/2016

12 Es necesario que el documento establezca claros organismos y mecanismos de control y supervisión al cumplimiento de la política y compromiso con los derechos humanos que ella establece.


13 Es necesario que el principio de protección a los derechos humanos que rige al documento CONPES sea desarrollado en el resto del documento, especialmente en las acciones concretas.


14 Dar una competencia a las instituciones como la Delegatura de Protección de Datos de la SIC, para que pueda realizar mayores controles a las empresas que almacenan,gestionan, datos personales fuera de Colombia


15 El documento CONPES de 2011 y el actual carecen totalmente de un análisis de género (… ), Propuesta: Generar una nueva acción que recoja el compromiso del Estado en adelantar la equidad de género en sus políticas, en este caso, en la de seguridad digital.


16 Para el sector de las TIC se encuentran vigentes normas jurídicas que consagran las reglas y obligaciones en materia de protección de los usuarios y sus datos personales (…) Sugieren que el análisis y la consolidación del documento CONPES así como de la normatividad que se expida en el marco de esta política pública cuente con la participación de la totalidad de los actores de interés

COMCEL / TELMEX 05/02/2016

17 El documento no establece roles y alcances de las múltiples partes interesadas:

Se propone adoptar cuanto descrito en el documento de la UIT: “National Cyber Security Strategy” – definiciones de rol y alcance de:

- Gobierno Nacional- Propietarios y operadores de Infraestructura- Agencias de Inteligencia- Fabricantes y proveedores de

infraestructura de seguridad- Academia- Socios Internacionales- Ciudadanos


18 (…) Como punto de partida es necesario entrar a definir si quiera a titulo enunciativo los intereses de orden nacional (…) una vez se tena una definición y/0 identificación de los intereses nacionales es necesario entrar a establecer prioridades y sectores económicos y de gobierno involucrados.

Proponen tabla con 4 variables para Infraestructuras críticas:

- Perdidas económicas- Afectación a personas- Consecuencias medioambientales- Correlación con otros sectores


19 Los términos, Seguridad digital, Ciberseguridad, Ciberdefensa pueden convivir armónicamente en el documento de política pública.

DNI 29/01/2016

20 El documento no incluye a la DNI ni siquiera en los aspectos directamente relacionados con inteligencia.

DNI 29/01/2016

21 Se da prioridad al fortalecimiento de capacidades administrativas y no operativas a las entidades (..) COLCERT, CCOC

DNI 29/01/2016

22 Las actividades se concentran en un número reducido de entidades de gobierno, mayor esfuerzo presupuestal.

DNI 29/01/2016

23 Proponen realizar mesas de trabajo adicionales que permitan fortalecer el documento con la participación de DNI, Sector Defensa y JIC

DNI 29/01/2016

24 Plantear la necesidad de una agencia, organismo o Institución Nacional de ciberseguridad y ciberdefensa que coordine los centros ya existentes y aquellos que se creerán .

DNI 29/01/2016

25 ¿Qué se entiende por seguridad digital? Pareciese que fuese algo distinto que la seguridad de la información y de la ciber seguridad. ¿El concepto de ciber defensa queda incluido o se trata por aparte?

GECTI 05/02/2016

26 ¿Por qué se cambia a Política Nacional de Seguridad Digital? GECTI 05/02/2016

27 Para el desarrollo de la Política Nacional de Seguridad Digital se establecen unos principios fundamentales, que deben ser inquebrantables (…) – ¿No se pueden cambiar o modificar si es del caso?

GECTI 05/02/2016

28 Al hacer revisión de diferentes políticas o estrategias nacionales en torno al tema, se puede concluir que las estrategias nacionales de ciberseguridad y ciberdefensa han evolucionado hacia estrategias nacionales de seguridad digital.¿Basado en qué argumento?

GECTI 05/02/2016

29 queda sin armonizar los elementos de ciber defensa y las labores de monitoreo proactivo de los observatorios de ciber seguridad y ciber delincuencia, los cuales se han venido consolidando en el país.

GECTI 05/02/2016

30 figura 3.3 Lo que ilustra es un sistema de gestión y no de gobierno de la seguridad digital.

GECTI 05/02/2016

31 No se habla de la rendición de cuentas del avance del programa a nivel general. GECTI 05/02/2016

32 Establecer un control y normatividad para que ninguna entidad, organización o persona que capta datos personales no pueda traficar con ellos, ej: las entidades se apropian de los datos

Presidencia05/02/2016

por defecto, cuando se realiza un trámite aprovechando la letra menuda y la firma de la solicitud, Eso debe ser eliminado de los formularios por los riesgos que esto genera. Algunas compañías de vigilancia para ingresar a conjuntos toman hasta datos biométricos para permitir el ingreso, quien autorizo eso y peor quien responde.Crear un mecanismo de formación o carrera en ciberseguridad más formal para los funcionarios de las entidades públicas y su debida estructura en la organización con recursos. Actualmente, en algunas entidades no pasa de ser una buena intención u otra tarea de algún todero.


33 Establecer los estándares mínimos de seguridad y ciberseguridad que debe implementar cualquier Entidad de Gobierno (roadmap), que conduzca por ejemplo a tareas, como mínimo para proteger la infraestructura, los servicios y los datos. Pensemos en un municipio.


34 Establecer un mecanismo de comunicación y colaboración más eficiente entre entidades y especialmente entre los equipos de seguridad, algunas cosas se están tratando superficialmente y no se ve un plan articulado en algunos momentos no vamos más allá de una presentación.


35 Hay que definir políticas de ciberseguridad para compra y contratación de tecnología y desarrollo de software, como criterios de selección y calificación. Las entidades estamos comprando si este tipo de criterios.


36 Revisar la política del monitoreo para infraestructura a través de sistemas SCADA Presidencia05/02/2016

PARTE: MARCO INSTITUCIONAL37 ¿Cuáles son las funciones de las instancias que se pretenden crear o modificar? ACDTIC -05/02/2016

38 M1.1 Es necesario determinar con claridad las diferentes funciones de los organismos que pueden hacer de una u otra forma vigilancia de las comunicaciones. En este sentido, debe establecerse la prohibición de usar herramientas tecnológicas que afecten la privacidad de comunicaciones por parte de organismos no facultados para hacerlo.


39 A.1.1.1 Consejero Presidencial - ¿Se necesita un nuevo cargo? ¿Qué funciones tendrá? La figura de Consejero no es viable sin antes no darle un marco jurídico para que pueda integrar las distintas entidades.


40 A.1.1.4 Para la creación de esta figura, se requiere la participación del Departamento Administrativo de la Función Pública, quien es el ente competente para estos casos. Por lo tanto, se sugiere que se incorpore al DAFP en este proceso. Por otro lado, para no aumentar más la burocracia, se sugiere que se incorpore que esta figura, la puede desempeñar el Director de TI de las entidades públicas, debido que actualmente son ellos quien están a cargo de estos temas


41 A1.1.5. Centro Criptológico Nacional¿Qué hará este nuevo organismo? Fundación Karisma, Fundación para la Libertad de Prensa , Comisión Colombiana de Juristas - 05/02/2016

42 A 1.2.5 Fortalecer COLCERT – El enfoque social de la nueva política debería considerar independizar colCERT del Ministerio de Defensa para que pueda responder mejor a las tareas de corte civil que tiene a su cargo. Esto no debe verse como un detrimento del aspecto defensivo de la seguridad digital pues aún se cuenta con el Comando Conjunto Cibernético. En la actualidad no existe una correcta integración del Colcert con otras entidades es el caso de la policía, la Delegatura de Protección de Datos, la rama judicial, entre otras.


43 OE1: No se entiende la figura de consejero presidencial, requeriría un organismo por debajo para que realice la coordinación en otros niveles

DNI – 29/01/2016

44 OE1: Con base en el decreto 032 de 2013 se debería revisar las funciones de la comisión Nacional Digital para lograr mayor articulación.

DNI – 29/01/2016

PARTE: MECANISMO/ INSTANCIA DE COORDINACIÓN45 ¿Si se realiza el proceso de creación de estas, como es el mecanismo de coordinación?

- Comisión Nacional Digital y de la Información Pública - Grupo de Respuestas Cibernéticas de Colombia - Figura de enlace sectorial en cada ministerio- Centro Criptográfico Nacional- Centro de Excelencia Nacional de Seguridad Digital

ACDTIC -05/02/2016

46 - Con el fin de fortalecer la capacidad institucional a nivel territorial, se debe crear un mecanismo de articulación con el fin de coadyuvar en las acciones emitidas a nivel nacional en torno al tema de seguridad digital.

ACDTIC -05/02/2016

47 - Se debe evaluar la coordinación con un ente territorial (Ej. Alta Consejería Distrital de TIC para Bogotá), el cual sea un agente dinamizador de la política de seguridad digital y sea encargado de armonizar lo definido por el Gobierno Nacional respecto a

ACDTIC -05/02/2016

la misma.48 En el modelo dinámico a crear por el Gobierno Nacional, como se evidenciaría la

articulación con los Gobiernos Territoriales, cuál sería el mecanismo de coordinación?49 ¿Cómo se integraría el ColCert con el CCP?

¿Cómo se integraría la fiscalía con el CCP? ASOBANCARIA 05/02/2016

50 A1.2.2 sugieren cambiar a una “ Agenda Nacional de Ciberseguridad y Ciberdefensa”, debe incluir al sector de inteligencia DNI, MINDEFENSA, JIC.

DNI – 29/01/2016

51 Se redunda en la atribución de funciones a Entidades y Organismos que normativamente ya cuentan con las mismas. Lo anterior, es muestra de la falta de conocimiento sobre roles, funciones y misión que adelantan las diferentes Entidades, lo cual se evidencia en los numerales A.1.2.3 y a 1.2.4 en virtud de que para estas acciones ya están creados el COLCERT y la JIC respectivamente

DNI – 29/01/2016

52 El COLCERT no debería depender de MDN, debería depender de la Agencia de Ciberseguridad y Ciberdefensa o en su defecto de la presidencia de la republica bajo la coordinación del consejero presidencial

DNI – 29/01/2016

PARTE: METODOLOGÍA DE GESTIÓN DE RIESGOS .53 Consideran necesario que la metodología haga parte de un estándar , que tenga

componentes adicionales, deben existir exigencias mínimas de seguridad en un estándar aplicado por sector y del cual haga parte la metodología de riesgos


54 Sugieren incluir tiempos de aplicación específicos para la aplicación de la metodología, y criterios para el seguimiento de la implementación


55 M1.3 Sobre este aspecto la metodología de riesgo debería partir sobre el enfoque dado en la norma ISO 31000, de acuerdo a riesgos estratégicos y operativos. La metodología ISO 31000, permite en la práctica establecer objetivos, riesgos y controles que pueden ser de mayor aplicación en los distintos actores del gobierno nacional.


56 La propuesta metodológica consiste en que a los sectores que cuenten con infraestructura critica se apliquen una misma metodología de riegos que definirá el


Gobierno Nacional ( por ejemplo Octave) (…) 57 El M1 1.3 Plantea la creación de una metodología para la gestión de riesgos de

seguridad digital, no debería ser una metodología únicamente para le gestión de riesgos. No debería limitarse a la deguridad digital si no estar centrada alrededor de la Ciberseguridad y Ciberdefensa, se limita su nivel estratégico.

DNI 29/01/2016

58 Se sugiere unificar las acciones A1.3.1 y A 1.3.4, y acalrar si la metodología será creada o adoptada pues ya existen muchas alternativas para la gestión de riesgos.

DNI 29/01/2016

PARTE: PROGRAMAS Y PROYECTOS DE EDUCACIÓN59 Se deberían unificar las Metas 1.4 y 1.5 ACDTIC -05/02/201660 Como es la articulación o mediante que mecanismo se coordina el gobierno nacional

con los territoriales en estos programas (…)ACDTIC -05/02/2016

PARTE: MARCO REGULATORIO / NORMATIVO61 Para los territorios: Teniendo en cuenta que a los Gobiernos Territoriales lo norma lo

expedido por el ente Nacional, se deben formalizar estos en decretos distritales?ACDTIC -05/02/2016

62 Proponen redacción para M2.1 “(..) y actualizar la ley de inteligencia con aspectos relacionados con la seguridad digital, así como la definición de estándares obligatorios para que sean cumplidos por los actores de interés y ajuste a las leyes existentes o promulgación de nuevas para combatir efectivamente el delito informático”


63 M 2.1 Es preocupante que en este punto se proponga considerar “el cibercrimencomo una amenaza contra la estabilidad del Estado”, ya que de este modo se estaría desconociendo el principio básico de separación de poderes. En efecto, la propuesta atentaría contra la división funcional entre la Policía Nacional y las autoridades judiciales, de un lado, y los organismos de inteligencia y seguridad y las fuerzas armadas (dependientes del Ejecutivo), de otro. La declaración citada autorizaría el tratamiento del crimen y las amenazas a la seguridad nacional como una misma cosa. Por tanto, ese aparte debe desaparecer. Así mismo, debe incluirse la mención al


principio fundamental Nº 1 del CONPES.64 Propuesta Texto M 2.1 -“El Gobierno nacional, en todo caso cumpliendo con el

principio fundamental n° 1 (PF1), consistente en “salvaguardar los derechos humanos y los valores fundamentales de los individuos, incluyendo la libertad de expresión, el libre flujo de información, la confidencialidad de la información y las comunicaciones, la protección de los datos personales y la privacidad, así como los principios fundamentales consagrados en la Constitución Política de Colombia” y la ley 1581 de 2012, debe compilar y actualizar la regulación en el sector de TIC teniendo en cuenta aspectos necesarios para la gestión de riesgos de seguridad digital, armonizar la normatividad que permita realizar eficientemente el almacenamiento, la retención y los procedimientos del suministro de información por parte de los proveedores de servicio de Internet en Colombia, y actualizar la ley de inteligencia con aspectos relacionados con la seguridad digital, incluyendo la participación de la comunidad de inteligencia y contrainteligencia.”


65 Propuesta de texto A2.1.2. “Armonizar con los estándares nacionales e internacionales de protección de Derechos Humanos la normatividad que permite realizar el almacenamiento, la retención y los procedimientos del suministro de información por parte de los proveedores de servicio de comunicación en Colombia.”


66 Propuestas para los textos de las acciones A 2.1.3, A 2.1.4, A 2.1.5 - sería recomendable tener en cuenta que no basta con hacer los estudios. Debe ser claro que ellos deben informar las decisiones de reforma de los marcos institucionales y legales para que efectivamente éstos sean compatibles con las exigencias de la protección de la privacidad y de los datos personales así como con los derechos fundamentales


67 A2.1 y A 4.1 – Sobre el marco legal y regulatorio, se recomienda aplicar la metodología de Análisis de Impacto Normativo AIN o RIA

CLARO / TELMEX 02/02/2016

68 Respecto al punto A 2.1.4 Sugieren no adelantar esta actividad por que ya existe normatividad vigente en esta materia.

CLARO / TELMEX 02/02/2016

69 A2.1.3 Si se va actualizar la ley de inteligencia se debe tener en cuenta a la JIC como parte de los responsables

La actualización de la ley de inteligencia implica realizar una reforma a la ley estatuaria (…) podría llevar a que el tiempo del CONPES no sea el suficiente para este objetivo (La creación de la ley de inteligencia fue aprobada después de 12 años

DNI 29/01/2016

de procedimiento legal.

PARTE: Concientización y Socialización70 M3.4 - La seguridad nacional como un valor deseable para toda la ciudadanía no

puede limitarse a la seguridad nacional, debe ser redactado nuevamente estoFundación Karisma, Fundación para la Libertad de Prensa , Comisión Colombiana de Juristas - 05/02/2016

71 Propuesta Texto M3.4 – “Mecanismos de socialización y concientización tanto de tipologías comunes que afecten la seguridad digital y gestión de riesgos, como del análisis y cumplimiento integral de la política de seguridad digital por parte de las múltiples partes interesadas”


72 Se valora la decisión plasmada en el documento con respecto a fortalecer el conocimiento (…) consideramos pertinente que se formalicen Alianzas Público – Privadas que tengan por objeto la sensibilización y capacitación a la comunidad (…) las entidades privadas que cumplen funciones públicas deberían estar más involucradas en cuanto a la seguridad de la información.

CERTICAMARA – 05/02/2016

PARTE: Diagnostico73 Necesario mencionar las vulnerabilidades que el ciudadano y las amenazas a las que

se enfrenta.ASOBANCARIA 05/02/2016

Es necesario integrar la forma de investigación de los delitos informáticos en fiscalía y Dijin/Sijin, mediante la creación de grupos especiales que aborden estos casos.


74 PROPUESTA DE TEXTO: “Las revelaciones de posibles abusos de las facultades de vigilancia que se habrían realizado contra negociadores del proceso de paz en la Habana (tanto del gobierno como de la guerrilla de las FARC, periodistas y opositores políticos) en una operación fachada de inteligencia militar llamada “Andrómeda” y la filtración de correos personales del Presidente Juan Manuel Santos, fruto de una intrusión abusiva en su cuenta de correo, fueron el detonante y confirmaron el incremento en incidentes de seguridad digital. Es por eso que, en el mes de febrero de 2014, el Presidente Juan Manuel Santos solicitara la creación de una Comisión de Expertos nacionales de alto nivel liderada por los ministerios de Defensa Nacional, de Justicia y de Tecnologías de la Información y las Comunicaciones, que fueran apoyados por una comisión internacional, con el fin de trabajar en el fortalecimiento de las políticas de Ciberseguridad y Ciberdefensa para el país.”


75 Se propone agregar tres problemas en el diagnóstico:1. Colombia necesita balancear los poderes excepcionales de las diferentes

autoridades con controles democráticos adecuados a dichas capacidades (…)2. La realidad del posconflicto impone el reconocimiento de sujetos y sectores

particularmente vulnerables.

3. (…) Plantear una figura asimilable a la de infraestructura crítica para pensar en la protección de estructuras comunicacionales de sectores como el de medios y defensores/as de derechos humanos.


() incentivar el uso de la red de internet e incrementar la confianza en la misma, necesita además de los servicios que prestan las instituciones públicas especializadas en este campo, como el CAI VIRTUAL, CCOC, CCP, entre otras, los de las entidades privadas que desarrollan productos y servicios que mitigan los riesgos en los medios electrónicos, como es el caso de las Entidades Certificadoras Abiertas, que claramente no pertenecen a las instituciones de seguridad (…)


76 3 Respecto al punto 4.3.1., en el cual se pone en evidencia el marco legal y regulatorio de los diversos temas de seguridad digital, se identifican tres errores (…) estos son:• Ley 1453 de 2011 • Decreto 2364 de 2012 • Decreto 333 de 2014


77 Tabla 4.1. Marco Normativo Nacional: resulta necesario incluir otras normas que no fueron enunciadas y que son determinantes a la hora de garantizar la seguridad digital en el entorno del país

SE SUGIEREN ADICIONES A LA TABLA - Ley 594 de 2000Ley 962 de 2005Ley 1437 de 2011Ley 1474 de 2011Ley 1564 de 2011Ley 1712 de 2014Ley 527 de 1999Decreto 2364 de 2012 Decreto 333 de 2014Decreto 1074 de 2015Decreto ley 019 de 2012


78 Punto 3.4.4 – Infraestructuras críticas: Se recomienda trazar la hoja de ruta de esta actividad identificando las fases. Consideran necesario que

CLARO / TELMEX05/02/2016

79 En tabla 4.1 haría falta la Ley 1712 de 2014 Sobre transparencia y acceso a la información que impacta las directrices de seguridad de la información y que contrasta con los estándares reconocidos de seguridad de la información, esto es:Para la 1712 – El principio fundamental es la publicidad y mientras para el 27001 es la confidencialidad.

GECTI05/02/2016

80 En el diagnostico no queda claro por qué es necesaria una modificación al marco normativo actual, consideran que la protección del derecho fundamental de privacidad de datos personales se encuentra suficientemente enmarcado.

LEVEL 305/02/2016

CCIT05/02/2016

PARTE: FORTALECIMIENTO DE CAPACIDADES81 El centro criptológico nacional no debería contemplarse como un ente certificado en

cabeza de MDN (…). No solo para el instituciones del sector defensa, sino para todas las instituciones del estado.

DNI29/01/2016

82 Las funciones de articulación enunciadas en A1.1.3 son inherentes a la naturaleza del COLCERT, sobraría esta actividad porque es una labor que ya debería está realizando

DNI29/01/2016

83 Proponen incluir al sector privado que hace parte de la infraestructura critica como responsables de garantizar la seguridad nacional en el entorno digital y por tanto su debida capacitación


84 A 3.2.1. – A 4.2.1. - El fortalecimiento de las capacidades de organismos de seguridad e inteligencia necesariamente tiene que venir acompañado del fortalecimiento de los controles a esas entidades para prevenir los abusos cuya ausencia fue notada en la parte de Antecedentes y con la obligación de que las facultades o acciones con que se fortalezcan se acompañen de un análisis de riesgo que permita establecer las posibles afectaciones a derechos humanos con el fin de mitigarlas apropiadamente (mediante disposiciones equivalentes como controles)


PARTE: INTRODUCCIÓN85 Propuesta de Texto para el resumen ejecutivo:

“El crecimiento del uso masivo de las Tecnologías de la Información y las Comunicaciones (TIC) en Colombia, así como el incremento de los servicios disponibles en línea y la creciente participación de la sociedad en actividades económicas y sociales en el entorno digital han transformado la vida de todos y cada uno de los Colombianos, sin embargo el uso del entorno digital acarrea riesgos inherentes de seguridad digital que deben ser gestionados. En tan sólo un mes (con corte al 5 de Febrero de 2016), la unidad de servicios de consultoría para la respuesta a incidentes de Intel Security conocida como Foundstone monitoreó un total de 47 incidentes críticos de seguridad digital en Colombia, ubicándose en el cuarto lugar entre los países de Latinoamérica durante este periodo de tiempo”

INTEL05/02/2016

86 Actualizar el texto que acompaña la figura 2.20 asi:“ a partir de información provista por Foundstone, unidad de servicios de consultoría agnóstica en seguridad de Intel Security, y con base en sus servicios de Ciber Inteligencia, indica que desde la puesta en operación de los mismos en el año 2000 y hasta el día 5 de Febrero de 2016 en los Estados Unidos se han detectado un total de

INTEL05/02/2015

604.608 incidentes y en Brasil 77.522, mientras que en Colombia se detectaron 8.136 incidentes de seguridad.”

87 Sugieren incluir más documentación de referencia: PROPUESTA DE REFERENCIAS A INCLUIR:● Relator Especial para la Libertad de Expresión de la Comisión Interamericana de Derechos Humanos de la OEA. Comunicado de prensa sobre la adquisición e implementación de programas de vigilancia por parte de Estados del hemisferio (21 de julio de 2015).● Declaración conjunta de las relatorías para Libertad de Expresión de la ONU y la OEA sobre programas de vigilancia y su impacto en la libertad de expresión.● CIDH. Informe sobre Terrorismo y Derechos Humanos de la Comisión Interamericana de Derechos Humanos. OEA/Ser.L/V/ll.116 Doc. 5 rev. 1 corr. 22 de octubre de 2002.● Naciones Unidas. Asamblea General. Informe del Relator Especial sobre la promoción y protección del derecho a la libertad de opinión y expresión, Frank La Rue. A/HRC/23/40. 17 de abril de 2013.● CIDH. Informe Anual 2013. Informe de la Relatoría Especial para la Libertad de Expresión. Capítulo IV (Libertad de Expresión e Internet). OEA/Ser.L/V/II.149. Doc. 50. 31 de diciembre de 2013 ● Declaración conjunta sobre libertad de expresión e internet de las relatorías para lalibertad de expresión de la ONU, OSCE, OEA y CADHP. Ver.● Naciones Unidas. Informe del Alto Comisionado de las Naciones Unidas para losDerechos Humanos El Derecho a la Privacidad en la Era Digital. A/HRC/27/37. 30 de junio de 2014.● Naciones Unidas, Consejo de Derechos Humanos. Principios Rectores Sobre lasEmpresas y los Derechos Humanos. 2011.● European Union Agency for Network andInformation Security (ENISA). (2014, 27 de noviembre). An evaluation framework forcybersecurity strategies4.


PARTE: INFRAESTRUCTURAS CRITICAS88 Modificar A4.2.2: Crear el Centro Nacional de Protección y Defensa de Infraestructura INTEL

Critica Nacional liderado por el CCOC y los Centros de Operaciones cibernéticas de las Fuerzas Militares, quienes en ejercicio de sus funciones ejecutarán acciones con base en las recomendaciones de los comités sectoriales para infraestructura crítica.

89 Modificar A4.2.3 así: Conformar comités sectoriales con representantes de gobierno y sector privado, para identificar, revisar y realizar recomendaciones sobre la Infraestructura Crítica Nacional con un enfoque de gestión de riesgos de seguridad digital y actualizarlo periódicamente. Por lo menos, los sectores que deben trabajarse son: Acueducto, Defensa, Energía, Financiero, Transporte y Telecomunicaciones.

INTEL

90 Colombia debe adoptar un marco de referencia en Ciberseguridad sólido y basado en marcos de referencia internacionales bien conocidos y maduros, esta adopción no se puede ver desde un punto de vista de estricto cumplimiento, ya que se deberá adaptar a la cultura y necesidades nacionales tanto de gobierno como de las entidades públicas y privadas que son actores en cada uno de los sectores de infraestructuras críticas, un excelente marco de referencia a adoptar puede ser el Cybersecurity Framework del NIST, el cual está basado en COBIT v5 y es utilizado por el Gobierno de Estados Unidos, Intel mismo participo en su desarrollo y utiliza este marco de referencia para la protección de sus infraestructuras criticas http://www.intel.com/content/www/us/en/government/cybersecurity-framework-in-action-use-case-brief.html, este marco se alinea con diferentes estándares de seguridad internacionales por sector que aplique a nuestro país, como por ejemplo:

Chemical Sector, Dams Sector, Financial Services Sector, Commercial Facilities Sector, Defense Industrial Base Sector, Food and Agriculture Sector, Communications Sector, Emergency Services Sector, Government Facilities Sector, Critical Infrastructuring Sector, Energy Sector, Healthcare and Public Health (HPH) Sector, Water and Wastewater Systems Sector, Nuclear Reactors, Materials, and Waste Sector, Education Sector, Transportation Systems Sector.

INTEL

PARTE: ANTECEDENTES Y JUSTIFICACIÓN91 Incluir reportes sobre los casos de

ataques y constantes violaciones a la seguridad digital de sectores de la sociedadcolombiana, casos de interceptaciones indebidas, hurto de dispositivos a periodistas (…), según cifras de la Fundación para la Libertad de Prensa, tanto en 2015 como en 2014 se registraron 6 casos de agresiones contra periodistas en entornos digitales. Por otro lado, según esa misma organización, en el 2014 se presentaron 15 reportes


http://www.intel.com/content/www/us/en/government/cybersecurity-framework-in-action-use-case-brief.html

http://www.intel.com/content/www/us/en/government/cybersecurity-framework-in-action-use-case-brief.html

de duplicaciones de cuentas en redes sociales con el fin de atacar la reputación de personas que ejercen el oficio periodístico.

92 Incluir en antecedentes la necesidad de actualizar la ley 1273 de 2009 pues no es suficiente para el hurto informático y la transferencia no consentida de activos.


93 Dentro de los antecedentes se debe reflejar que algunos estamentos del Estado han tenido injerencias ilegítimas en la intimidad de las comunicaciones de algunos sectores de la sociedad en particular con los periodistas.


94 es prioritario asignar responsabilidades claras a las empresas, debido al manejo de grandes cantidades de información personal de las personas consumidoras (la ciudadanía) (…) las medidas combativas para reducir el riesgo de ocurrencia de un delito, no sea el menoscabo de derechos y libertades de las personas.


PARTE: DEFINICIÓN DE LA POLÍTICA, OBJETIVOS, PRINCIPIOS, DIMENSIONES

95 OE1: No debería centrarse en la seguridad digital si no en la ciberseguridad y ciberdefensa.

DNI 29/01/2016

96 OE2: El objetivo de prosperidad económica y social deja por fuer el componente de ciberseguridad y ciberdefensa (…) hace que el documento pierda el ámbito estratégico.

DNI 29/01/2016

97 El numeral 5.1.1 PF3 – Menciona las responsabilidades compartidas mas no menciona quienes deben compartir dicha responsabilidad ni cuál es la responsabilidad compartida, sugieren eliminar este principio fundamental

CLARO /TELMEX05/02/2016

98 Más que un objetivo general, pareciera uno instrumental (específico) (…). El texto parece sugerir que la política es de aplicación exclusiva a las personas nacionales colombianas, dejando de lado a sinnúmero de personas extranjeras que residen y trabajan, inclusive comercian, en el territorio nacional. Por lo tanto, se sugiere que a lo largo del documento, en lugar de hablar de colombianos, se utilice una acepción más amplia como ciudadanía.


99 Propuesta de texto Objetivo Central: “La política nacional de seguridad digital tiene como objetivo lograr un entorno digital colombiano libre, abierto, seguro, confiable e inclusivo con el concurso de todas las partes interesadas: el Gobierno Nacional y los territoriales, las organizaciones públicas y privadas, la academia, la comunidad


técnica, y la sociedad civil. Internet en Colombia deberá ser un espacio para el libre ejercicio de los derechos de la ciudadanía y para el crecimiento de la economía nacional que maximice los beneficios obtenidos de una mayor prosperidad económica, política y social del país a través del fortalecimiento de las capacidades de todas las partes interesadas, según corresponda, para identificar, gestionar y mitigar los riesgos de las actividades digitales.”

100 PF1 - No es claro lo que se entiende por “valores fundamentales”. Se debe enfocar la política en los derechos humanos y si se desea, se deben describir los valores fundamentales a los que se refieren, sobre todo, si estos se desarrollan en contextos y diagnóstico ya descritos.


101 Propuesta Texto PF1 - “Mantener un Internet libre, abierto, seguro e inclusivo salvaguardando los derechos humanos de las personas, protegiendo especialmente la libertad de expresión, el derecho a la información, el de la intimidad, el habeas data y la protección de datos, y promoviendo los valores democráticos y del Estado de Derecho. En caso de limitación a estos derechos, debe ser bajo medidas excepcionales y estar conforme con la Constitución Política y los estándares internacionales aplicables. Estas medidas, deben ser proporcionales, necesarias y en un marco de legalidad.”


102 PF2 - Proponemos ajustar el texto para corregir la traducción del inglés de “multistakeholder” por el término “múltiples partes interesadas”, no “actores interesados” como aparece. Además, se debe incluir a la comunidad técnica como una parte actora dentro de esta propuesta. En general, en todos los apartes del documento en los que aparecen “actores de interés” debe hablarse de “múltiples partes interesadas


103 Propuesta Texto PF2 – “Adoptar un enfoque incluyente y colaborativo que involucre activamente a todas las partes interesadas en la seguridad digital del país y de sus habitantes, lo que incluye al Gobierno Nacional, los entes territoriales, las organizaciones públicas y privadas, la academia, la comunidad técnica y la sociedad civil, y que permita establecer condiciones para el desarrollo eficiente de alianzas, con el fin de promover la seguridad digital en el país”


104 Texto DE2 - La gobernanza, como se desprende del documento CONPES, no tiene que ver con el modelo multistakeholder –de múltiples partes interesadas– que viene funcionando en Internet. La redacción debe reflejar el espíritu de este modelo.


105 Propuesta Texto DE2 – “Gobernanza del entorno digital: articulación y armonización Fundación Karisma, Fundación para la Libertad

de las múltiples partes interesadas a través del estímulo a su participación, con el fin de gestionar la seguridad digital.”

de Prensa , Comisión Colombiana de Juristas - 05/02/2016

106 Texto DE4 – Para desarrollar efectivamente la llamada “cultura ciudadana para la seguridad digital”, el Estado debe contribuir a través de la construcción de capacidades entre todos las partes interesadas, pero, sobre todo, en la sociedad civil, en la comunidad técnica que defienda sus intereses y en los funcionarios del Estado que deben protegerlos.


107 Propuesta texto DE4 – “Cultura ciudadana para la seguridad digital: sensibilización y construcción de capacidades de todas las partes interesadas, especialmente de la sociedad civil, de la comunidad técnica y de los funcionarios públicos, para crear y fomentar una cultura ciudadana responsable en la seguridad digital”


108 Objetivo Central: Esta es una declaración más administrativa y ejecutiva que una proposición de acción sobre temáticas relevantes. Su lectura está hecha para los directivos y no para el público en general que no espera discursos, sino acciones que le permitan creer en el ejercicio de aseguramiento del contexto digital que el gobierno desea hacer.

GECTI 29/01/2016

109 Los principios fundamentales, carecen de una visión sistémica y holística. Están fundados en la gestión y busque de certezas, mientras es claro que el entorno es volátil, incierto, complejo y ambiguo

GECTI 29/01/2016

110 sugiere un quinto principio que verse de la siguiente forma:Promover una vista sistémica de la seguridad digital, que, entendiendo el ecosistema tecnológico de la nación, permita asumir la inestabilidad e incertidumbre del entorno, como insumo estratégico para aumentar la capacidad de resiliencia nacional frente a eventos no deseados o imprevistos que comprometan la gobernabilidad del país.

GECTI 29/01/2016

PARTE: GLOSARIO111 Incluir: Dato personal, Titular:, Datos sensibles, Tratamiento de datos sensibles. Fundación Karisma, Fundación para la Libertad

de Prensa , Comisión Colombiana de Juristas - 05/02/2016

112 No se define en el glosario Infraestructura Critica. LEVEL 305/02/2016

113 “Propuesta definición IC: Corresponde a aquella infraestructura conformada por las redes, sistemas y activos físicos o virtuales cuya afectación, corte o destrucción generaría consecuencias negativas mayores en la seguridad, salud y bienestar económico de los ciudadanos o la perdida de gobernabilidad en tan solo poco minutos.”

LEVEL 305/02/2016

CCIT 05/02/2016

comentarios a la propuesta de política nacional de seguridad digital

Government & Nonprofit