o

Código formato: PGD-02-02 Versión: 11.0

PLAN DE SEGURIDAD DE LA INFORMACIÓN

Código documento: PGTI-02 Versión: 1.0 CONTRALORÍA

DE BOGOTÁ. D.C.

Página 1 de 9

Aprobación Revisión Téc ica

Firma: -~oneoDicryg42 Ce 1 1/41) V

CARMEN ROSA MENDOZA Nombre: SUÁREZ

No bre: MERCEDES YUNDA MONROY

Cargo: Director Técnico Cargo: Director Técnico

Dirección de Tecnologías de la Dependencia: Información y las Comunicaciones

Dependencia: Dirección de Planeación

R.R. No. Comité SIGEL Fecha DICIEMBRE 19 E 2018

Código formato: PGD-02-02 Versión: 11.0

CONTRALORÍA DF BOGOTA D C

PLAN DE SEGURIDAD DE LA INFORMACIÓN

Código documento: PGTI-02 Versión: 1.0

Página 2 de 9

JUAN CARLOS GRANADOS BECERRA Contralor de Bogotá, D.C.

ANDRÉS CASTRO FRANCO Contralor Auxiliar

MERCEDES YUNDA MONROY Directora Técnica de Planeación

CARMEN ROSA SUAREZ MENDOZA Directora Técnica de Tecnologías de la Información y las Comunicaciones

Diciembre 2018

o

Código formato: PGD-02-02 Versión: 11.0

PLAN DE SEGURIDAD DE LA INFORMACIÓN Código documento: PGTI-02 Versión: 1.0 CONTRALORÍA

DE BOGOTA. D.C.

Página 3 de 9

TABLA DE CONTENIDO

INTRODUCCIÓN 4 OBJETIVOS 4

2.1 OBJETIVO GENERAL 4 2.2 OBJETIVOS ESPECIFICOS 4

ALCANCE 4 BASE LEGAL: 4 METODOLOGIA DE IMPLEMENTACIÓN 6 CRONOGRAMA 7 IMPLEMENTACIÓN ANEXO A - NORMA ISO 27001:2013 8

Código formato: PGD-02-02 Versión: 11.0

PLAN DE SEGURIDAD DE LA INFORMACIÓN

Código documento: PGTI-02 Versión: 1.0 CONTRALORÍA

DE BOGOTÁ. D.C.

Página 4 de 9

INTRODUCCIÓN

La Contraloría de Bogotá, en el Plan Estratégico Institucional, estableció el Objetivo Estratégico No. 5 - Estar a la vanguardia de las tecnologías de la información y las comunicaciones que potencialicen los procesos y fortalezcan el ejercicio de control fiscal' y para articular este objetivo, se determinaron cinco estrategias, una de ellas, la "5.2. Proteger la información institucional, buscando mantener la con fidencialidad, la disponibilidad, integridad y seguridad de los datos", para lo cual, la entidad, se encuentra implementando del Subsistema de Seguridad de la información- SGSI, el cual se encuentra articulado con la Política de Gobierno Digital; durante la vigencia 2019, ejecutará el presente plan, mediante el cual, se continuara la implementación del SGSI.

OBJETIVOS

2.1 OBJETIVO GENERAL

Definir el plan de seguridad la información para la implementación, evaluación y mejora continua del Subsistema de Gestión de Seguridad de la Información — 5051 de la Contraloría de Bogotá, con el fin de mantener la confidencialidad, integridad y asegurar la disponibilidad de los activos de información.

2.2 OBJETIVOS ESPECIFICOS

Establecer actividades, responsables y tiempo de ejecución para la implementación del Subsistema de Seguridad de la Información de la Contraloría de Bogotá, el cual se encuentra basado en el Modelo de Seguridad y Privacidad de la Información MPSI del MINTIC, establecido como habilitador transversal de seguridad de la información en la Política de Gobierno Digital.

Fortalecer la seguridad de la información en la de Contraloría de Bogotá mediante la aplicación de controles para la protección de los activos de información de la Entidad.

Cumplir la normatividad y lineamientos de la Política de Gobierno Digital establecidos para el habilitador transversal de seguridad de la información.

ALCANCE

El Plan, está previsto para el alcance del Subsistema de Gestión de Seguridad de la Información de la Contraloría de Bogotá, D.C, se enmarca en las actividades planteadas para el año 2019.

BASE LEGAL:

Código formato: PGD-02-02 Versión: 11.0

PLAN DE SEGURIDAD DE LA INFORMACIÓN Código documento: PGTI-02 Versión: 1.0 CONTRALORÍA

DE BOGOTÁ. D.C.

Página 5 de 9

NORMA FECHA DESCRIPCIÓN

Ley 599 24-jul-2000 Por la cual se expide el Código Penal. Título III capítulo séptimo de la violación a la intimidad, reserva e interceptación de comunicaciones. Art 192, 193, 194,196 y 197.

Le 1273 y 05-ene-2009 Por medio de la cual se modifica el Código Penal. Título VII Bis "De la protección de la información y de los datos". Artículos 269A a 269J.

Ley 1581 17-oct-2012 Por la cual se dictan disposiciones generales para la protección de datos personales.

Ley 1712 06-mar- 2014 Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones.

Ley 1915 12-jul-2018 Por la cual se modifica la ley 23 de 1982 y se establecen otras disposiciones en materia de derecho de autor y derechos conexos.

Decreto 1377 27-jun-2013 Por la cual se reglamenta parcialmente la Ley 1581 de 2012.

Decreto 886 13-ma y-2014 Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012, relativo al Registro Nacional de Bases de Datos

Decreto 103 20-ene-2015 Por el cual se reglamenta parcialmente la Ley 1712 de 2014.

Decreto 1078 26-may-2015

Por medio del cual se expide el Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones. Capítulo 1, Título 9, Libro 2, Parte 2 subrogado por el Decreto 1008 de 2018.

Decreto 1081 26-ma y-2015 Por medio del cual se expide el Decreto Único Reglamentario del Sector Presidencia de la República. Parte 1, Titulo 1.

Decreto 090 18-ene-2018 Por el cual se modifican los artículos 2.2.2.26.1.2 y 2.2.2.26.3.1 del Decreto único reglamentario del sector comercio, industria y turismo 1074 de 2015.

Decreto 1008 14-jun-2018

Por el cual se establecen los lineamientos generales de la política de Gobierno Digital y se subroga el capítulo 1 del Título 9 de la Parte 2 del Libro 2 del Decreto 1078 de 2015, Decreto Único Reglamentario del sector de Tecnologías de la Información y las Comunicaciones. Política de Gobierno Digital.

Acuerdo 658 21-dic-2016

Por el cual se dictan normas sobre organización y funcionamiento de la Contraloría de Bogotá, D.C., se modifica su estructura orgánica e interna, se fijan las funciones de sus dependencias, se modifica la planta de personal, y se dictan otras disposiciones.

Acuerdo 664 28-mar-2017

Por el cual se modifica parcialmente el Acuerdo 658 del 21 de diciembre de 2016, por el cual se dictan normas sobre organización y funcionamiento de la Contraloría de Bogotá, D.C., se modifica su estructura orgánica e interna, se fijan las

kir>9)

CONTRALORÍA DE BOGOTÁ, D.C.

Código formato: PGD-02-02 Versión: 11.0

PLAN DE SEGURIDAD DE LA INFORMACIÓN

Código documento: PGTI-02 Versión: 1.0

Página 6 de 9

NORMA FECHA DESCRIPCIÓN funciones de sus dependencias, se modifica la planta de personal, y se dictan otras disposiciones.

Resolución 305 20-oct-2008

Comisión Distrital de Sistemas. Por la cual se expiden políticas públicas para las entidades, organismos y órganos de control del Distrito Capital, en materia de Tecnologías de la Información y Comunicaciones respecto a la planeación, seguridad, democratización, calidad, racionalización del gasto, conectividad, infraestructura de Datos Espaciales y Software Libre.

Resolución 0 04 28-nov-2017 Por la cual se modifica la Resolución 305 de 2008 de la CDS.

NTC-ISO/IEC COLOMBIANA 27001:2013

11-dic-2013 Norma Técnica Colombiana NTC-ISO-IEC 27001.Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la Información.Requisitos.

Guías MPSI 29-jul-2016 Modelo de Seguridad y Privacidad de la Información, MINTIC.

5. METODOLOGIA DE IMPLEMENTACIÓN

La implementación del Subsistema de Seguridad de la Información SGSI de la Contraloría de Bogotá, se basa en el Modelo de Seguridad y Privacidad de la Información - MPSI establecido por el Ministerio de Tecnologías de la Información, el cual tiene como referencia la norma ISO/IEC 27001:2013 con aplicación del ciclo de operación de la mejora continua - PHVA (Planear, Hacer, Verificar y Actuar).

Figura No. 1 Ciclo de operación del Modelo de Seguridad y Privacidad de la Información. Fuente: Modelo de Seguridad y Privacidad de la Información.MINTIC

La implementación del SGSI en la Entidad, se realizará a través de la ejecución de actividades establecidas para el desarrollo del ciclo PHVA definido en el siguiente cronograma.

CONTRALORÍA hOCOTA 1)C

Código formato: PGD-02-02 Versión: 11.0 Código documento: PGTI-02 Versión: 1.0 Página 7 de 9

PLAN DE SEGURIDAD DE LA INFORMACIÓN

6. CRONOGRAMA

FASE ACTIVIDADES RESPONSABLE PERIODO EJECUCIÓN

1-Diagnostico Actualización de autodiagnóstico — MINTIC con los avances realizados en SGSI por la entidad

Dirección TIC Enero -2019

2- Planificación

Revisión anual / actualización de Políticas de seguridad de la Información.

Comité SIGEL Dirección TIC Junio 2019

Modificación y aprobación de procedimiento de mapa riesgos de CB incorporando la metodología de riesgos de seguridad digital alineado con la nueva metodología del DAFP, acorde a los numerales 6.1.2 y 8.2 Valoración de Riesgos de Seguridad de la Información de los requisitos de la Norma ISO/IEC 27001:2013

Dirección Planeación

Dirección TIC

Febrero 2019

Identificación de Riesgos y plan de tratamiento de seguridad digital, acorde a los numerales 6.1.3 y 8.3 Tratamiento de Riesgos de Seguridad de la Información de los requisitos de la Norma ISO/IEC 27001:2013

Dirección Planeación

Alta Dirección Marzo de 2019

Aprobación de procedimientos de seguridad y privacidad de la información.

Dirección TIC

Dirección DAF

Despacho de Contralor Auxiliar

Enero - Junio 2019

Actualización de actividades de comunicaciones y Capacitación de SGSI.

Dirección de TIC Febrero -2019

3- Implementación

Actualización de la planificación y Control operacional.

Dirección de TIC Febrero 2019

Actualización de indicadores de gestión de SGSI

Dirección de TIC Febrero 2019

Implementación de Plan de tratamiento de los riesgos. Alta Dirección Marzo —

Diciembre 2019

Código formato: PGD-02-02 Versión: 11.0

PLAN DE SEGURIDAD DE LA INFORMACIÓN

Código documento: PGTI-02 Versión: 1.0 CONTRALORÍA

DE BOGOTA, D.C.

Página 8 de 9

Implementar los controles (Definidos en la Declaración de aplicabilidad).

Dirección de TIC Directores, Subdirectores, Jefes de oficina

enero — Diciembre 2019

Ejecución de actividades de comunicaciones y capacitación SGS1

Dirección de TIC Subdirección de capacitación y cooperación técnica.

enero — diciembre 2019

4- Evaluación y desempeño

Revisión y seguimiento, a la implementación del SCSI por la alta dirección.

Comité SIGEL mayo -2019

Plan de Ejecución de Auditorías Control Interno junio-2019

5- Mejora Continua

Plan de mejoramiento

Control interno Dirección de TIC Directores, Subdirectores, Jefes de oficina

diciembre -2019

Comunicación de resultados de auditorias

Control interno Julio — diciembre 2019

7. IMPLEMENTACIÓN ANEXO A - NORMA ISO 27001:2013.

A continuación se describen los dominios y controles que se seleccionaron para desarrollar y fortalecer en la vigencia 2019, de acuerdo a los resultados de los avances alcanzados por la Entidad en el año 2018 en las fases de planificación e implementación del Subsistema de Seguridad de la Información:

DOMINIOS CONTROLES

A.5 Políticas de seguridad A.5.1.2 Revisión de las Políticas de seguridad A.6 Organización de la

seguridad de la información

A.6.1 - Organización interna A.6.2 Dispositivos móviles y teletrabajo

A.7 Seguridad de los recursos humanos

A.7.1.2 Términos y condiciones del empleo A.7.2.2 Toma de conciencia, educación y formación en la seguridad de la información A.7.3.1 Terminación o cambio de responsabilidades de empleo

A.8 Gestión de activos

A.8.1 Responsabilidad por los activos A.8.2. Clasificación de la información A.8.3. Manejo de medios

A.9 Control de acceso

A.9.1.1 Política de control de acceso A.9.2 Gestión de acceso de usuarios A.9.4 Control de acceso a sistemas y aplicaciones

A.10 Criptografía A.10 Criptografía A.11 Seguridad física y del A.11.1 Áreas seguras

O

Código formato: PGD-02-02 Versión: 11.0

PLAN DE SEGURIDAD DE LA INFORMACIÓN Código documento: PGTI-02 Versión: 1.0 CONTRALORÍA

DE BOGOTA D.C.

Página 9 de 9

DOMINIOS CONTROLES entorno A.11.2 Equipos

A.12 Seguridad de las operaciones

A.12.1 Procedimientos operacionales y responsabilidades A.12.2.1 Controles contra códigos maliciosos A.12.3.1 Respaldo de información A.12.4 Registro y seguimiento A.12.5.1 Instalación de software en sistemas operativos A.12.6 Gestión de la vulnerabilidad técnica A.12.7 Consideraciones sobre auditorias de sistemas de información

A.13 Seguridad de las comunicaciones.

A.13.1.1 Controles de redes A.13.2 Transferencia de información

A.14 Adquisición, desarrollo y

mantenimientos de sistemas

A.14.1.2 Seguridad de servicios de las aplicaciones en redes publicas A.14.1.3 Protección de transacciones de los servicios de las aplicaciones A.14.2. Seguridad en los procesos de desarrollo y de soporte A.14.3.1 Protección de datos de prueba

A.15 Relación con los proveedores.

A.15.1 Seguridad de la información en las relaciones con los proveedores

A.16 Gestión de incidentes de seguridad de la

información.

A.16.1 Gestión de incidentes y mejoras en la seguridad de la información

A.17 Aspectos de seguridad de la

información de la gestión de continuidad de negocio.

A.17.1 Continuidad de seguridad de la información A.17.2 Redundancias

A.18 Cumplimiento A.18.1 Cumplimiento de requisitos legales y contractuales A.18.2 Revisiones de seguridad de la información

8. CONTROL DE CAMBIOS

Versión R.R., Acta o modificación Día mes año Descripción de la modificación

1.0 Acta No.5

Comité SIGEL 19-dic-2018

Versión Inicial

min• ~par .1~ . • ME • •

- 4

•

iddiaa I mmaiNsina 1

nom u -Ir 4 u •- 1.1 1 I . ~LO . alain.W.1~ ISQl; :