LINEAMIENTOS DE POLÍTICA PARA

CIBERSEGURIDAD Y CIBERDEFENSA
Fundación Universitaria para el Desarrollo Humano UNINPAHU
Grupo:

Patricia Elena Calvo Rangel

Angie Paola Parada Claros
Diana Chaux
Luisa Liliana Cartagena Martínez
INTRODUCCIÓN
Con el CONPES 3701 se busca generar
El Consejo Nacional de Política Económica y lineamientos de política en ciberseguridad y
Social ( CONPES 3701) de la República de ciberdefensa orientados a desarrollar una
Colombia y el Departamento Nacional de estrategia nacional que contrarreste el
Planeación, las instituciones involucradas han incremento de amenazas informáticas.
identificado que la capacidad actual del Estado
para enfrentar las diferentes amenazas El uso de las tecnologías de la información y las
cibernéticas presenta grandes vulnerabilidades. comunicaciones trae consigo cambios y retos
permanentes y se constituye como uno de los
Pese a que existen iniciativas gubernamentales, pilares del mundo globalizado. De manera
privadas y de la sociedad civil que buscan simultánea el avance de estas tecnologías ha
contrarrestar su efecto, no hay una coordinación incrementado el uso de medios tecnológicos
interinstitucional apropiada. Colombia es uno de con fines delictivos alrededor del mundo.
los países que actualmente no cuenta con una
estrategia nacional en ciberseguridad y El aumento de la capacidad delincuencial en el
ciberdefensa, que incluya un sistema ciberespacio, así como la utilización de nuevas
organizacional y un marco normativo e tecnologías para generar amenazas
institucional lo suficientemente fuerte para afrontar informáticas, constituyen una preocupación
los nuevos retos en aspectos de seguridad común a todos los países, dado que impactan
cibernética. de manera significativa la seguridad de la
información, en los ámbitos tanto público como
El creciente aumento de usuarios de internet, la privado e incluyendo a la sociedad civil.
elevada dependencia de la infraestructura crítica
nacional a los medios electrónicos, así como el Trabajar en temas de ciberseguridad y
notable incremento de incidentes y delitos contra ciberdefensa implica un compromiso del
la seguridad cibernética, ha permitido identificar el Gobierno Nacional por garantizar la seguridad
elevado nivel de vulnerabilidad del país ante de la información. Por ello, con el CONPES
amenazas cibernéticas, tales como el uso de 3701 se busca sentar las bases de política para
internet con fines terroristas, el sabotaje de los tópicos de ciberseguridad y ciberdefensa en
servicios, espionaje y hurto por medios particular. Las entidades involucradas tendrán la
electrónicos, entre otros. responsabilidad de desarrollar estas bases y
generar mecanismos que permitan garantizar la
seguridad de la información a nivel nacional.

1
Lineamientos De Política Para generar lineamientos de política en
Ciberseguridad y Ciberdefensa ciberseguridad y ciberdefensa tendiente a
desarrollar una estrategia nacional para
La seguridad cibernética, Colombia ha sido contrarrestar el crecimiento de las amenazas
objeto de ataques. Un caso a resaltar fue el informáticas que afectan significativamente al
ocurrido durante el primer semestre de 2011, país. Asimismo, recopila antecedentes
cuando el grupo “hacktivista” autodenominado nacionales e internacionales, así como la
Anonymous atacó a los portales de la normatividad del país en torno al tema.
Presidencia de la República, el Senado de la
República, Gobierno en Línea y de los En cumplimiento del CONPES 3701, Colombia
Ministerios del Interior y Justicia, Cultura y empezó a estructurar una ciberdefensa sólida,
Defensa, dejando fuera de servicio sus páginas innovadora, creativa y siempre actualizada, no
web por varias horas. Este ataque se dio en solo para prevenir ataques informáticos contra
protesta al Proyecto de Ley “por el cual se instituciones estatales, sino para poder
regula la responsabilidad por las infracciones al estructurar una ciberdefensa activa, algo que se
derecho de autor y los derechos conexos en debe hacer para la defensa del TI
Internet”. Este grupo ha atacado indistintamente gubernamental gubernamental. La ciberdefensa
entidades públicas y privadas, entre las que se que se implemente debe ser proactiva, dinámica
cuentan PayPal, el banco suizo Post Finance, y al día con las amenazas que puedan llegar.
MasterCard, Visa y páginas web del gobierno Debe ser un laboratorio con un radar digital que
Suizo. (Información tomada del documento permita ver en forma oportuna las posibles
CONPES 3701). amenazas. Dentro de los aspectos más
resaltantes del CONPES 3701está la
En el año 2011 el gobierno Colombiano, elaboró conformación de la Comisión Intersectorial, con
el CONPES 3701 (Consejo Nacional de Política representación del Ministerio de Defensa
Economía Social), máximo organismo de Nacional con el ColCERT.
coordinación de la política económica en
Colombia. No dicta decretos, sino que da la El Colcert es el Grupo de Respuesta a
línea y orientación de la política macro, sobre un Emergencias Cibernéticas de Colombia, un
tema específico, en este caso la Ciberseguridad equipo que es punto de contacto para coordinar
y la Ciberdefensa. El Conpes está presidido por la prevención, mitigación, gestión y respuesta
el primer mandatario del país y la secretaría ante incidentes de seguridad digital nacional
técnica la ejerce el jefe del Departamento tanto en el sector público como en el privado.
Nacional de Planeación, que elabora los
documentos para ser tratados en cada una de
2
 Marco Normativo

La ciberseguridad es una preocupación cada

vez más relevante en Colombia y en todo el
mundo. En este contexto, el cumplimiento
normativo juega un papel fundamental para
garantizar la protección de los datos y la
seguridad en línea. En Colombia, existen
regulaciones y estándares específicos que las
organizaciones deben cumplir para protegerse
de amenazas cibernéticas y preservar la
confidencialidad de la informacion.
Fuente: Conpes 3701 de 2011

La normativa en materia de Ciberseguridad en

Colombia se ha fortalecido en los últimos años
para hacer frente a los desafíos y riesgos
asociados a los ataques cibernéticos.
La Politica de Ciberseguridad y Ciberdefensa

Es un elemento que apoya a las entidades de

manera trasversal, habilitando el desarrollo de
los componentes de la política de Gobierno
Digital. Este componente se desarrolla, a través
de lineamientos en materia de seguridad y
privacidad de la información, así como de
gestión de riesgos de seguridad digital los
cuales soportan las acciones establecidas por
cada entidad para proteger los activos de
información, preservando la confidencialidad,
integridad, disponibilidad y privacidad de los
datos.

3
Antecedentes y Desarrollo Normativo

Normatividad Internacional

Convenio sobre la Único instrumento vinculante vigente sobre el tema en el ámbito

Ciberdelincuencia ( ). internacional, y su protocolo para la criminalización de actos de
Consejo de Europa. racismo y xenofobia cometidos a través de los sistemas
(Convenio sobre informáticos.
Cibercriminalidad de Cabe resaltar que, si bien el Convenio tuvo su origen en el
Budapest). ámbito regional europeo, es un instrumento abierto para su
Adoptado en noviembre de adhesión a todos los países del mundo.
2001 entró en vigor el 1° de
julio de 2004.

Resolución AG/RES 2004 Estrategia integral para combatir las amenazas a la seguridad
(XXXIVO/04) de la cibernética:
Asamblea General de la
Organización de los Creación de una Red Hemisférica de Equipos Nacionales de
Estados Americanos. Respuesta a Incidentes de Seguridad de Computadores.
Identificación y adopción de normas técnicas para una
arquitectura segura de Internet.
Adopción y/o adecuación de los instrumentos jurídicos
necesarios para proteger a los usuarios de Internet y las redes
de información de los delincuentes y los grupos delictivos
organizados que utilizan estos medios a cargo de las
Reuniones de ministros de Justicia o de Ministros o
Procuradores Generales de las Américas (REMJA)

4
 Normatividad Nacional

Constitución Política Articulos 2,15,20, 75,78

Ley 527 de 1999 – Comercio Electrónico.
Ley 599 de 200 - Código Penal Colombiano
Ley 603 de 200- Control de Legalidad de Software
Ley 962 de 2005- Ley Antitrámites
Ley 1150 de 2007 -Modificaciones al Estatuto de
Leyes Contratación Pública
Ley 1266 de 2008 – Habeas Data
Ley 1273 de 2008 -Delitos Informáticos
Ley 1341 de 2009 – Sociedad de la Información y las TIC
Ley 1571 de 2012 – Protección de Datos Personales

Decreto 2693 de 2012 – Gobierno en Línea.

Decretos reglamentarios Decreto reglamentario 1377 de 2013 – Protección de
Datos Personales
Documento Conpes 3701 de 2011.
Resolución de la Comisión de Regulación de
Comunicaciones 2258 de 2009.
Normatividad Especializada
Circular 052052 de 2007 (Superintendencia Financiera de
Colombia)
Norma Técnica Colombiana 27001.

5
La Política se se desarrolla a partir de dos CSIRT Gobierno Equipo de Respuesta a
herramientas básicas: Incidentes de Seguridad Digital para las
Entidades del Gobierno.
El Modelo de Seguridad y Privacidad de la
Información (MSPI)
El objetivo principal del CSIRT Gobierno, es
El Modelo de Riesgos de Seguridad Digital - ofrecer servicios proactivos, reactivos y de
Guía para la Administración del Riesgo y diseño gestión de la seguridad básicos a todas las
de controles para las entidades públicas entidades del Estado, generando alertas y
(DAFP). advertencias sobre amenazas y
vulnerabilidades, realizando el tratamiento,
A través de éstos, las entidades encuentran análisis, respuesta y coordinación de incidentes,
lineamientos y buenas prácticas de cómo igualmente en el afianzamiento del
ajustar cada uno de los elementos en los conocimiento sobre seguridad, generando una
procesos de planeación y gestión de la cultura de seguridad digital en todos los
seguridad de la información. funcionarios y encargados de seguridad digital

Estrategias Las obligaciones y atribuciones que regirán

cada una de las actividades que desarrollará el
El Gobierno Nacional logre fortalecer las CSIRT Gobierno en el tratamiento de
capacidades de las entidades públicas para incidentes, será Autoridad Compartida, en la
enfrentar las amenazas del entorno digital, cual la toma de decisiones frente un incidente
contribuyendo en la creación de una cultura de es conjunta entre el CSIRT Gobierno y la
gestión de riesgos que afiance la confianza en entidad, para lo cual el CSIRT Gobierno se
el uso del entorno digital. Es por esto por lo que apoya con los equipos de tecnología y la
se considera fundamental robustecer el experiencia de la entidad cuando se presente
liderazgo del Gobierno nacional y construir una un incidente.
nueva visión tomando como referentes las
mejores prácticas internacionales para abordar El CSIRT de Gobierno brinda acompañamiento
los riesgos de seguridad digital. y apoyo a las entidades del estado, a través de
su portafolio de servicios, con el fin de mejorar
los procesos de seguridad de la infraestructura
tecnológica, la gestión de los incidentes

6
 Para que las entidades públicas incorporen la
Modelo de Gestión de Riesgos de Seguridad seguridad de la información en todos sus
Digital (MGRSD) Instrumentaliza sus procesos, trámites, servicios, sistemas de
lineamientos generales para las entidades información, infraestructura y, en general, en
públicas a través de la "Guía para la todos los activos de información, con el fin de
Administración de Riesgos y el Diseño de preservar la confidencialidad, integridad,
Controles en Entidades Públicas" y su anexo 4 disponibilidad y privacidad de los datos.
denominado "Lineamientos para la Gestión de
Riesgos de Seguridad Digital en Entidades Sé encuentra alineado con el Marco de
Públicas ". Estos lineamientos no trabajan de Referencia de Arquitectura TI, el Modelo
manera aislada, por el contrario, están Integrado de Planeación y Gestión (MIPG) y
alineados y articulados con otras iniciativas La Guía para la Administración del Riesgo y
existentes en el gobierno nacional para facilitar el Diseño Controles en entidades Públicas,
su adopción e implementación. este modelo pertenece al habilitador
transversal de Seguridad y Privacidad, de la
Política de Gobierno Digital. Y Se desarrolla
El MGRSD deberá ser implementado por todas mediante el Documento Maestro del Modelo
las entidades de la rama ejecutiva del poder de Seguridad y Privacidad de la Información
público, contempladas en el ámbito de y sus guías de orientación. Lo debe
aplicación del Decreto 1008 de 2018, el Decreto desarrollar el líder o encargado de Seguridad
1499 de 2017 y el Decreto 1083 de 2015. de la Información con el apoyo de toda la
estructura organizacional.
MSPI. Imparte lineamientos a las entidades
públicas para la adopción de buenas prácticas, Acompañamiento. El acompañamiento tiene
tomando como referencia estándares por objetivo facilitar los procesos de adopción
internacionales, con el objetivo de orientar la por parte de las diferentes Entidades de nivel
gestión e implementación adecuada del ciclo de nacional y territorial del modelo de seguridad
vida de la seguridad de la información y privacidad de la información, acorde con
las funciones de GIT de Seguridad y
Privacidad de TI.

7
Plan de Incidentes En el manejo de incidentes, que es donde
enfocaremos el alcance de este proyecto, el
El plan para la gestión de incidentes. Se marco de ciberseguridad del NIST ofrece una
destacan componentes básicos que documentación muy completa, y aunque
proporcionen un conjunto de actividades que principalmente va orientada a las agencias y
lleven a lograr resultados específicos de organizaciones federales americanas, puede
ciberseguridad deben incluir funciones como: implementarse en cualquier agencia u
organización de cualquier país, y como vemos
• Identificar (Riesgo de ciberseguridad). en las experiencias internacionales, los
países que son potencia económica lo tienen
• Proteger (Asegurar la disponibilidad de como referencia de implementación en sus
servicios críticos). estrategias de ciberseguridad.
• Detectar (Identificar la ocurrencia de un El marco de la NIST, dentro de las funciones,
evento de ciberseguridad). cuenta con guías para etapa de preparación
para la gestión de incidentes, siendo esto un
• Responder (tomar medidas con respecto punto a favor para las organizaciones en
a un incidente de ciberseguridad cuanto a que los analistas de incidentes
detectado). cuentan con las herramientas para trabajar, a
diferencia de la norma ISO 27035 que no
• Recuperar (planes de resiliencia y cuenta con la etapa de preparación. De igual
restauración debido a incidentes de forma el NIST maneja conceptos más
ciberseguridad). técnicos para gestionar un incidente
cibernético.
El marco de ciberseguridad del NIST se
compone de un conjunto de controles y
buenas prácticas de varias normas
internacionales, como ISO/IEC 27001:2013,
ISO/IEC 27002:2012, COBIT 5, CIS CSC, por
tanto, las organizaciones pueden adaptar este
marco de ciberseguridad según las
necesidades y alcances que establezcan.

8
Resumen

En resumen, el cumplimiento normativo en ciberseguridad en

Colombia es esencial para proteger la información y prevenir
riesgos en el entorno digital. Las leyes, regulaciones y
estándares establecidos buscan salvaguardar los datos y
promover un ecosistema en línea confiable. Al asegurarse de
cumplir con estas normativas, las organizaciones contribuyen a
mantener la seguridad cibernética y a proteger los intereses de
los usuarios en Colombia.

La información es un recurso de suma importancia para la

Entidad y se debe proteger a través de la implementación de
las medidas de seguridad basadas en hardware, software y
recursos humanos, pero también complementadas con
adecuadas políticas de seguridad que sean conocidas por el
personal en todos sus niveles.

9
Bibliografía

● Inicio - Micrositio Seguridad. (s/f). Gov.co. Recuperado el 4 de noviembre de

2023, de https://gobiernodigital.mintic.gov.co/seguridadyprivacidad/portal/

● (S/f). Gov.co. Recuperado el 4 de noviembre de 2023, de

https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3701.pdf

● Acerca del CONPES. (s/f). Gov.co. Recuperado el 9 de noviembre de 2023,

de https://www.dnp.gov.co/conpes

● (S/f). Unirioja.es. Recuperado el 9 de noviembre de 2023, de

https://dialnet.unirioja.es/descarga/articulo/7496888.pdf

10