Activos de Información, como identificarlos y clasificarlos.

El inventario y clasificación de los Activos de Información es la base para la gestión de riesgos de seguridad de la información y para determinar los niveles de protección requeridos.

Que es un activo de información?

Se denomina activo a aquello que tiene algún valor para la entidad y por tanto debe protegerse. Un Activo de Información incluye la información estructurada y no estructurada que se encuentre presente en forma impresa, escrita en papel, transmitida por cualquier medio electrónico o almacenada en equipos de cómputo, incluyendo datos contenidos en registros, archivos y bases de datos. Así mismo, un Activo de Información tiene el mismo valor, bien sea que se encuentre forma física o digital, aunque los controles necesarios para protegerlo son diferentes.

Inventario de Activos de Información

Mediante el inventario de activos de información específica se reconoce cuáles son los activos de información más importantes de una entidad, para así darles el tratamiento que se requiere y una protección adecuada, para el cumplimiento de la misión y los objetivos institucionales de la Entidad, Los responsables del levantamiento de los activos de información se encuentran en cabeza de los Colaboradores delegados por las áreas de Documental, Jurídica, Planeación y Tecnologías de la Información, quienes se encargan de liderar la ejecución y mantenimiento del Inventario de Activos, clasificación y publicación de información.

Pasos para la elaboración:

1.    Identificar los activos de información

En este paso se identifica los responsables de los activos, cuáles y cuantos activos de información tienen cada dependencia bajo su responsabilidad.

2.    Definir los activos de información

Se diligencia los registros de los activos en la Matriz de inventarios de activos, clasificación y publicación de la información, de acuerdo con las variables establecidas en la matriz.

3.    Información mínima de los activos de información – Matriz de inventario de activos, clasificación y publicación de información.

Todos los activos se deben identificar de manera adecuada en la matriz de inventario de activos, clasificación y publicación, la cual está conformada por los siguientes ítems:

·                    ID: Es el consecutivo con el cual se puede llevar el conteo de los activos de información.

·                    Título de la Categoría de Información: Conjunto de unidades de información de contenidos homogéneos, emanadas de un mismo órgano o sujeto producto como consecuencia del ejercicio de sus funciones específicas.

·                    Nombre del activo de información: Palabra o frase con la que se da a conocer el activo de información.

·                    Descripción del activo de información: Breve descripción de la función de la función del activo.

·                    Idioma: Es donde se establece el idioma, lengua o dialecto en que se encuentra el activo de información.

·                    Medio de conservación y/o soporte: Es el medio en que se encuentra la información, que puede ser entre las siguientes:

•          Físico: Activos de información físicos

•          Electrónico: Activos de información digitales.

•          Magnético: Para el caso de USB, Disco Duro, CD Etc.

•          Físico / Electrónico: En caso de encontrarse almacenada en los dos medios.

·                    Formato: Es la forma, tamaño o modo en la que se presenta la información, se permite su visualización o consulta, tales como:

•          Hoja de cálculo

•          Documento de texto

•          PDF (Formato documento portátil)

•          Presentaciones

•          Imágenes

•          Audio

·                    Forma de consulta o Acceso: Es la forma en la que se encuentra la información que puede ser:

•          Información disponible

•          Información publicada

·                    Fecha de Generación de la Información: Identificar la fecha de la creación de la información.

·                                Lugar de Consulta: Donde se encuentra publicada o disponible la información.

·                    Proceso que produce la información: Nombre del proceso Frecuencia de Actualización: Periodicidad con que se actualiza la información.

·                    Responsable de la producción de la Información o Propietario: Nombre de la dependencia que creo la información.

·                    Responsable de la información o Custodio: Corresponde al nombre del área, dependencia o grupo encargado de la custodia o control de los activos de información.

·                    Objetivo legítimo de la excepción: Identificar la excepción dentro de las previstas en la Ley 1712 de 2014, que permiten calificar la información como clasificada (Art. 18) o reservada (Art.19).

·                    Fundamento constitucional o legal: Indicar la norma constitucional o legal que justifica la clasificación o la reserva del activo de información. Se deberá señalar expresamente la norma, artículo, inciso o párrafo que ampara la excepción.

·                    Fundamento jurídico de la excepción: El artículo 2.1.1.5.2.2. Decreto Único Reglamentario 1081 de 2015 establece que se debe hacer "mención de la norma jurídica que sirve como fundamento jurídico para la clasificación o reserva de la información", pues el primero exige indicar la circunstancia que se invoca entre las contempladas en los artículos 18 y 19 de la Ley de transparencia y el numeral 9 exige indicar la norma constitucional o legal que justifica la clasificación o la reserva.

·                    Excepción total o parcial: Indicar si la excepción es total o parcial, esto es, si la clasificación o reserva de la información se establece sobre todo el activo de información o sobre parte de éste. En caso de ser parcial se deberá indicar expresamente la parte o sección que es objeto de la clasificación o reserva, pues todo lo demás se entenderá que constituye información pública.

·                    Fecha de calificación de la información clasificada y reservada: Indicar la fecha en la que se hace la calificación del activo como reservado o clasificado.

·                    Plazo de la clasificación o reserva: Indicar el tiempo que cobija la clasificación o reserva del activo de información, debe estar previamente establecido en una norma legal, el plazo no debe ser mayor a 15 años.

·                    En la sección de Nivel de protección Seguridad de la Información (ISO 27001:2013) se califican los criterios de seguridad de la información, con base en la clasificación de la información adoptada por la entidad y las regulaciones que rigen a la Entidad, de existir algún activo de información que por su naturaleza sea confidencial y no se encuentre cobijado por la ley, se debe otorgar el valor correspondiente para su análisis y así poder determinar cómo se va a proteger por la Entidad.

·                    Determinación de los riesgos por divulgación de la información: Identificar los riesgos que se pueden materializar con la divulgación de la información clasificada o reservada. Para ello deberán indicarse cuáles son los eventuales daños que se puedan generar al permitirse el acceso a la información.

Estos daños deben cumplir con las siguientes características:

•      Probabilidad: Cuando existan circunstancias que puedan materializar el riesgo.

•      Especificidad: Que se trate de daños que puedan ser individualizados y no de afectaciones genéricas.

Nota. La información contenida en este campo servirá de insumo para motivar la eventual respuesta negativa que se pueda dar frente a una solicitud de acceso a la información, que deberá cumplir con las exigencias del Art. 2.1.1.4.4.1 del Decreto Único Reglamentario 1081 de 2015.

·                    Fecha de calificación del nivel de protección: Indicar la fecha en la que se realiza la calificación de los activos de información.

·                    Categoría: Está de acuerdo a lo siguiente:

•          Recursos de Información: Bases de datos y archivos, documentación de sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad y contingencia, información archivada, etc.

•          Recursos de Software: Que pueden ser Físicos o digitales como: software de aplicaciones, sistemas operativos, herramientas de desarrollo y publicación de contenidos, utilitarios, etc.

•          Activos Físicos: equipamiento informático (procesadores, monitores, computadoras portátiles, módems), equipos de comunicaciones (routers, fax, contestadores automáticos, switches, etc.), medios magnéticos (cintas, discos, dispositivos móviles de almacenamiento de datos – pen drives, discos externos, etc.-), otros equipos técnicos (relacionados con el suministro eléctrico, unidades de aire acondicionado, controles automatizados de acceso, etc.), mobiliario, lugares de emplazamiento, etc.

•          Servicios: servicios informáticos y de comunicaciones, utilitarios generales (calefacción, iluminación, energía eléctrica, etc.).

•          Clasificación: Es la calificación que le da la entidad, de acuerdo a la clasificación adoptada.

·                    Confidencialidad: Calificar el activo de información en términos de confidencialidad entendiendo que éste, no se debe poner a disposición ni se debe revelar a individuos, entidades o procesos no autorizados.

·                    Se debe considerar para esta calificación, los requisitos legales como la Ley 1712 de 2014 y Ley 1581 de 2012. .

·                    Integridad: Calificar el activo de información en cuanto a la integridad, mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.

·                    Disponibilidad: Calificar el activo de información, en términos de disponibilidad, de acuerdo a la importancia que tiene en cuanto a este componente.

·                    Nivel de Criticidad: Esta casilla no debe ser diligenciada por el usuario, corresponde al resultado final de la calificación de los criterios de confidencialidad, integridad y disponibilidad de la información.

·                    Observaciones: Mencionar los aspectos más relevantes de los activos de información.

4.    Propiedad de los activos de información

La propiedad de los activos se identifica en la matriz de inventario de activos, clasificación y publicación de la información, de acuerdo a los campos de:

·                    Responsable de la Producción de la Información o Propietario

·                    Responsable de la Información o custodio

5.    Atributos de los activos de información en cuanto a seguridad de la información

Esta actividad se realiza con el fin de que los activos de información reciban el nivel de protección adecuada, de acuerdo con su clasificación, esta se realiza con base en los atributos de Integridad, Confidencialidad y Disponibilidad de la Información teniendo en cuenta la importancia del activo y su criticidad en los procesos.

6.    Aprobación del inventario  de activos de información

Una vez sea haya identificado todos los registros de información y clasificado según la ley 1712 del 2014, sea información pública, clasificada o reservada se convoca al comité sea el de Eficiencia Administrativa o MIPG, para que sea aprobado, luego se elabora el acto administrativo.

7.    Publicación del inventario  de activos de información en la página web institucional.

Dando cumplimiento al artículo 20 de la Ley 1712 de 2014 “Ley de Transparencia”, la entidad debe publicar el índice de información calificada como clasificada o reservada junto con el inventario de activos de información.

ublicado por Giovanna Tomassoni

Ingeniera de sistema, actualemente en la alcaldía de Yopal

https://www.youtube.com/watch?v=zNtLIhsX97M

Importancia de alinear la tecnología a las necesidades de la entidad, mediante una arquitectura empresarial definida.

El Departamento Administrativo de la Función Pública es la cabeza del Sector de la Función Pública encargado de formular las políticas generales de Administración Pública, en especial en materias relacionadas con Empleo Público, Organización Administrativa, Control Interno y Racionalización de Trámites de la Rama Ejecutiva del Poder Público.

Mediante el decreto número 1083 de 2015, en lo relacionado con la definición de los lineamientos para el fortalecimiento institucional en materia de tecnologías de la información y las comunicaciones y el Decreto 1078 de mayo de 2015 del Ministerio de Tecnologías de la Información y las Comunicaciones: “Por el cual se expide el Decreto Único Reglamentario del Sector de las Tecnologías de la Información  las Comunicaciones”.

Es necesario que todas las entidades públicas definan una arquitectura objetivo o deber ser para cada uno de los dominios: Estrategia de TI, Gobierno TI, Información, Sistemas de Información, Servicios Tecnológicos, Uso y Apropiación e Identificación de las buenas prácticas.

Las entidades públicas deben realizar un diagnóstico donde se consolide la información de Gobierno TIC de la Entidad, y se presente una propuesta de Gobierno de TI, con base en los lineamientos del Marco de Referencia de Arquitectura Empresarial del Ministerio de Tecnologías de la Información y las Comunicaciones - MinTIC.

   

¿Qué es Arquitectura TI?

La Arquitectura TI le permite al Estado ser más eficiente al unir los esfuerzos de sus entidades. Se basa en el Marco de Referencia que alinea la gestión TI con la estrategia del Estado. Incluye las arquitecturas sectoriales y territoriales y un modelo de uso y apropiación.

Es el principal instrumento para implementar la Arquitectura TI de Colombia y habilitar la Estrategia de Gobierno en línea. Con él se busca habilitar las estrategias de TIC para servicios, TIC para la gestión, TIC para el gobierno abierto y para la Seguridad y la privacidad.

¿Principios?

Son reglas de alto nivel que se deben tener en cuenta para el desarrollo de las arquitecturas empresariales sectoriales, institucionales y territoriales.

• Excelencia del servicio al ciudadano: para fortalecer la relación de los ciudadanos con el Estado.
• Costo/beneficio: garantizar que las inversiones en TI tengan un retorno medido a partir del impacto de los proyectos.
• Racionalizar: optimizar el uso de los recursos, teniendo en cuenta criterios de pertinencia y reutilización.
• Estandarizar: ser la base para definir los lineamientos, políticas y procedimientos que faciliten la evolución de la gestión de TI del Estado colombiano hacía un modelo estandarizado.
• Interoperabilidad: fortalecer los esquemas que estandaricen y faciliten el intercambio de información, el manejo de fuentes únicas y la habilitación de servicios entre entidades y sectores.
• Viabilidad en el mercado: contener definiciones que motiven al mercado a plantear y diseñar soluciones según las necesidades del Estado colombiano.
• Federación: debe establecer estándares, lineamientos y guías para la gestión de TI; así como un esquema de gobierno que integre y coordine la creación y actualización de los anteriores. La implementación del Marco es responsabilidad de cada entidad o sector.
• Co-creación: permitir componer nuevas soluciones y servicios sobre lo ya construido y definido, con la participación de todas aquellas personas u organizaciones que influyen o son afectadas por el Marco de Referencia.
• Escalabilidad: permitir la evolución continua y el ajuste de todos los componentes y dominios que integran el Marco, sin perder calidad ni articulación.
• Seguridad de la información: permitir la definición, implementación y verificación de controles de seguridad de la información.
• Sostenibilidad: aportar al equilibrio ecológico y cuidado del ambiente a través de las TI.
• Neutralidad tecnológica: el Estado garantiza la libre adopción de tecnologías, teniendo en cuenta recomendaciones, conceptos y normativas de los organismos internacionales competentes en la materia. Se debe fomentar la eficiente prestación de servicios, el empleo de contenidos y aplicaciones, la garantía de la libre y leal competencia, y la adopción de tecnologías en armonía con el desarrollo ambiental sostenible.

Mediante estos lineamientos se debe realizar un diagnóstico de la Entidad, buscando  el cumplimiento de la estrategia de TI y una propuesta de Arquitectura Conceptual de cada uno de los dominios.

Teniendo en cuenta que la  arquitectura empresarial describe a la empresa como una estructura coherente. La arquitectura documenta el estado actual de la entidad y el estado deseado.

Se busca también mediante la estrategia de sistemas disminuir la brecha entre las necesidades de la entidad y la tecnología, basadas en las metas corporativas de: Negocio, Información, Aplicaciones y Tecnología.

Describiendo el estado actual y  el estado futuro, para la toma de decisiones estratégicas efectivas en el área de Dirección de TIC de la entidad.

Para el cumplimiento de esta propuesta es importante que la Alta Dirección coordine todos los factores y recursos que intervienen para el desarrollo y crecimiento de la Entidad en TIC. El grado de éxito será logrado en la medida que estos factores y recursos interactúen adecuadamente. 

Al realizar este diagnóstico la entidad tiene una base de procesos para la Dirección de TIC. Con esta metodología se cumple la meta de alinear la tecnología a las necesidades de la entidad.

Para definir una arquitectura de referencia para el Gobierno de TI, es necesario realizar un modelo conceptual de Gobierno TIC, en el cual se debe ver reflejado que los usuarios pueden acceder, a través de unos canales, a los servicios proporcionados por el área de TIC, los cuales están soportados en Personas-Procesos-Tecnología.

Usuarios: Corresponde a todos los Funcionarios Públicos de Planta y Contratistas de la Entidad.

Canales: Los usuarios pueden acceder a los servicios informáticos que ofrece la Dirección de TIC, a través de las redes locales de comunicaciones o de Internet.

Servicio: Es todos los servicios que se encuentran consolidados en el Catálogo de Servicios TIC, que describe cada uno de los servicios y sus condiciones de ofrecimiento.

Personas: Corresponde a los funcionarios o contratistas que hacen parte del área de la Dirección de TIC de la Entidad y por ende tienen la responsabilidad de garantizar el funcionamiento de los servicios.

Proceso: Conjunto de actividades relacionadas dirigidas hacia un propósito común que marcan el accionar de la Dirección de TIC y que son operados por los funcionarios de la Dirección TIC con el fin de proporcionar los servicios.

Tecnología: Comprende todas las herramientas automatizadas que facilitan la realización de los procesos para brindar los servicios.

Se debe definir unas políticas TI, una cadena de valor, que representa el conjunto de procesos de TIC que articuladamente se llevan a cabo dentro de la entidad para brindar satisfacción a las necesidades y requerimientos de los usuarios mediante la entrega de servicios de TIC.

Se debe contar una estructura TIC. Para  llevar a cabo el proceso de Gestión TIC se requiere de un conjunto de personas organizadas de acuerdo con los roles que necesiten para cumplir con el objetivo y las funciones de la Dirección de TIC.

Es importante que la Dirección de TI, como líder de implementación del ejercicio de Arquitectura Empresarial en la entidad, asegure los dos primeros pasos: Introducción a la Arquitectura Empresarial y Evaluar la Capacidad Arquitectónica de la Entidad, antes de continuar con el ejercicio de arquitectura, de tal forma que la Institución cuente con las capacidades mínimas necesarias para promover el Uso y Apropiación de las TIC en tiempo, forma y con la calidad esperada.

Publicado por Giovanna Tomassoni

Ingeniera de sistema, actualemente en la alcaldía de Yopal

https://www.youtube.com/watch?v=zNtLIhsX97M