República de Colombia

Plan Sectorial de Protección y Defensa para la

Infraestructura Crítica Cibernética de Colombia
PSPICCN V 1.0
Octubre de 2019

“Las personas deberían estar familiarizadas con

la estrategia, aquellos que la entienden
sobrevivirán, aquellos que no perecerán.”.
Sun Tzu
Contenido

RESUMEN............................................................................................................... 5
INTRODUCCIÓN.....................................................................................................6

1.1. Alcance................................................................................................................. 7
1.2. Objetivo general y específicos..............................................................................7

1.2.1. Objetivo General............................................................................................7

1.2.2. Objetivos Específicos.....................................................................................7

1.3. Misión/Visión.........................................................................................................8
1.4. Marco Legal.......................................................................................................... 8
1.5. Aprobación y clasificación...................................................................................11
1.6. Gestión y actualización.......................................................................................11
2.1. Servicios Esenciales...........................................................................................12

2.1.1. Qué es un servicio esencial.........................................................................12

Un servicio esencial es aquel necesario para el mantenimiento de las funciones
sociales básicas, la salud, la educación, la seguridad, el bienestar social y económico
de una comunidad, o el eficaz funcionamiento de las Instituciones del Estado y las
Administraciones Públicas. Adaptación Ley 8/2011-Gobierno de España.................12
2.1.2. Servicios esenciales del Sector....................................................................12
2.1.3. Como influyen las Tecnologías de la Información y las Tecnologías de
Operación y en general el componente cibernético en la prestación del servicio o
servicios esenciales...................................................................................................14

2.2. Interdependencias...............................................................................................14
3.1. Riesgos Cibernéticos Sectoriales........................................................................16
3.2. Análisis de Amenazas y Riesgos Sectoriales:.....................................................16

3.2.1. Identificación de activos críticos sectoriales.................................................16

3.2.2. Análisis de las amenazas y riesgos.............................................................17

3.3. Impacto Cibernético Sectorial.............................................................................21

3.3.1. Escala de valoración de la probabilidad de ocurrencia................................21

3.3.2. Escala de valoración del impacto del riesgo................................................21

3
3.3.3. Valoración de los riesgos cibernéticos...........................................................2

4.1. Sistema Sectorial de Protección y Defensa – Sector Gobierno.............................4

4.2. Roles, Funciones y Responsabilidades.................................................................4
4.3. Directorio............................................................................................................... 5

4.3.1. Subsector Presidencia...................................................................................5

4.3.2. Subsector Hacienda.......................................................................................6
4.3.3. Subsector Interior...........................................................................................7
4.3.4. Subsector Relaciones Exteriores...................................................................7
4.3.5. Subsector Justicia y del Derecho...................................................................7
4.3.6. Subsector Trabajo..........................................................................................8
4.3.7. Subsector Cultura..........................................................................................8
4.3.8. Subsector Planeación....................................................................................9
4.3.9. Sector Inteligencia Estratégica y Contrainteligencia.......................................9
4.3.10. Subsector Función Pública.......................................................................10
4.3.11. Subsector Información Estadística...........................................................10
4.3.12. Subsector Administrativo del Deporte.......................................................10
4.3.13. Ciencia y Tecnología................................................................................10
4.3.14. Inclusión Social y Reconciliación..............................................................11

5.1. Líneas Estratégicas, Acciones y Métricas...........................................................12

5.2. Estrategias de Comunicación y Divulgación........................................................14

4
 RESUMEN

El Presente plan se establece con el objetivo de adoptar e implementar los lineamientos

generales que en materia de seguridad y Ciberseguridad de acuerdo con la normatividad
establecida para Colombia, deben adoptar las entidades que componen el sector
Gobierno para proteger sus infraestructuras, dentro del marco definido por el Plan
Nacional de Protección y Defensa para la Infraestructuras Críticas Cibernéticas de
Colombia, cuyo propósito específico es prevenir y reaccionar ante la presencia de ataques
cibernéticos que pongan en riesgo la continuidad y disponibilidad de los servicios críticos
de la Administración Pública.

El Plan describe los servicios esenciales de cada una de las entidades del Sector, se
identifican los riesgos y vulnerabilidades comunes y se plantean las estrategias para
minimizar el impacto ante la eventual materialización de los riesgos, de tal forma que se
fortalezcan las acciones de ciberseguridad que permitan incrementar la capacidad
sectorial para afrontar posibles ciberataques a las infraestructuras críticas del sector
Gobierno.

Adicionalmente el plan contiene la estructura sectorial de protección y defensa, indicando

roles, funciones y responsabilidades de las entidades, describiendo los canales de
comunicación al interior del sector, con el fin de dar respuesta oportuna y efectiva ante un
evento de ciberseguridad.

5
 INTRODUCCIÓN

El Consejo Nacional de Política Económica y Social expidió el documento el CONPES

3854 de 2016 donde se establece la política de seguridad digital, y busca que los
ciudadanos, las entidades del Gobierno y los empresarios realicen una gestión de riesgos
de seguridad digital que les permita conocer e identificar los riesgos a los que están
expuestos en el entorno digital y aprendan cómo protegerse, prevenir y reaccionar ante
los delitos y ataques cibernéticos, lo que conlleva establecer un entorno digital confiable y
seguro que maximice los beneficios económicos y sociales para el país, impulsando la
competitividad y productividad en todos los sectores de la economía.

Dentro del Catálogo de Infraestructura Crítica Cibernética (ICCN) versión 1.0, el Sector
Gobierno se encuentra en nivel de criticidad moderado a catastrófico, no obstante, el
Ministerio y las Entidades que lo integran se apoyan totalmente para el desarrollo de su
actividad en el uso de las TIC y como tal están expuestas a riesgos de ciberseguridad que
pueden afectar la prestación de diversos servicios esenciales a la población colombiana.

En razón a lo anterior, el Sector Gobierno acoge los lineamientos establecidos en el Plan

de Protección de Infraestructuras Críticas Cibernéticas PNPICC, herramienta fundamental
que orienta la protección de la Infraestructura Crítica Cibernética de Colombia,
participando activamente en las mesas de trabajo coordinado organizadas en el presente
año (2018-2019) por el Ministerio de Defensa Nacional y el Comando General de las
Fuerzas Militares a través del Comando Conjunto Cibernético CCOC.

6
 CAPÍTULO I: GENERALIDADES

1.1. Alcance

El Plan Sectorial de Protección y Defensa de Infraestructura Critica Cibernética tiene

como alcance establecer las medidas de protección y resiliencia a corto, mediano y largo
plazo; así como, realizar la identificación de los responsables y la definición del esquema
de coordinación que permita activar y articular las capacidades estratégicas y operativas
de las partes involucradas en la protección y defensa de las infraestructuras Críticas
Cibernéticas Nacionales del Sector Gobierno.

1.2. Objetivo general y específicos

1.2.1. Objetivo General

Identificar, implementar y mantener la seguridad y defensa de la Infraestructura Critica

Cibernética del Sector Gobierno, en concordancia con lo establecido en el Plan Nacional
de Protección y Defensa, así como en la Política Nacional de Seguridad Digital.

1.2.2. Objetivos Específicos

a) Definir y establecer los parámetros para la identificación de la Infraestructura Crítica

Cibernética.

b) Identificar y analizar las amenazas, las vulnerabilidades los impactos y probabilidad de

ocurrencia de ataques cibernéticos a la infraestructura critica que soporta los servicios
esenciales del sector gobierno, para determinar los niveles de seguridad y los
mecanismos de activación de las acciones asociadas para su gestión.

c) Desarrollar las capacidades de coordinación y comunicación interinstitucionales para

mantener la seguridad y defensa de la Infraestructura Critica Cibernética del sector.

7
d) Fomentar una cultura para fortalecer las relaciones encaminadas a la protección de la
infraestructura critica del sector gobierno, estableciendo los mecanismos de
cooperación e intercambio de información, y la generación de una base de
conocimientos y de lecciones aprendidas en materia cibernética.

1.3. Misión/Visión

1.3.1 Misión

El Plan Nacional de Protección y Defensa de la Infraestructura Crítica Cibernética del

Sector Gobierno es un instrumento que en desarrollo de la Política Nacional de Seguridad
Digital, establece el marco de actuación y de operaciones para la protección y defensa de
la Infraestructura Crítica Cibernética de Colombia en todas las Entidades que hacen parte
del Sector, con el objeto de garantizar los servicios esenciales del Estado y contribuir a la
paz, la prosperidad económica y social del país, la protección de la ciudadanía y del
entorno digital.

1.3.2 Visión

Liderar la consolidación de una gestión de riesgos eficiente a través del mejoramiento

continuo basado en la aplicación de las mejores prácticas, el desarrollo y aplicación de
estándares, capacidades, procedimientos y conocimientos técnicos, para la defensa y
protección integral de la infraestructura crítica cibernética del sector frente a los eventos e
incidentes que puedan afectar la prestación de los servicios esenciales a cargo del
Estado.

1.4. Marco Legal

CONPES 3670 de 2010. Lineamientos de Política para la continuidad de los

programas de acceso y servicio universal a las Tecnologías de la Información y las
Comunicaciones.

CONPES 3854 de 2016. Política Nacional de Seguridad Digital.

8
Ley 1266 de 2008 (Habeas Data). Contempla las disposiciones generales en relación al
derecho de habeas data y se regula el manejo de la información contenida en bases de
datos personales, en especial la financiera, crediticia, comercial, de servicios y la
proveniente de terceros países y se dictan otras disposiciones.

Ley 1273 de 2009 (Delitos Cibernéticos). Por medio de la cual se modifica el

código penal, se crea un nuevo bien jurídico tutelado denominado “de la protección
de la información y de los datos y se preservan integralmente los sistemas que
utilicen las TIC”.

Ley 1474 de 2011 (Uso de medios tecnológicos). Esta norma permite la

utilización de medios tecnológicos en los trámites y procedimientos judiciales, en
las diligencias, práctica de pruebas y notificaciones de las decisiones.

Ley 1581 de 2012 (Habeas Data). Por la cual se dictan disposiciones generales
para la protección de datos. Esta ley busca proteger los datos personales
registrados en cualquier base de datos que permite realizar operaciones, tales
como recolección, almacenamiento, uso, circulación o supresión por parte de
entidades de naturaleza pública y privada; sin embargo a los datos financieros se
les continúa aplicando la Ley 1266 de 2008, excepto los principios.

Decreto 1727 de 2009 (Habeas Data). Se determina la forma en la cual los

operadores de los bancos de datos de información financiera, crediticia, comercial,
de servicios y la proveniente de terceros países, deben presentar la información de
los titulares de la información.

Decreto 1704 de 2012 (Interceptación legal de comunicaciones). Este Decreto

determina que la interceptación legal de comunicaciones, es un mecanismo de
seguridad pública que busca optimizar la labor de investigación de los delitos que
adelantan las autoridades y organismos de inteligencia. De esta manera, se
determina que los proveedores que desarrollen su actividad comercial en el
territorio nacional, deben implementar y garantizar en todo momento la
infraestructura tecnológica necesaria que provea los puntos de conexión y de
acceso a la captura del tráfico de las comunicaciones que cursen por sus redes,
para que los organismos con funciones permanentes de policía judicial cumplan,

9
 previa autorización del fiscal general de la nación, con todas las labores inherentes
a la interceptación de las comunicaciones requeridas.

Decreto 1078 de 2015. Por el cual se expide el Decreto único reglamentario del
Sector de las Tecnologías de la información y las Telecomunicaciones.

Resolución CRC 3066 de 2011. Se establece el régimen integral de protección de

los derechos de los usuarios de los servicios de comunicaciones. En particular, se
establece que los proveedores de servicios de comunicaciones deberán
implementar procesos formales de tratamiento de incidentes de seguridad de la
información propios de la gestión de seguridad del proveedor.

Resolución CRC 3067 de 2011. Por la cual se establecen indicadores de calidad

para los servicios de telecomunicaciones y se dictan otras disposiciones. Esta
Resolución establece en el artículo 2.3, que los proveedores que ofrezcan acceso
a internet deben utilizar los recursos técnicos y logísticos tendientes a garantizar la
seguridad de la red y la integridad del servicio, para evitar la interceptación,
interrupción e interferencia del mismo.

Resolución CRC 3502 de 2011(Neutralidad de Internet). A través de la Resolución

CRC 3502 de 2011, se establecen condiciones regulatorias relativas a la neutralidad en
internet, en cumplimiento de lo establecido en el artículo 56 de la Ley 1450 de 2011 (PND
2010 2014). Se contempla en el artículo 3 los principios de libre elección, no
discriminación, transparencia e información, que deben aplicar los proveedores que
prestan el servicio de acceso a internet.

Circular Externa SFC 052 de 2007. Por la cual la Superintendencia Financiera de

Colombia incrementa los estándares de seguridad y calidad para el manejo de la
información a través de medios y canales de distribución de productos y servicios que
ofrecen a sus clientes y usuarios las entidades vigiladas por esta Entidad.

Ley 1581 de 2012. Por la cual se dictan disposiciones generales para la protección de
datos personales.

Decreto 1008 de 2018. Por el cual se establecen los lineamientos generales de la política
de Gobierno Digital y se subroga el capítulo 1 del título 9 de la parte 2 del libro 2 del

10
Decreto 1078 de 2015, Decreto Único Reglamentario del sector de Tecnologías de la
Información y las Comunicaciones

Guía para la Administración de los Riesgos de Gestión, Corrupción y Seguridad

Digital y el Diseño de Controles en Entidades Públicas. Herramienta con enfoque
preventivo, vanguardista y proactivo que permitirá el manejo del riesgo, así como el
control en todos los niveles de la entidad pública, brindando seguridad razonable frente al
logro de sus objetivos.

Decreto 1499 de 2017. Inclusión de la Política de Seguridad Digital en las Políticas de

Gestión y Desempeño Institucional.

Acuerdo 002 de 2018. Por el cual se crea el Comité de Seguridad Digital en el Consejo
para la Gestión y el desempeño institucional de acuerdo con el Decreto 1499 de 2017.

1.5. Aprobación y clasificación

1.5.1. Aprobación.

El Plan de Protección y Defensa para la Infraestructura Critica Cibernética del

Sector Gobierno será aprobado por el Comité Operativo para la Protección y
Defensa de la ICCN, en cabeza del titular de la Coordinación Nacional de
Seguridad Digital o del Coordinador de la Política de Seguridad Digital de la
Consejería Presidencial para asuntos Económicos y Transformación Digital.

1.5.2. Clasificación.

La clasificación del Plan Sectorial se acogerá a lo dispuesto en el Artículo 18 y

Articulo 19 de la Ley 1712 de 2014 a nivel de Información Pública Reservada,
Información Pública Clasificada e Información Pública. De acuerdo con lo anterior,
la clasificación de este documento será de dominio público para los integrantes del

11
 sector gobierno e integrantes de los demás sectores involucrados en las mesas de
trabajo de Infraestructuras Críticas.

1.6. Gestión y actualización

La elaboración, actualización, gestión y custodia del Plan Sectorial de Protección y

Defensa para la Infraestructura Crítica Cibernética de Colombia serán coordinadas por el
líder sectorial, en este caso, el Ministerio de Justicia y del Derecho, quien se apoyará en
los demás integrantes del sector Gobierno.

El plan será revisado al menos una (1) vez por año y/o cuando sea necesario. En el
evento que el Plan Nacional de Protección de la Infraestructura Crítica presente cualquier
cambio, la actualización deberá hacerse de forma inmediata.

CAPÍTULO II: SERVICIOS ESENCIALES E INTERDEPENDENCIAS

2.
2.1. Servicios Esenciales

2.1.1. Qué es un servicio esencial

Un servicio esencial prestado por el gobierno o por cualquier organización o

entidad, es aquel servicio cuya modificación o interrupción puede poner en riesgo
la seguridad, la salud o la vida de los ciudadanos.

2.1.2. Servicios esenciales del Sector

Inspección, control y vigilancia en relación con la prestación de los servicios

públicos domiciliarios, la protección de los derechos y la promoción de los deberes
de los usuarios y responsabilidades de los prestadores.

12
Diseño, coordinación e implementación de políticas públicas para la inclusión
social y la reconciliación.

Fortalecer las políticas públicas en relación con el emprendimiento, productividad e

innovación, así como la legalidad, la seguridad nacional y la transparencia.

Producción de inteligencia estratégica y contrainteligencia de Estado en el ámbito

nacional e internacional, desde una perspectiva civil, orientada al cumplimiento de
los fines esenciales del Estado, con fundamento en el respeto a la dignidad
humana.

Formulación, coordinación, ejecución y vigilancia de la política del Estado en

materia cultural, deportiva, recreativa y de aprovechamiento del tiempo libre.

Resguardo y gestión del patrimonio arqueológico, antropológico e histórico de

Colombia, a través de la investigación, la conservación, la divulgación y la
formulación de políticas públicas.

Formulación, adopción y orientación de la política pública en materia laboral que

contribuya a mejorar la calidad de vida de los colombianos, para garantizar el
derecho al trabajo decente, mediante la identificación e implementación de
estrategias de generación y formalización del empleo; respeto a los derechos
fundamentales del trabajo y la promoción del diálogo social y el aseguramiento
para la vejez.

Ejercer la acción penal y de extinción de dominio en el marco del derecho

constitucional al debido proceso; participando en el diseño y la ejecución de la
política criminal del Estado; garantizando el acceso efectivo a la justicia, la verdad
y la reparación de las víctimas de los delitos; y generando confianza en la
ciudadanía.

Formular, gestionar e implementar las políticas, planes, programas y proyectos de

orden nacional, en materia de justicia y amparo efectivo de los derechos, con el fin
de contribuir al fortalecimiento del Estado Social y Democrático de Derecho.

13
Ejecutar la pena y las medidas de seguridad interpuestas por las autoridades
judiciales y la atención básica de la totalidad de la población reclusa y el
tratamiento orientado a la resocialización de la población condenada.

Liderar la defensa jurídica de la Nación a través de la generación de conocimiento

que permita a las entidades públicas prevenir el daño antijurídico y fortalecer la
defensa de los intereses litigiosos del Estado, con el fin de garantizar los derechos
constitucionales y optimizar los recursos públicos en beneficio de los colombianos.

Estandarizar y prestar el servicio registral a partir de la modernización y

optimización de los procesos administrativos, tecnológicos y humanos con el
propósito de ofrecer a los ciudadanos trámites más ágiles y confiables en las
Oficinas de Registro de Instrumentos Públicos a lo largo de todo el país. Vigilar y
controlar el servicio registral y notarial supervisando la Guarda de la Fe Pública, la
seguridad jurídica de los bienes inmuebles y liderar estrategias para restituir,
formalizar y proteger las tierras en Colombia.

Impulsar la implantación de una visión estratégica del país en los campos social,
económico y ambiental, a través del diseño, la orientación y evaluación de las
políticas públicas colombianas, el manejo y asignación de la inversión pública y la
concreción de estas en planes, programas y proyectos del Gobierno.

Liderar, coordinar y articular la planeación de mediano y largo plazo para el

desarrollo sostenible e incluyente del país.

Liderar y coordinar la agenda de desarrollo del país, con perspectiva de mediano y

largo plazo.

Definir la metodología del Sisbén y orientar a los municipios para su

implementación, consolidar y publicar la base nacional certificada en la cual se
valida el puntaje asignado a cada persona registrada en el Sisbén.

14
 Fijar políticas, planes generales, programas y proyectos para la asistencia,
atención y reparación a las víctimas de la violencia, la inclusión social, la atención
a grupos vulnerables y su reintegración social y económica.

Producir y comunicar la información estadística, que soporte la comprensión y

solución de las problemáticas sociales, económicas y ambientales del país, que
sirvan de base para la toma de decisiones públicas y privadas y contribuyan a la
consolidación de un Estado Social de Derecho equitativo, productivo y legal.

2.1.3. Como influyen las Tecnologías de la Información y las Tecnologías de Operación y

en general el componente cibernético en la prestación del servicio o servicios esenciales

Colombia ha venido desarrollando y mostrando liderazgo regional en su

transformación hacia un Gobierno en Línea y ahora hacia un Gobierno Digital
con la integración en un portal GOV.CO, gracias a las exitosas estrategias y
resultados que permiten ofrecer trámites y servicios en línea apoyados por la
incorporación de las tecnologías de la información y las comunicaciones a
todos los niveles de la administración pública teniendo como objetivo central
el mejoramiento de la calidad y oportunidad en la atención a los ciudadanos y
la sociedad en general. Este proceso se ha hecho cada vez más vertiginoso
por la penetración y evolución de las redes y porque desde la óptica de la
política de gobierno digital el país busca consolidarse como un Estado
competitivo, proactivo e innovador para la generación de valor público a sus
ciudadanos.

Este escenario en el que confluyen y se integran redes y sistemas basados

en hardware y software está sujeto a ataques en su infraestructura que
pueden causar fallas operacionales que afectarían componentes críticos y en
consecuencia podrían interrumpir la prestación de servicios esenciales;
causando pérdidas económicas, sociales y ambientales.

Para enfrentar estas situaciones de crisis potenciales es indispensable

involucrar la ciberseguridad y su desarrollo como un componente central
dentro del contexto de protección frente a las amenazas del entorno.

15
2.2. Interdependencias

2.2.1 Qué es una interdependencia sectorial

Es la dependencia recíproca entre dos o más sectores, la cual proviene al menos

de los siguientes tres factores:

1. De los insumos, que comprenden la distribución de las habilidades, los

recursos y la tecnología que define la forma de realizar el trabajo;

2. De los procesos, por los cuales los miembros (entidades) realizan el trabajo;

3. De la forma en que las metas (servicios) son definidas y alcanzadas, en forma

individual (entidad) y colectiva (sector).

De acuerdo con estas definiciones la prestación de los servicios esenciales del

sector depende de la acción conjunta de diversos sectores y demás entidades,
dentro del marco normativo vigente.

2.2.2. Interdependencias Sectoriales del Sector

El sector Gobierno registra interdependencia desde la óptica cibernética, con los

siguientes sectores:

- Sector Electricidad: sector clave para la continuidad de la operación de las

infraestructuras de TI, y por ende de la disponibilidad de los servicios
esenciales que dependen de este recurso, los cuales son prestados por todas
las entidades responsables de la administración pública.

- Sector Financiero: su importancia radica en el soporte que las diferentes

actividades tanto del sector público como del privado requieren en el marco del
desarrollo económico del país; y que en muchos casos comprenden

16
 transacciones y procesos electrónicos hacia y desde las instituciones
financieras debidamente registradas y autorizadas.

- Sector TIC: Su interdependencia se circunscribe por la responsabilidad y

función que tiene en la definición, implementación y la generación de políticas
orientadas al desarrollo y apropiación de las tecnologías de la información y las
comunicaciones en el Estado, que buscan una mejor prestación de los
servicios al ciudadano y un eficaz ejercicio de la gestión pública.

- Sector Seguridad y Defensa: Este sector tiene una relación muy importante en
tanto es el sector que desde el punto de vista estratégico y con la capacidad de
sus fuerzas, enfrenta los retos y desafíos que suponen los nuevos escenarios
en materia de defensa y seguridad, que amenacen la seguridad y el
funcionamiento transparente del Estado.

CAPÍTULO III: RIESGOS, VULNERABILIDADES E IMPACTO CIBERNÉTICO

SECTORIAL

Los riesgos, vulnerabilidades e impacto cibernético para el sector Gobierno se han

desarrollado tomando como base la ventana de AREM propuesta por el doctor
Jeimy J. Cano, Ph. D., considerada como una estrategia para anticipar los riesgos
y amenazas en ciberseguridad empresarial.

3.
3.1. Riesgos Cibernéticos Sectoriales

De conformidad con la Guía para la Administración de los Riesgos de Gestión, Corrupción

y Seguridad Digital y el Diseño de Controles en Entidades[ CITATION Dep \l 9226 ] riesgo
de seguridad digital o Riesgo cibernético es la combinación de amenazas y
vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos y
sociales, así como afectar la soberanía nacional, la integridad territorial, el orden

17
constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente
físico, digital y las personas.

3.2. Análisis de Amenazas y Riesgos Sectoriales:

3.2.1. Identificación de activos críticos sectoriales.

En general los activos críticos sectoriales corresponden a los centros de

cómputo/procesamiento de los Sectores y sus respectivas Entidades, que en
algunos casos están ubicados dentro de las instalaciones de la Entidad o son
soportados en su operación por instalaciones de terceros.

Algunos activos del sector son:

- Centro de datos del Departamento Administrativo de la Presidencia de la

República
- Centro de datos del Departamento Nacional de Planeación
- Centro de datos del Ministerio de Justicia y del Derecho
- Centro de datos del Ministerio del Interior
- Centro de datos del Ministerio de Cultura
- Centro de datos de la Superintendencia de Notariado y Registro
- Redes de comunicaciones
- Centro de datos del Departamento Administrativo Nacional de Estadística.

Cada una de las entidades del sector Gobierno realizó la identificación de la

infraestructura crítica cibernética de acuerdo con las directrices de la Guía para la
Identificación de Infraestructura Critica Cibernética del Ministerio de Defensa Nacional.
Por ser información pública reservada no hace parte del presente documento.

3.2.2. Análisis de las amenazas y riesgos.

El Sector Gobierno realizó el análisis de las amenazas y riesgos cibernéticos para

identificar los más importantes y de alto impacto en su sector. Para este fin se

18
 utilizó el Instrumento metodológico desarrollado por el PhD. Jeimy José Cano M.
llamado Ventana de AREM[ CITATION Can17 \l 9226 ]

A través de este instrumento el Sector Gobierno recolectó, clasificó y analizó las

tendencias en materia de amenazas y vulnerabilidades cibernéticas, estableciendo una
lista de posibles amenazas y ubicándolos en cada uno de los siguientes cuadrantes:

• Conocido: La amenaza se ha conversado o comunicado dentro de la organización y

se conoce de su existencia.
• Latente: Se ha enterado de que tal amenaza existe y que no sabe si la organización
tiene alguna estrategia de mitigación.
• Focalizado: La amenaza ya se ha visto o materializado en la industria particular a la
que pertenece la empresa.
• Emergente: Nunca había escuchado de tal amenaza.

Los riesgos cibernéticos identificados en el Sector Gobierno son:

1. Acceso no autorizado a los activos de información.

2. Actividades relacionadas con la corrupción por parte de los usuarios internos.

19
3. Afectación de los portales y aplicaciones web de las entidades.
4. Afectación de los activos de la entidad, por el uso de dispositivos personales en
las entidades (BYOD).
5. Afectación de los activos de la entidad por el uso de la computación en la nube.
6. Afectación de los activos de información por prácticas inadecuadas en las
entidades.
7. Afectación de la disponibilidad de los activos de información.
8. Afectación de la imagen institucional a través de las redes sociales y las noticias
falsas.
9. Afectación de la seguridad nacional por pérdida de información institucional
reservada.
10. Ataques dirigidos a través de IoT.
11. Ataques internos.
12. Ataques usando ingeniería social.
13. Ataques usando la Inteligencia Artificial.
14. Baja asignación presupuestal para los temas de ciberseguridad y Seguridad de la
información.
15. BEC (Business Email Compromise).
16. Ciberconflicto.
17. Ciberataques.
18. Cibercrimen.
19. Ciberespionaje.
20. Cibersabotaje.
21. Ciberterrorismo.
22. Dependencia de terceros en la administración de los activos de información.
23. En la mayoría de las Entidades, no se cuenta con dependencias y personal
especializado para la gestión de la seguridad de la información y ciberseguridad
con dedicación exclusiva.
24. Falta de conocimiento, formación y compromiso en seguridad de la información,
buenas prácticas y ciberseguridad por parte de los usuarios (funcionarios y
contratistas) en las diferentes entidades.
25. Pérdida de disponibilidad por obsolescencia tecnológica.
26. Pérdida de información institucional.
27. USBdriveby.

20
 28. Uso inadecuado de los activos de información a través de la Criptominería.

Lo que conoce la organización Lo que desconoce la organización

Lo que conoce el 1, 3, 4, 6, 7, 14, 17, 22, 23, 24,
5, 8, 11, 12, 15, 18, 19, 20, 21, 27
entorno 25, 26, 28
Lo que desconoce el
2, 9 10,13,16
entorno

Conocido Latente Focalizado Emergente

Acceso no autorizado a los Afectación de los Actividades Ataques
activos de información. activos de la entidad por relacionadas con la dirigidos a
el uso de la corrupción por través de IoT.
computación en la nube. parte de los
usuarios internos.
Afectación de los portales y Afectación de la imagen Afectación de la Ataques
aplicaciones web de las institucional a través de seguridad nacional usando la
entidades. las redes sociales y las por pérdida de Inteligencia
noticias falsas. información Artificial.
institucional
reservada.
Afectación de los activos de Ataques internos.   Ciberconflicto
la entidad, por el uso de
dispositivos personales en
las entidades (BYOD).
Afectación de los activos de Ataques usando  
información por prácticas ingeniería social.
inadecuadas en las
entidades.
Afectación de la BEC (Business Email  
disponibilidad de los activos Compromise).
de información
Afectación de los activos por Cibercrimen.    
baja asignación presupuestal
para los temas de
ciberseguridad.
Ciberataques. Ciberespionaje.    
Dependencia de terceros en Cibersabotaje.    
la administración de los
activos de información.
En la mayoría de las Afectación de los Afectación de la Ataques
Entidades, no se cuenta activos de la Entidad. seguridad de la usando la
con dependencias y información.. inteligencia e
personal especializado ingeniería
social.
para la gestión de la
seguridad de la
información y
ciberseguridad con

21
 Conocido Latente Focalizado Emergente
dedicación exclusiva.
Falta de conocimiento, Afectación de los Afectación de la Ataques
formación y compromiso activos de la Entidad. seguridad de la usando la
en seguridad de la información.. inteligencia e
información, buenas ingeniería
social.
prácticas y ciberseguridad
por parte de los usuarios
(funcionarios y
contratistas) en las
diferentes entidades
Pérdida de disponibilidad por Uso inadecuado de los    
obsolescencia tecnológica. activos de información
de información a través
de la Criptominería.
Pérdida de información    
institucional.
USBdriveby    

22
3.3. Impacto Cibernético Sectorial

Para la valoración de los riesgos cibernéticos se utilizó como metodología de referencia la

Guía para la administración de riesgos de gestión, corrupción y seguridad digital del
Departamento Administrativo de la Función Pública, del mes de agosto de 2018.

3.3.1. Escala de valoración de la probabilidad de ocurrencia

3.3.2. Escala de valoración del impacto del riesgo.

23
 Riesgo Probabilidad Impacto
Acceso no autorizado de los activos de información. Posible Mayor
Actividades relacionadas con la corrupción por parte de los
usuarios internos. Improbable Mayor
Afectación de los portales y aplicaciones web de las entidades. Rara vez Mayor
Afectación de los activos de la entidad, por el uso de
dispositivos personales en las entidades (BYOD). Probable Mayor
Afectación de los activos de la entidad por el uso de la
computación en la nube. Improbable Catastrófico
Afectación de los activos de información por prácticas
inadecuadas en las entidades. Posible Mayor
Afectación de la disponibilidad de los activos de información. Posible Catastrófico
Afectación de la imagen institucional a través de las redes
sociales y las noticias falsas. Probable Mayor
Afectación de la seguridad nacional por pérdida de información
institucional reservada. Improbable Catastrófico
Ataques dirigidos a través de IoT. Rara vez Catastrófico
Ataques internos. Posible Moderado
Ataques usando ingeniería social. Probable Mayor
Ataques usando la Inteligencia Artificial. Posible Catastrófico
Afectación de los activos por baja asignación presupuestal
para los temas de ciberseguridad. Probable Mayor
BEC (Business Email Compromise). Probable Moderado
Ciber Conflicto Rara vez Catastrófico
Ciberataques Probable Catastrófico
Cibercrimen Posible Mayor
Ciberespionaje Rara vez Catastrófico
Cibersabotaje Rara vez Catastrófico
Ciberterrorismo Rara vez Catastrófico
Indisponibilidad de activos por dependencia de terceros en la
administración de los mismos Posible Mayor
En la mayoría de las Entidades, no se cuenta con Posible Moderado

24
dependencias y personal especializado para la gestión de la
seguridad de la información y ciberseguridad con dedicación
exclusiva.
Falta de conocimiento, formación y compromiso en seguridad
de la información, buenas prácticas y ciberseguridad por parte
de los usuarios (funcionarios y contratistas) en las diferentes Posible Moderado
entidades
Pérdida de disponibilidad por obsolescencia tecnológica Posible Mayor
Pérdida de información institucional Posible Mayor
USBdriveby Probable Catastrófico
Uso inadecuado de los activos de información de información
a través de la Criptominería Posible Moderado

25
 3.3.3. Valoración de los riesgos cibernéticos
PROBABLE (4) SEGURO(5)CASI

• Afectación de los activos de la entidad, por el

uso de dispositivos personales en las
• BEC (Business Email entidades (BYOD). • Ciberataques.
Compromise). • Afectación de la imagen institucional a través • USBdriveby
Probabilidad de ocurrencia

de las redes sociales y las noticias falsas.

• Ataques usando ingeniería social.

• Ataques internos. • Acceso no autorizado de los activos de • Afectación de la confidencialidad,

RARA VEZ(1)(2)IMPROBABLE POSIBLE (3)

• En la mayoría de las información. integridad y disponibilidad por prácticas

Entidades, no se cuenta • Afectación de los activos de información por inadecuadas en las entidades.
con dependencias y prácticas inadecuadas en las entidades. • Afectación de la disponibilidad de los
personal especializado • Cibercrimen. activos de información.
para la gestión de la • Indisponibilidad de activos por dependencia • Pérdida de información institucional.
seguridad de la de terceros en la administración de los • Uso inadecuado
Actividades de los
relacionadas con activos
la de
• Actividades relacionadas con la corrupción corrupción por parte de los usuarios
por parte de los usuarios internos. internos
• Afectación de los portales y aplicaciones web • Afectación de la confidencialidad,
de las entidades. integridad y disponibilidad por el uso de
la computación en la nube
• Afectación de la seguridad nacional por
• Ataques dirigidos a través de IoT.
• Ciberconflicto.
• Ciberespionaje.
• Cibersabotaje.
• Ciberterrorismo.
INSIGNIFIC MENOR (2) MODERADO(3) MAYOR (4) CATÁSTROFICO (5)
ANTE (1)
Impacto

El ejercicio de identificación de riesgos realizado al interior del sector muestra que la valoración de impacto va desde un nivel
moderado hasta uno catastrófico.
Se puede observar que los riesgos están asociados a la exposición tanto interna como externa de los activos de información,
mediada por el uso de medios tecnológicos, en los que el eslabón más débil sigue siendo las personas que interactúan con ellos.

Así mismo, la evolución y aplicación de las tecnologías como la inteligencia artificial para el desarrollo de nuevos vectores de ataque,
que hasta hace poco tiempo no se consideraban comunes en el escenario cibernético, empiezan a hacer presencia más frecuente
identificándose en el análisis como una amenaza emergente con posibilidad de convertirse en latente. En este sentido ha resultado
muy útil la orientación para este tipo de amenazas, dada a través de la ventana de AREM.

CAPITULO IV. ESTRUCTURA SECTORIAL DE PROTECCIÓN Y DEFENSA DE LA INFRAESTRUCTURA

CIBERNÉTICA

4.
4.1. Sistema Sectorial de Protección y Defensa – Sector Gobierno

3
A continuación, se relacionan las entidades y su rol dentro del esquema del sistema sectorial de protección
y defensa:

Entidad Función como Entidad Rol

Ministerio de Justicia y del Derecho Entidad encargada de formular, gestionar e Líder Sectorial
implementar las políticas, planes, programas y
proyectos de orden nacional, en materia de
justicia y amparo efectivo de los derechos, con
el fin de contribuir al fortalecimiento del Estado
Social y Democrático de Derecho.
Departamento Nacional de Planeación Liderar, coordinar y articular la planeación de Suplente Líder Sectorial – Entidad cabeza
mediano y largo plazo para el desarrollo subsector Planeación
sostenible e incluyente del país.
Departamento Administrativo de la Asistir al Presidente de la República, en su Líder de Sector Presidencia conformado por:
Presidencia de la República condición de Jefe del Estado, en su labor de - Agencia para la Reincorporación y la
coordinación de los diferentes órganos del Normalización ARN
Estado para que se colaboren armónicamente - Agencia Presidencial de Cooperación
en la realización de sus objetivos. Internacional de Colombia – APC
- Empresa Nacional de Renovación y

4
 Desarrollo Urbano Virgilio Barco
- Unidad Nacional para la Gestión del Riesgo
de Desastres - UNGRD
Superservicios …. Entidad ……….
Departamento Administrativo Dirección Desarrollar actividades de inteligencia Departamento Administrativo del sector
Nacional de Inteligencia - DNI estratégica y contrainteligencia para proteger los Inteligencia Estratégica y Contrainteligencia,
derechos y libertades de los ciudadanos y de las encargado de:
personas residentes en Colombia, prevenir y - Desarrollar actividades de inteligencia
contrarrestar amenazas internas o externas estratégica y contrainteligencia para proteger los
contra la vigencia del régimen democrático, el derechos y libertades de los ciudadanos.
orden constitucional y legal, la seguridad y la - Prevenir y contrarrestar amenazas internas o
defensa nacional, así como cumplir con los externas contra el régimen democrático y legal,
requerimientos que en materia de inteligencia le la seguridad y la defensa nacional.
hagan el Presidente de la República y el Alto - Cumplir con los requerimientos que en materia
Gobierno para el logro de los fines esenciales de inteligencia le hagan el Presidente de la
del Estado, de conformidad con la ley. República y el Alto Gobierno.

DANE El Departamento Administrativo Nacional de Líder Sectorial subsector Información

Estadística, DANE, tiene como objetivos Estadística
garantizar la producción, disponibilidad y calidad
de la información estadística estratégica, y
dirigir, planear, ejecutar, coordinar, regular y
evaluar la producción y difusión de información
oficial básica.
FONDANE FONDANE, contribuye al desarrollo económico, Entidad Adscrita subsector Información
social y tecnológico del país, a través del Estadística
manejo eficiente de los recursos, para apoyar y
financiar el desarrollo de proyectos de
información estadística, encomendados al
DANE.
IGAC El Instituto Geográfico Agustín Codazzi, IGAC, Entidad Adscrita subsector Información
es la entidad encargada de producir el mapa y la Estadística
cartografía básica de Colombia; elaborar el
catastro nacional de la propiedad inmueble;
realizar el inventario de las características de los
suelos; adelantar investigaciones geográficas
como oficial apoyo al desarrollo territorial;
capacitar y formar profesionales en tecnologías
de información geográfica y coordinar la
Infraestructura Colombiana de Datos Espaciales
(ICDE).

5
Roles, Funciones y Responsabilidades

Líder Sectorial
i. Liderar las mesas de trabajo del sector y definir el esquema de trabajo
ii. Consolidar el Plan Sectorial de Protección de infraestructura Crítica Cibernética
iii. Divulgar y sensibilizar a las entidades del Sector en el tema de ciberseguridad.
iv. Promover políticas interinstitucionales para la preservación y la seguridad de la infraestructura critica del sector.
v. Proponer los lineamientos para sustentar la consecución de recursos en las entidades del Sector que les permitan
fortalecer sus esquemas de ciberseguridad.
vi. Articular las entidades adscritas y vinculadas al sector para alinear el plan de protección y defensa de la ICC.
vii. Establecer en consenso con las entidades del sector los canales y procedimientos de comunicación para atender una
emergencia

Líder Suplente
i. Apoyar al líder sectorial en las actividades enmarcadas dentro del Plan de Infraestructura Crítica Cibernética Nacional.
ii. Brindar asesoría y acompañamiento a las entidades del sector que requieran algún concepto técnico frente al manejo y
administración de la infraestructura critica del sector.

Secretaría Técnica

6
i. Apoyar técnicamente en la definición del Plan de Infraestructura Crítica Cibernética Nacional
ii. Participar en la elaboración de documentos técnicos que fortalezcan el plan de infraestructura critica cibernética del
sector.
iii. Articular actividades con las entidades del sector para evaluar, diagnosticar, o tomar medidas frente a una situación de
riesgo de la infraestructura critica del sector.
iv. Brindar asesoría y acompañamiento a las entidades del sector que requieran algún concepto técnico frente al manejo y
administración de la infraestructura critica del sector

Demás entidades pertenecientes al sector

i. Seguir los lineamientos gubernamentales para la implementación del PNPICCN

ii. Identificar las infraestructuras críticas de la Entidad
iii. Identificar los riesgos y amenazas de la Entidad en cuanto a ciberseguridad
iv. Acoger las medidas necesarias para proteger la infraestructura critica del sector
v. Monitorear y ejercer un control riguroso en la infraestructura critica del sector que se encuentra en sus entidades.
vi. Reportar cualquier incidente de seguridad que pueda afectar la infraestructura critica del sector de acuerdo al protocolo
que se establezca
vii. Colaborar con la consolidación del PSPICC
viii. Implementar un Plan de Seguridad y Privacidad de la Información
ix. Participar en las mesas de trabajo del sector
x. Compartir el conocimiento y las experiencias obtenidos en seguridad y privacidad de la información y ciberseguridad
xi. Actualizar los datos de contacto de las personas encargadas de seguridad de la información y seguridad digital en la
Entidad

7
Funciones
i. Implementar estrategias para la Seguridad, Privacidad de la Información y Ciberseguridad para el sector gobierno,
abarcando la triada personas, tecnologías y procesos.
ii. Desarrollar capacidades de reacción ante incidentes informáticos, que atenten contra la Seguridad, Privacidad de la
Información y Ciberseguridad en el sector.
iii. Promover lineamientos técnicos y de cultura organizacional en pro de la Seguridad, Privacidad de la Información y
Ciberseguridad de la infraestructura critica del sector.

Los responsables de la ejecución de las acciones son quienes cumplen los siguientes roles:

(i) Director/ministro de la Entidad

(ii) Director o jefe de las dirección u oficina de Tecnologías de la Información o quien haga sus veces
(iii) Líder Seguridad y Privacidad de la Información o quien haga sus veces.
(iv) Líder de Infraestructura tecnológica de la Entidad o quien haga sus veces.

Así mismo, cada Entidad definirá dentro de sus planes de Seguridad y Privacidad de la Información y de los Planes
Estratégicos de Tecnología de la Información la inclusión de estas acciones; conforme con su nivel de madurez frente a la
seguridad de la información, teniendo como premisa que estas deben quedar implementadas dentro de las Entidades del
sector en el plazo máximo que se defina dentro del alcance del presente plan.

4.2. Directorio

8
Tomando como referencia el Manual de Estructura del Estado de la Función Pública las entidades que hacen parte del Sector
Gobierno son:

4.2.1. Subsector Presidencia

Entidad Contacto (Área, Correo electrónico)

Departamento Administrativo de la Presidencia [email protected]
Agencia para la Reincorporación y la [email protected]
Normalización – ARN
Agencia Presidencial de Cooperación Internacional de [email protected]
Colombia - APC COLOMBIA
Unidad Nacional para la Gestión del [email protected]
Riesgo de Desastres UNGRD
Agencia Nacional Inmobiliaria Virgilio Barco Vargas  [email protected]

4.2.2. Subsector Hacienda

Entidad Contacto (Área, Correo electrónico)

Ministerio de Hacienda [email protected]

[email protected]

9
 4.2.3. Subsector Interior

Entidad Contacto (Área, Correo electrónico)

Ministerio del Interior
Corporación Nacional para la Reconstrucción de la
Cuenca del Río Páez y Zonas Aledañas - NASA KIWE
Fondo Para la Participación y el Fortalecimiento de la
Democracia.
Dirección Nacional de Derechos de Autor.
Unidad Nacional de Protección
Dirección Nacional de Bomberos
Imprenta Nacional de Colombia

4.2.4. Subsector Relaciones Exteriores

Entidad Contacto (Área, Correo electrónico)

Ministerio de Relaciones [email protected]
Exteriores
Fondo Rotatorio del Ministerio de
Relaciones Exteriores
Unidad Administrativa Especial Migración
Colombia 

4.2.5. Subsector Justicia y del Derecho

Entidad Contacto (Área, Correo electrónico)

Ministerio de Justicia y del Derecho Subdirección de Tecnologías y Sistemas
de Información
[email protected];
Infraestructura:
[email protected]
Instituto Nacional Penitenciario y

10
Carcelario INPEC.
Agencia Nacional de Defensa Jurídica del [email protected];
Estado [email protected]
Unidad de Servicios Penitenciarios y [email protected];
Carcelarios. [email protected]
Superintendencia de Notariado y Registro [email protected];
[email protected]

4.2.6. Subsector Trabajo

Entidad Contacto (Área, Correo electrónico)

Ministerio del Trabajo [email protected];
[email protected]
Superintendencia de Subsidio Familiar
Servicio Nacional de Aprendizaje
Unidad Administrativa Especial de
Organizaciones Solidarias
Unidad Administrativa Especial del Servicio
Público de Empleo
Administradora Colombiana de Pensiones

4.2.7. Subsector Cultura

Entidad Contacto (Área, Correo electrónico)

Ministerio de Cultura [email protected]
Archivo General de la Nación
Instituto Caro y Cuervo
Instituto Colombiano de Antropología e [email protected]
Historia

11
Museo Nacional
Biblioteca Nacional

4.2.8. Subsector Planeación

Entidad Contacto (Área, Correo electrónico)

Departamento Nacional de Oficina de Tecnologías y Sistemas de Información.
Planeación [email protected];
[email protected]
Superintendencia de Servicios [email protected]
Públicos Domiciliarios [email protected]
[email protected]
Empresa Nacional Promotora del Gestión del Grupo de Tecnologías de la información
Desarrollo Territorial [email protected]
-ENTERRITORIO [email protected]
Agencia Nacional de Contratación Subdirección de Información y Desarrollo Tecnológico.
Pública – Colombia Compra [email protected]
Eficiente. [email protected]

4.2.9. Sector Inteligencia Estratégica y Contrainteligencia

Entidad Contacto (Área, Correo electrónico)

Departamento Administrativo Dirección Nombre: Erich Siegert Cerezo
Nacional de Inteligencia DNI Oficina: Centro de Protección de Datos
[email protected]
Nombre: Álvaro Ríos Henao – Yovani
Bueno
Oficina: Centro de Protección de Datos
[email protected]

12
 4.2.10. Subsector Función Pública

Entidad Contacto (Área, Correo electrónico)

Departamento Administrativo de la Función
Pública
Escuela Superior de Administración Pública
(ESAP)

4.2.11. Subsector Información Estadística

Entidad Contacto (Área, Correo electrónico)

Departamento Administrativo Nacional de [email protected];
Estadística [email protected]
[email protected]
Fondo Rotatorio del Departamento [email protected];
Administrativo Nacional de Estadística [email protected]
[email protected]
Instituto Geográfico Agustín Codazzi. [email protected]
[email protected]
[email protected]

4.2.12. Subsector Administrativo del Deporte

Entidad Contacto (Área, Correo electrónico)

Departamento Administrativo del Deporte,
la Recreación, la Actividad Física y el
Aprovechamiento del Tiempo Libre

4.2.13. Ciencia y Tecnología

Entidad Contacto (Área, Correo electrónico)

13
Departamento Administrativo de Ciencia,
Tecnología e Innovación- Colciencias

4.2.14. Inclusión Social y Reconciliación

Entidad Contacto (Área, Correo electrónico)

Departamento [email protected]
Administrativo para la [email protected]
Prosperidad Social [email protected]
Unidad Administrativa [email protected]
Especial para la [email protected]
Atención y
Reparación Integral a
las Víctimas.
Centro de Memoria [email protected]
Histórica. [email protected]
Instituto Colombiano [email protected];
de Bienestar Familiar [email protected];
[email protected]

14
 CAPITULO V. PLANEACIÓN ESTRATÉGICA SECTORIAL PARA LA PROTECCIÓN DE LA ICC

5.1. Líneas Estratégicas, Acciones y Métricas

Para 2020 el Sector Gobierno centrara sus esfuerzos en la construcción de la Estrategia de Gobernanza de Seguridad Digital para el
Sector Gobierno de acuerdo con el análisis realizado por el Departamento Nacional de Planeación.

De acuerdo con el Manual del Estado Colombiano1 del Departamento de la Función Pública las entidades del sector Gobierno
hacen parte de la Rama Ejecutiva.

1
https://www.funcionpublica.gov.co/eva/gestornormativo/manual-estado/index.php

15
De acuerdo con el Manual del Estado Colombiano las entidades del sector Gobierno hacen parte Presidencia, Ministerios y
Departamentos administrativos del Sector central de la Rama Ejecutiva del Estado Colombiano.

16
En las 69 reunión de Infraestructura Critica, Riesgo Operacional y Ciberdefensa cuyo objetivo es desarrollar el Plan Sectorial de
Protección y Defensa para la Infraestructura Crítica Cibernética del Sector Gobierno han participado las entidades:

17
 • Ministerio de Justicia y del Derecho (Líder)
• Departamento Nacional de Planeación (Suplente)
• Departamento Administrativo de la Presidencia de la República
• Superservicios
• Departamento Administrativo Dirección Nacional de Inteligencia - DNI
• DANE
• FONDANE
• IGAC
• ICBF

La asistencia a las reuniones son de carácter voluntario.

En la reunión de coordinación entre el Líder y el Suplente se analizó la baja asistencia de las entidades del Sector, evidenciando que
las reuniones internas del sector Gobierno permitieron identificar que cada entidad participante tiene su propia estructura de
gobernanza de la seguridad digital en virtud de la normativa vigente en:

• Manual del Estado Colombiano

• Modelo Integrado de Planeación y Gestión (MIPG)
• Constitución Política de Colombia
• Decretos
• Conpes
• Planes Nacionales de Desarrollo
• Plan Nacional de Protección de Infraestructura Critica Cibernética

18
No existe un fundamento legal que nos permita obligar o revisar las actividades que están haciendo otras entidades del sector
Gobierno por ello las líneas y estrategias deben ser individuales.

En las entidades de Gobierno existen nuevos retos en seguridad Digital que no han sido analizados y son medibles mediante el
FURAG que muestra los resultados en la implementación https://www.funcionpublica.gov.co/web/mipg/furag.

En las entidades de Gobierno existen nuevos retos en seguridad Digital que no han sido analizados y son medibles mediante el
FURAG que muestra los resultados en la implementación https://www.funcionpublica.gov.co/web/mipg/furag.

Las evidencias de los resultados que reportan las entidades son auditadas por la Contraloría General de la Nación.

Por ello la estrategia para el 2020 es el diseño de la estrategia de Gobernanza teniendo en cuenta que la Política de Seguridad
Digital es una Política de Estado y no de Gobierno.

Para el 2020 existen nuevos restos en seguridad digital que deben ser analizados en el marco de la normatividad vigente:

• Plan Nacional de Desarrollo Pacto por Colombia, pacto por la equidad 2018 – 2022
• Conpes 3975 Política Nacional para la Transformación Digital e Inteligencia Artificial publicado el 8 de noviembre de 2019
• Conpes 3920 Política Nacional de Explotación de Datos (Big Data) publicado el 17 de abril de 2018.
• Conpes Nacional de Confianza y Seguridad Digital que fue publicado para comentarios hasta el 25 de octubre de 2019
• Plan Nacional de Protección de Infraestructura Critica Cibernética creado en el 2018
• Finalización del CONPES 3854 Política Nacional de Seguridad Digital
• Catálogo de Infraestructura Critica Cibernética

19
• https://www.mintic.gov.co/portal/604/w3-article-106284.html?_noredirect=1
• Objetivos de Desarrollo Sostenible http://ods.gov.co/
• OCDE https://www.oecd.org

Las reuniones de Infraestructura Critica, Riesgo Operacional y Ciberdefensa fueron creadas como parte de la Estrategia
Nacional de Ciberseguridad y Fortalecimiento de las capacidades en ciberdefensa del capítulo VIII. Seguridad, Justicia y
Democracia para la Construcción de Paz del Plan Nacional de Desarrollo 2014-2018.

Las reuniones tienen relación con el Objetivo 4 del Conpes 3854 “Fortalecer la defensa y soberanía nacional en el entorno digital
con un enfoque de gestión de riesgos, actividades” y tienen relación con las actividades 4.5. (E4.3) y 4.6 (E4.3) del Conpes
3854 con las actividades: Realizar la actualización periódica del catálogo de infraestructuras críticas cibernéticas nacionales y
Establecer los contenidos de los planes de protección de la infraestructura crítica cibernética, en el marco de la estrategia de
protección y defensa de la infraestructura crítica cibernética nacional

.5.2. Estrategias de Comunicación y Divulgación

El Sector Gobierno como uno de los 13 sectores estratégicos de Seguridad Digital pone a consideración la necesidad de que el
Comando Conjunto Cibernético del Ministerio de Defensa realice el análisis del presente documento ya que evidencia las
debilidades en el tema de comunicación del Estado Colombiano para el tema de Seguridad Digital.

El presente documento es reservado porque presenta el análisis de la Gobernanza de Seguridad Digital para el Sector Gobierno.
El fundamento legal son las normas: a) Ley 1712 de 2014 (literal d Articulo 6 y literal a artículo 19) y la Sentencia C-491 de 2007
“… En todo caso la Corte ha indicado que el derecho de acceso a los documentos públicos no se extiende a los documentos

20
meramente preparatorios o en trámite de elaboración ni a la información íntima o privada de personas naturales que no tenga
ninguna relevancia pública…”

21