1. INTRODUCCIÓN
La Política General de Seguridad y Privacidad de la Información es la declaración general que representa la posición de la administración del Jardín Botánico José Celestino Mutis con respecto a la protección de los activos de información (los funcionarios, contratistas, terceros, la información, los procesos, las tecnologías de información incluido el hardware y el software), que soportan los procesos de la entidad y apoyan la implementación del proceso de Seguridad de la Información (SDI), por medio de la generación y publicación de sus políticas, procedimientos e instructivos, así como de la asignación de responsabilidades generales y específicas para la gestión de la seguridad de la información.
2. OBJETIVO
Establecer los lineamientos definidos por la Dirección de Jardín Botánico José Celestino Mutis para la seguridad de la información, teniendo en cuenta la implementación del Modelo de Seguridad y Privacidad de la Información (MSPI), las políticas de Seguridad Digital y Gobierno Digital y demás requisitos de ley y las necesidades de las partes interesadas.
3. OBJETIVOS ESPECÍFICOS
- Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información.
- Minimizar el riesgo de todos los procesos de la
- Mejorar continuamente la gestión de seguridad de la información en el
- Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, aprendices, practicantes y grupos de interés y de valor en el Jardín Botánico José Celestino Mutis, para los activos de seguridad
- Implementar los controles tecnológicos necesarios para la protección de los activos en el Jardín Botánico José Celestino Mutis y para la reducción de los
4. COMPROMISO DE LA DIRECCIÓN
La Dirección de Jardín Botánico José Celestino Mutis. Se compromete a apoyar y liderar el establecimiento, implementación, mantenimiento y mejora del Modelo de seguridad y privacidad de la información (MSPI), así mismo, se compromete a revisar el avance de la implementación del MSPI de manera periódica y también facilitará los recursos suficientes (tecnológicos y talento humano calificado) para implementar y mantener el modelo, de igual manera, incluirá dentro de las decisiones estratégicas, la seguridad de la información.
5. ALCANCE
La Política de Seguridad y Privacidad de la Información, aplica a todos los niveles funcionales y organizacionales del Jardín Botánico José Celestino Mutis, a todos sus funcionarios, contratistas, proveedores y operadores, así como aquellas personas o terceros que en razón del cumplimiento de sus funciones y las del del Jardín Botánico José Celestino Mutis compartan, utilicen, recolecten, procesen, intercambien o consulten su información, al igual que a las entidades de control y demás entidades relacionadas que accedan, ya sea interna o externamente a cualquier activo de información, independientemente de su ubicación
De igual manera, esta política aplica a toda la información creada, procesada o utilizada por el del Jardín Botánico José Celestino Mutis, sin importar el medio, formato, presentación o lugar en el cual se encuentre en conformidad a los requisitos normativos comprende a todos los procesos de la entidad en la implementación del MSPI y la mejora continua.
1. TÉRMINOS Y DEFINICIONES
Las definiciones de la Política General de Seguridad y Privacidad de la Información del Jardín Botánico José Celestino Mutis, tiene fundamento en el estándar internacional ISO 270011
A continuación, se listan algunas de las más importantes, relacionadas con la gestión de los documentos:
Acceso a la Información Pública: Derecho fundamental consistente en la facultad que tienen todas las personas de conocer sobre la existencia y acceso a la información pública en posesión o bajo control de sujetos obligados (Ley 1712, 2014).
Activo: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de esta (sistemas, soportes, edificios, personas, etc.) que tenga valor para la organización. (Modelo de Seguridad y Privacidad de la Información, 2021).
Amenaza: Posible violación de la seguridad digital que tiene el potencial de ocurrir total o parcialmente en el entorno digital. Se caracteriza por la aparición de una situación donde uno o más actores (externos o internos) adelantan una o varias acciones con la capacidad de alterar una infraestructura física, un sistema de información o la integridad de la información en sí. (Política Nacional de Confianza y Seguridad Digital [Documento CONPES 3995], 2020).
Análisis de riesgos: Proceso de comprender la naturaleza del riesgo y determinar su nivel de riesgo. (Modelo de Seguridad y Privacidad de la Información, 2021).
Confidencialidad: propiedad de que la información no se pone a disposición ni se revela a personas, entidades o procesos no autorizados. (ISO/CEI 27000, 2018).
Control: Medida que modifica el riesgo. Sinónimo salvaguarda (ISO/CEI 27000, 2018).
Disponibilidad: propiedad de ser accesible y utilizable bajo demanda por una entidad autorizada. (ISO/CEI 27000, 2018).
Gestión de incidentes de seguridad de la información: Conjunto de procesos para detectar, informar, evaluar, responder, tratar y aprender de los incidentes de seguridad de la información. (ISO/CEI 27000, 2018). https://www.iso.org/standard/27001
Gestión de riesgos: Actividades coordinadas para dirigir controlar una organización con respecto al riesgo. Se compone de la evaluación y el tratamiento de riesgos. (ISO/CEI 27000, 2018).
Incidente de seguridad de la información: único o una serie de eventos de seguridad de la información no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información, (ISO/CEI 27000, 2018).
Información: Se refiere a un conjunto organizado de datos contenido en cualquier documento que los sujetos obligados generen, obtengan, adquieran, transformen o controlen. (Ley 1712, 2014).
Integridad: La propiedad de salvaguardar la exactitud y complejidad de la información. (ISO/CEI 27000, 2018).
Parte interesada (Stakeholder): Persona u organización que puede afectar a, ser afectada por o percibirse a sí misma como afectada por una decisión o actividad. (Modelo de Seguridad y Privacidad de la Información, 2021).
Riesgo: La posibilidad de que las amenazas exploten las vulnerabilidades de un activo de información o grupo de activos de información y, por lo tanto, causen daño a una organización. (ISO/CEI 27000, 2018).
Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad de la información. (ISO/CEI 27000, 2018).
Seguridad digital: es la situación de normalidad y de tranquilidad en el entorno digital(ciberespacio), derivada de la realización de los fines esenciales del Estado mediante (i) la gestión del riesgo de seguridad digital; (ii) la implementación efectiva de medidas de ciberseguridad; y (iii) el uso efectivo de las capacidades de ciberdefensa; que demanda la voluntad social y política de las múltiples partes interesadas y de los ciudadanos del país. (Política Nacional de Confianza y Seguridad Digital [Documento CONPES 3995], 2020).
Tratamiento de Datos Personales: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. (Ley Estatutaria 1581. Art 3, 2012).
Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas (ISO/CEI 27000, 2018).
2. MARCO NORMATIVO
La Constitución Política de Colombia en su artículo 15 consagra que todas las personas tienen derecho a su intimidad personal, familiar y a su buen nombre, debiendo el Estado respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar la información que se haya recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas.
Que los artículos 209 y 269 de la Constitución Política han señalado que la administración pública, en todos sus órdenes, tendrá un control interno que se ejercerá en los términos que señale la ley. Por ello, las autoridades de las entidades públicas están en la obligación de diseñar y aplicar, según la naturaleza de sus funciones, métodos y procedimientos de control interno.
Ley 1273 de 2009 Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado – denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.
El artículo 17 de la Ley Estatutaria 1581 de 2012, “Régimen General de Protección de Datos Personales”, y el artículo 2.2.2.25.3.1. del Decreto 1074 de 2015, “Decreto Único Reglamentario del Sector Comercio Industria y Turismo”, consagraron la necesidad de garantizar de forma integral la protección y el ejercicio del derecho fundamental de Habeas Data y estableció dentro de los deberes de los responsables del tratamiento de datos personales, desarrollar políticas para este derecho.
La Ley 1712 de 2014, sobre transparencia y derecho de acceso a la información pública nacional, adiciona nuevos principios, conceptos y procedimientos para el ejercicio y garantía del referido derecho; junto con lo dispuesto en el Libro 2. Parte VIII, Titulo IV “Gestión de la Información Clasificada y Reservada” del Decreto 1080 de 2015, “por medio del cual se expide el Decreto Reglamentario Único del Sector Cultura”, el cual establece las directrices para la calificación de información pública, en el mismo sentido, el Título V de la misma Parte y Libro, establecen los instrumentos de la gestión de información pública (1) Registro de Activos de Información; (2) Índice de Información Clasificada y Reservada; (3) Esquema de Publicación de Información; (4) Programa de Gestión Documental.
El artículo 2.2.9.1.1.3. del Decreto 1078 de 2015. subrogado por el artículo 1 del Decreto 1008 de 2018. determinó que uno de los principios de la Política de Gobierno Digital es el de Seguridad de la Información, a través de este se busca crear condiciones de uso confiable en el entorno digital, mediante un enfoque basado en la gestión de riesgos, preservando la confidencialidad, integridad y disponibilidad de la información de las entidades del Estado y de los servicios que prestan al ciudadano.
ARTÍCULO 2.2.9.1.2.1. del decreto 767 del 2022 Por el cual se establecen los lineamientos generales de la Política de Gobierno Digital y se subroga el Capítulo 1 del Título 9 de la Parte 2 del Libro 2 del Decreto 1078 de 2015, Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones que dentro de la estructura tiene el 3.2 Seguridad y Privacidad de la Información: como habilitador que busca que los sujetos obligados desarrollen capacidades a través de la implementación de los lineamientos de seguridad y privacidad de la información en todos sus procesos, trámites, servicios, sistemas de información, infraestructura y en general, en todos los activos de información, con el fin de preservar la confidencialidad, integridad, disponibilidad y privacidad de los datos.
El artículo 2.2.22.2.1 del Decreto 1083 de 2015, establece las políticas de Gestión y Desempeño Institucional, entre las que se encuentran las de “11. Gobierno Digital, antes Gobierno en Línea” y “12. Seguridad Digital”.
Que en el artículo 2.2.22.3.2. del Decreto 1083 de 2015, se definió el Modelo Integrado de Planeación y Gestión (MIPG), como el “Marco de referencia para dirigir, planear, ejecutar, hacer seguimiento, evaluar y controlar la gestión de las entidades y organismos públicos, con el fin de generar resultados que atiendan los planes de desarrollo y resuelvan /as necesidades y problemas de los ciudadanos, con integridad y calidad en el servicio”.
La Resolución 500 del 10 de marzo de 2021 del Ministerio de Tecnologías de la Información y las Comunicaciones, establece lineamientos generales para la implementación del Modelo de Seguridad y Privacidad de la Información – MSPI, la guía de gestión de riesgos de seguridad de la Información y el procedimiento para la gestión de los incidentes de seguridad digital, y. establece los lineamientos y estándares para la estrategia de seguridad digital, a los sujetos obligados señalados en el artículo 2.2.9.1.1.2. del Decreto 1078 de 2015 (DUR-TIC).
El artículo 5 de la misma Resolución establece que los sujetos obligados deben adoptar la estrategia de seguridad digital en la que se integren los principios, políticas, procedimientos, guías, manuales, formatos y lineamientos para la gestión de la seguridad de la información digital. Dicha estrategia debe incluir en el Plan de Seguridad y Privacidad de la Información que se integra al Plan de Acción en los términos artículo 2.2.22.3.14. del capítulo 3 del Título 22 de la Parte 2 del Libro 2 del Decreto 1083 de 2015, Único Reglamentario del Sector de Función Pública, o la norma que la modifique, adicione, subrogue o derogue. Así como, adoptar el Modelo de Seguridad y Privacidad de la Información – MSPI señalado en el Anexo 1 de la misma resolución, como habilitador de la política de Gobierno Digital.
Ley 1952 del 2019 por la cual se expide el código general disciplinario que deroga la ley 734 de 2002 y algunas disposiciones de la ley 1474 de 2011, relacionadas con el derecho disciplinario. Artículo 38 deberes. son deberes de todo servidor público: “5. utilizar los bienes y recursos asignados para el desempeño de su empleo cargo función, las facultades que les sean atribuidas, o la información reservada a que tenga acceso por razón de su función, en forma exclusiva para los fines que están afectos. 6. custodiar y cuidar la documentación e información que, por razón de su empleo, cargo función conserve bajo su cuidado OA la cual tenga acceso, e impedir o evitar la sustracción, destrucción, ocultamiento o utilización indebidos.
El Documento CONPES 3854 establece la Política Nacional de Seguridad Digital en la República de Colombia, fortaleciendo las capacidades de las múltiples partes interesadas, para identificar, gestionar, tratar y mitigar los riesgos de seguridad digital en sus actividades socioeconómicas en el entorno digital y se generarán mecanismos permanentes para impulsar la cooperación, colaboración y asistencia en materia de seguridad digital, a nivel nacional e internacional, con un enfoque estratégico.
El Documento CONPES 3995 formula la Política Nacional de Confianza y Seguridad Digital en la República de Colombia, estableciendo medidas para ampliar la confianza digital y mejorar la seguridad digital de manera que Colombia sea una sociedad incluyente y competitiva en el futuro digital, fortaleciendo las capacidades en seguridad digital de los ciudadanos, del sector público y del sector privado del país; actualizando el marco de gobernanza en materia de seguridad digital para aumentar su grado de desarrollo y finalmente, se analizará la adopción de modelos, estándares y marcos de trabajo en materia de seguridad digital, con énfasis en nuevas tecnologías.
A su vez, el parágrafo del artículo 16 del Decreto 2106 de 2019, establece que las autoridades que realicen trámites, procesos y procedimientos por medios digitales, deberán disponer de una estrategia de seguridad digital siguiendo los lineamientos que emita el Ministerio de Tecnologías de la Información y las Comunicaciones.
Que mediante el artículo 1 del Decreto 1499 de 2017, se sustituyó el Título 22 de la Parte 2 del Libro2 del Decreto 1083 de 2015. El nuevo artículo 2.2.22.1.1 del Decreto 1083 de 2015 “Por medio del cual se expide el Decreto Único Reglamentario del Sector de Función Pública”, señala que el Sistema de Gestión “que integra los Sistemas de Desarrollo Administrativo y de Gestión de la Calidad, es el conjunto de entidades y organismos del Estado, políticas, normas, recursos e información, cuyo objeto es dirigir la gestión pública al mejor desempeño institucional y a la consecución de resultados para la satisfacción de las necesidades y el goce efectivo de los derechos de los ciudadanos, en el marco de la legalidad y la integridad”.
Que la adopción del modelo de seguridad de la información (MSPI), es una decisión estratégica para una organización. El establecimiento e implementación del modelo de seguridad de la información de una entidad pública como es la Jardín Botánico José celestino Mutis, están influenciados por las necesidades y objetivos de la Entidad, los requisitos de seguridad, los procesos organizacionales empleados, y el tamaño y estructura de la organización.
3. POLÍTICA DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
El Jardín Botánico José Celestino Mutis, entendiendo la importancia de sus activos de información para el cumplimiento de su misión institucional, se ha comprometido con la implementación un MSPI) buscando proteger la confidencialidad, integridad y disponibilidad de los activos de información realizando una adecuada gestión de los riesgos de seguridad de la información, implementando los controles necesarios que permitan mitigar los riesgos, y además establecer un marco de confianza en el ejercicio de su misión con el Distrito Capital, la región y los ciudadanos, todo enmarcado en el estricto cumplimiento de las leyes aplicables.
4. APLICABILIDAD
La presente política, sus objetivos, además de los manuales, procedimientos o documentos derivados o complementarios aplican a toda la entidad, servidores públicos, contratistas y terceros del Jardín Botánico José Celestino Mutis.
El incumplimiento a la Política de Seguridad y Privacidad de la Información o de sus lineamientos derivados, traerá consigo, las consecuencias legales que apliquen a la normativa vigente.
5. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (ROLES Y RESPONSABILIDADES)
EL Jardín Botánico José Celestino Mutis, define los roles y responsabilidades para la implementación del MSPI y el cumplimiento de los lineamientos de seguridad descritos en esta política y los demás documentos derivados (Manuales, Procedimientos, Formatos etc.…)
ROL / INSTANCIA /
DEPENDENCIA |
RESPONSABILIDADES CON LA SEGURIDAD DE LA INFORMACIÓN) |
Dirección del Jardín Botánico | Proporcionar los recursos necesarios para la implementación y mantenimiento del Modelo de seguridad y privacidad de la información (Recursos económicos, formación y recursos tecnológicos). |
Comité institucional de Gestión y Desempeño |
Asegurar la implementación y desarrollo de las políticas de gestión y directrices en materia de gobierno digital, seguridad digital y de la información”. Establecido en el
Capítulo II Funciones, Roles y Responsabilidades, Artículo Sexto, numeral 6 de la resolución número 411 de 2018 |
Coordinación De
Sistemas |
Implementar los controles de tipo tecnológico que ayuden a mitigar los riesgos de seguridad de la información |
Oficial de Seguridad de la Información |
|
Talento Humano |
Coordinar con el Oficial de Seguridad el plan de inducción, capacitación y sensibilización en seguridad de la información en Jardín Botánico José Celestino Mutis, para la toma conciencia de sus responsabilidades en seguridad de la
información y las cumplan, además de dar aplicación de la seguridad de la información de acuerdo con las políticas y procedimientos establecidos. |
Oficina de Control Interno |
|
Comunicaciones |
Apoyar en las labores de comunicación y sensibilización en seguridad de la información, para difundir la información en todos los niveles del Jardín Botánico
José Celestino Mutis. |
MANUAL DE PROCESOS Y PROCEDIMIENTOS | |||||
SDI- SEGURIDAD DE LA INFORMACION | |||||
Política: Seguridad y Privacidad de la Información | |||||
Código:
SDI.PO.01 |
Versión:
3 |
Fecha:
31/05/2023 |
Página:
9 de 10 |
||
ROL / INSTANCIA /
DEPENDENCIA |
RESPONSABILIDADES CON LA SEGURIDAD DE LA INFORMACIÓN) |
Contratación |
|
Líderes de proceso: |
Implementar las políticas y procedimientos de seguridad de la información que se
definan como parte del MSPI (Por ejemplo: gestión de activos, gestión de riesgos, controles entre otros). |
Funcionarios, contratistas y terceros |
|
6. SANCIONES
- Cualquier violación a las políticas de seguridad de la información del Jardín Botánico José Celestino Mutis debe ser sancionada de acuerdo con el Reglamento Interno de Trabajo, a las normas, leyes y estatutos de la ley colombiana, así como la normativa atinente y supletoria, y apoyados en las leyes regulatorias de delitos informáticos de
- Las sanciones podrán variar dependiendo de la gravedad y consecuencias generadas de la falta cometida o de la intencionalidad de la misma.
7. SEGUIMIENTO, MEDICION, ANALISIS Y EVALUACION DEL MSPI.
El Jardín Botánico José Celestino Mutis indica que realizará revisiones periódicas al MSPI. Dichas revisiones estarán enfocadas en los siguientes aspectos:
- Revisión de indicadores definidos para el Modelo de Seguridad y Privacidad de la Información.
- Revisión de avance en la implementación del Modelo de Seguridad y Privacidad de la Información del Ministerio
- Revisión de avance de la Política de Seguridad Digital de acuerdo con lo solicitado por FURAG o la herramienta definida para tal
8. LINEAMIENTOS, REVISIÓN Y VIGENCIA
Lineamientos de las Políticas de Seguridad de la Información. Todas las políticas identificadas en este documento se deberán desarrollar de manera detallada y clara en el Manual de Políticas de Seguridad y Privacidad de la Información.
MANUAL DE PROCESOS Y PROCEDIMIENTOS | |||||
SDI- SEGURIDAD DE LA INFORMACION | |||||
Política: Seguridad y Privacidad de la Información | |||||
Código:
SDI.PO.01 |
Versión:
3 |
Fecha:
31/05/2023 |
Página:
10 de 10 |
||
Revisión. La Política de Seguridad y Privacidad de la Información del JBB, será revisada anualmente o antes, si existiesen modificaciones que así lo requieran, para que sea siempre oportuna, suficiente y eficaz. Este proceso será liderado por el Jefe de la Oficina de Planeación o quien este delegue.
Vigencia. La presente política es adoptada por medio de la resolución 168 del 31 de mayo de 2023 y rige a partir de esta fecha.