Ministerio de Vivienda, Ciudad y Territorio

RESOLUCIÓN 973 DE 2017

(Diciembre 28)

“Por la cual se adopta el sistema de gestión de seguridad de la información, SGSI, la Política y los Objetivos de Seguridad de la Información en el Ministerio de Vivienda, Ciudad y Territorio, en el marco de la estrategia de Gobierno en Línea”.

El Ministro de Vivienda, Ciudad y Territorio,

en ejercicio de sus facultades constitucionales y legales y en especial las conferidas en el numeral 11 del artículo 6° del Decreto-Ley 3571 de 2011, los artículos 2.2.9.1.1.2 y 2.2.9.1.2.3 del Decreto 1078 de 2015, y

CONSIDERANDO:

Que la Ley 1341 de 2009 “Por la cual se definen principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones (TIC), se crea la Agencia Nacional de Espectro y se dictan otras disposiciones”, estableció el marco general del sector de las Tecnologías de la Información y las Comunicaciones, incorporando principios, conceptos y competencias sobre su organización y desarrollo e igualmente señaló que las tecnologías de la información y las comunicaciones deben servir al interés general y por tanto, es deber del Estado promover su acceso eficiente y en igualdad de oportunidades a todos los habitantes del territorio nacional;

Que el artículo 4º de la Ley 1341 de 2009, establece que el Estado intervendrá en el sector de las tecnologías de la información y las comunicaciones para lograr los siguientes fines, entre otros, promover condiciones de seguridad del servicio al usuario final, incentivar acciones preventivas y de seguridad informática y de redes para el desarrollo de dicho sector;

Que el Decreto-Ley 019 de 2012 “Por el cual se dictan normas para suprimir o reformar regulaciones, procedimientos y trámites innecesarios existentes en la administración pública” en su artículo 4° establece que las autoridades deben incentivar el uso de las tecnologías de la información y las comunicaciones a efectos de que los procesos administrativos se adelanten con diligencia, dentro de los términos legales y sin dilaciones injustificadas;

Que el Decreto 2482 de 2012 “Por el cual se establecen los lineamientos generales para la integración de la planeación y la gestión”, incorporado en el Decreto 1083 de 2015 por medio del cual se expide el Decreto Único Reglamentario del Sector de Función Pública, establece las políticas de desarrollo administrativo, indicando en el artículo 2.1.22.3 que: “Para el desarrollo de las políticas se deberá tener en cuenta la estrategia de gobierno en línea que formula el Ministerio de Tecnología de Información y Comunicaciones”;

Que el artículo 2.1.22.6 del Decreto 1083 de 2015 establece que: “En la Rama Ejecutiva del orden nacional, a nivel institucional, el Comité Institucional de Desarrollo Administrativo es la instancia orientadora del modelo integrado de planeación y gestión en donde se discutirán todos los temas referentes a las políticas de desarrollo administrativo y demás componentes del modelo”;

Que el Gobierno Nacional expidió el Decreto 2573 de 2014 “Por el cual se establecen los lineamientos generales de la Estrategia de Gobierno en Línea, se reglamenta parcialmente la Ley 1341 de 2009 y se dictan otras disposiciones”, el cual fue compilado en el Decreto 1078 de 2015 “Por medio del cual se expide el Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones”, disponiendo en el artículo 2.2.9.1.1.2 que: “Serán sujetos obligados de las disposiciones contenidas en el presente capítulo las entidades que conforman la administración pública en los términos del artículo 39 de la Ley 489 de 1998 y los particulares que cumplen funciones administrativas”;

Que el artículo 2.2.9.1.2.1 del Decreto 1078 de 2015, señala que los fundamentos de la estrategia serán desarrollados a través de 4 componentes que facilitarán la masificación de la oferta y la demanda del gobierno en línea, dentro de los cuales se relaciona el componente de seguridad y privacidad de la información, el cual: “Comprende las acciones transversales a los demás componentes enunciados, tendientes a proteger la información y los sistemas de información, del acceso, uso, divulgación, interrupción o destrucción no autorizada”;

Que el Ministerio de Tecnologías de la Información y de las Comunicaciones (Min TIC) a través de la Dirección de Estándares y Arquitectura de TI y la Subdirección de Seguridad y Privacidad de TI, publicó el modelo de seguridad y privacidad de la información, para dar cumplimiento a lo establecido en el componente de seguridad y privacidad de la información de la estrategia de gobierno en línea, el cual conduce a la preservación de la confidencialidad, integridad, disponibilidad de la información, permitiendo garantizar la privacidad de los datos, mediante la aplicación de un proceso de gestión del riesgo, brindando confianza a las partes interesadas acerca de la adecuada gestión de riesgos y se encuentra alineado con el marco de referencia de arquitectura TI y soporta transversalmente los otros componentes de la Estrategia GEL: TIC para Servicios, TIC para Gobierno Abierto y TIC para Gestión.

El modelo de seguridad y privacidad de la información y sus diferentes guías, pretende facilitar la comprensión del proceso de construcción de una política de privacidad por parte de la entidad, que permita fijar los criterios que seguirán para proteger la privacidad de la información y los datos, así como de los procesos y las personas vinculadas con dicha información;

Que el artículo 2.2.9.1.2.3 del Decreto 1078 de 2015, establece que: “El representante legal de cada sujeto obligado, será el responsable de coordinar, hacer seguimiento y verificación de la implementación y desarrollo de la estrategia de gobierno en línea”;

Que el artículo 2.2.9.1.2.4 del Decreto 1078 de 2015, establece que: “En las entidades del orden nacional, el Comité Institucional de Desarrollo Administrativo de que trata el artículo 6° del Decreto 2482 de 2012, o las normas que lo modifiquen o sustituyan, será la instancia orientadora de la implementación de la estrategia de gobierno en línea al interior de cada entidad. Los sujetos obligados deberán incluir la estrategia de gobierno en línea de forma transversal dentro de sus planes estratégicos sectoriales e institucionales, y anualmente dentro de los planes de acción de acuerdo con el modelo integrado de planeación y gestión de que trata el Decreto 2482 de 2012 o las normas que lo modifiquen o sustituyan. En estos documentos se deben definir las actividades, responsables, metas y recursos presupuestales que les permitan dar cumplimiento a los lineamientos que se establecen”;

Que por lo anterior, se hace necesario adoptar el Sistema de Gestión de Seguridad de la Información (SGSI), la Política y los objetivos de Seguridad de la Información en el Ministerio de Vivienda, Ciudad y Territorio, en el marco de la estrategia del gobierno en línea y el modelo de seguridad y privacidad de la Información formulados por el Ministerio de Tecnología de Información y Comunicaciones;

Que mediante Decreto 1499 del 11 de septiembre de 2017, se modifica el Decreto 1083 de 2015, en lo relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley 1753 de 2015, señalando en el artículo 2.2.22.1.5 que el sistema de gestión se complementará y articulará, entre otros, con el sistema nacional de servicio al ciudadano, de gestión de la seguridad y salud en el trabajo, de Gestión Ambiental y de Seguridad de la Información;

Que en la sesión del 25 de octubre de 2017 del Comité Institucional de Desarrollo Administrativo del Ministerio de Vivienda, Ciudad y Territorio se puso en consideración la Política y los objetivos de Seguridad de la Información para el Ministerio de Vivienda, Ciudad y Territorio;

Que en mérito de lo expuesto,

RESUELVE:

ART. 1º—Objeto. Adoptar el sistema de gestión de seguridad de la información, SGSI, para el Ministerio de Vivienda, Ciudad y Territorio, la política de seguridad de la información y los objetivos correspondientes. Esto permitirá a la entidad identificar y minimizar los riesgos a los cuales se expone la información, ayudar al uso eficiente de los recursos, establecer una cultura de seguridad de la información y garantizar el cumplimiento de los requerimientos legales, contractuales, regulatorios vigentes, en el marco de la estrategia del gobierno en línea y el modelo de seguridad y privacidad de la Información formulados por el Ministerio de Tecnología de Información y Comunicaciones.

Este sistema se complementará y articulará con el sistema integrado de gestión, SIG, de la entidad considerando para la actualización de la documentación correspondiente, los lineamientos establecidos en el proceso de administración del SIG.

ART. 2º—Política y objetivos del sistema de gestión de seguridad de la información. Es la política de Alta Dirección del Ministerio de Vivienda, Ciudad y Territorio apoyar la implementación del sistema de gestión de seguridad de la información, basado en la estrategia del gobierno en línea y el modelo de seguridad y privacidad de la información formulados por el Ministerio de Tecnología de Información y Comunicaciones, mediante el establecimiento de criterios, lineamientos, directrices, asignación de responsabilidades generales y específicas que permitan cumplir los requisitos establecidos para la Seguridad de la Información, frente a amenazas internas o externas, deliberadas o accidentales, que garanticen y preserven la confidencialidad, integridad y disponibilidad de la información, de todos los funcionarios, contratistas y grupos de interés de la entidad.

Para dar cumplimiento a esta Política se establecen los siguientes objetivos:

• Garantizar y preservar la confidencialidad, integridad y disponibilidad de la información.

• Gestionar los riesgos de la seguridad de la información.

• Gestionar y proteger el acceso, uso y manejo de los activos de información.

• Garantizar la continuidad de la operación frente a incidentes que afecten la seguridad de la información.

• Proteger la imagen, los intereses y el buen nombre del MVCT mediante mecanismos de defensa de seguridad de la información.

• Establecer y mantener los canales de comunicación para informar a los directivos del MVCT de los riesgos y mal uso sobre los activos de información y acciones tomadas para su mitigación y corrección.

• Fortalecer la cultura de seguridad de la información en los funcionarios, contratistas y grupos de interés del MVCT.

PAR. 1º—Ordenar al jefe de la oficina de tecnología de la información y las comunicaciones, realizar las gestiones necesarias para socializar el contenido de la política de seguridad de la información, entre los servidores públicos que laboren en la entidad, así como al resto de personas naturales y jurídicas y grupos de interés que utilizan los servicios o acceden a la información de la entidad.

PAR. 2º—La política de seguridad de la información, será revisada por lo menos una vez al año, o cuando se produzcan cambios significativos en la normatividad relacionada, los procesos, en la infraestructura física y/o tecnológica, el software, las aplicaciones y todo aspecto que influya o pueda influir de manera considerable en la misión institucional; proceso que será gestionado por el líder del sistema de seguridad de la información y contará con la aprobación del Comité Institucional de Desarrollo Administrativo de la Entidad o quien haga sus veces.

ART. 3º—Alcance y nivel de cumplimiento. La política tiene alcance a todos los niveles de jerarquía del Ministerio de Vivienda, Ciudad y Territorio, funcionarios, contratistas y grupos de interés, que accedan o hagan uso de cualquier activo de información, independientemente de su ubicación, medio o formato.

El nivel de cumplimiento de la política es para todas las personas cubiertas por el alcance y aplicabilidad quienes deberán dar cumplimiento un 100% de la política de Seguridad de la información del MVCT.

ART. 4º—Estructura organizacional del SGSI. Con el objeto de garantizar la adecuada gestión de la seguridad de la información en el Ministerio de Vivienda, Ciudad y Territorio, se identifican siguientes roles necesarios que interactuarán de manera articulada para la implementación, seguimiento y mejora del SGSI, basado en el modelo de modelo(sic) de seguridad y privacidad de la información.

• Instancia orientadora del SGSI.

• Líder para la implementación, seguimiento y mejora del SGSI.

• Oficial de seguridad de la información.

• Servidores públicos del MVCT.

• Grupos de interés del MVCT.

La descripción de los actores y responsabilidades para el cumplimiento de los roles identificados se definirán en la documentación del sistema de integrado de gestión del ministerio.

ART. 5º—La presente resolución rige a partir de la fecha de su expedición y será publicada en el Diario Oficial y en la página web de la entidad.

Publíquese, comuníquese y cúmplase.

Dada en Bogotá, D.C., a 28 de diciembre de 2017.