Unidad Administrativa Especial para la Consolidación Territorial

RESOLUCIÓN 597 DE 2015 

(Diciembre 9)

“Por la cual se adopta la Política General de Seguridad de la Información y se definen lineamientos frente al uso y manejo de la información de la Unidad Administrativa Especial para la Consolidación Territorial”.

El Director General de la Unidad Administrativa Especial para la Consolidación Territorial,

en ejercicio de sus atribuciones legales y en especial las conferidas por el numeral 22 del artículo 8º del Decreto 4161 de 2011, y

CONSIDERANDO:

Que mediante Decreto 4161 de 2011 se creó la Unidad Administrativa Especial para la Consolidación Territorial cuyo objetivo conforme al artículo 2º consiste en “Implementar, ejecutar y hacer seguimiento a la ejecución de la Política Nacional de Consolidación Territorial y canalizar, articular y coordinar la intervención institucional diferenciada en las regiones de consolidación focalizadas y en las zonas afectadas por los cultivos ilícitos”;

Que el artículo 209 de la Constitución Política establece los principios en que se desarrolla la función administrativa, a la vez que determina que la administración pública, en todos sus órdenes, tendrá un control interno que se ejercerá en los términos que señale la ley; y, que de conformidad con el artículo 78 de la Carta Política es deber de las entidades del Estado ejercer control de calidad de los bienes y servicios ofrecidos y prestados a la comunidad;

Que el artículo 15 de la Ley 489 de 1998 define el Sistema de Desarrollo Administrativo como “un conjunto de políticas, estrategias, metodologías, técnicas y mecanismos de carácter administrativo y organizacional para la gestión y manejo de los recursos humanos, técnicos, materiales, físicos, y financieros de las entidades de la Administración Pública, orientado a fortalecer la capacidad administrativa y el desempeño institucional, de conformidad con la reglamentación que para tal efecto expida el Gobierno Nacional”;

Que el Decreto 2482 de 2012 estableció los lineamientos generales para la integración de la planeación y la gestión, adoptando las Políticas de Desarrollo Administrativo; entre las que se encuentra la Eficiencia Administrativa contemplada por el artículo 3º, literal d), orientada a identificar, racionalizar, simplificar y automatizar trámites, procesos, procedimientos y servicios, así como optimizar el uso de recursos, la cual incluye entre otros temas, la gestión de tecnologías de información. El mencionado artículo dispuso, además, que para el desarrollo de las políticas de desarrollo administrativo se deberá tener en cuenta la estrategia de gobierno en línea que formula el Ministerio de Tecnologías de Información y Comunicaciones;

Que mediante Ley 1341 de 2009 se definieron los principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones (TIC);

Que el Decreto 2573 de 2014 reglamentario de la Ley 1341 de 2009 definió los lineamientos e instrumentos de la estrategia de gobierno en línea para garantizar el máximo aprovechamiento de las Tecnologías de la Información y las Comunicaciones, con el fin de contribuir con la construcción de un estado abierto, más eficiente, más transparente y más participativo y que preste mejores servicios con la colaboración de toda la sociedad;

Que el artículo 5º del Decreto 2573 citado en precedencia contempló la seguridad y privacidad de la información, como uno de los componentes para el desarrollo de la estrategia del gobierno en línea; el cual comprende las acciones tendientes a proteger la información y los sistemas de información, del acceso, uso, divulgación, interrupción o destrucción no autorizada;

Que por su parte, la Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales, en su artículo 4º, literales g) y h), establece la seguridad y la confidencialidad como algunos de los principios rectores para el tratamiento de los datos personales;

Que corresponde a la oficina asesora de planeación y gestión de la información coordinar y apoyar a los líderes y responsables, en la definición de estrategias y acciones de cada uno de los componentes de las políticas de desarrollo administrativo, consolidar y elaborar el plan estratégico institucional y el plan de acción anual; de conformidad con el artículo 6º de la Resolución número 00338 de 2013;

Que según el artículo 10 numerales 5º al 12 del Decreto 4161 de 2011, a la oficina asesora de planeación y gestión de la información, entre otras funciones le corresponde: vigilar que en los procesos tecnológicos de la Unidad se tengan en cuenta los estándares y lineamientos dictados por las entidades competentes, y en especial, por el Ministerio de las Tecnologías de la Información y las Comunicaciones que permitan la aplicación de las políticas que en materia de información expidan el Departamento Nacional de Planeación y el Departamento Nacional de Estadística (DANE); proponer al director general planes, estrategias y proyectos que en materia de tecnologías de la información se deban adoptar; analizar los sistemas e instrumentos de gestión de la información de la unidad y proponer mejoras al director general; diseñar y desarrollar el sistema integral de información de la unidad; diseñar, implementar y evaluar el proceso de gestión de información y conocimiento a través de la elaboración de documentos de análisis técnico basado en información cuantitativa y cualitativa;

Que por las resoluciones 160 de 2014 y 258 de 2015, se crea y asignan funciones al grupo interno de trabajo de Tecnologías de la Información y las Comunicaciones, perteneciente a la oficina asesora de planeación y gestión de la información;

Que la Unidad Administrativa Especial para la Consolidación Territorial (UACT), a través de la oficina asesora de planeación y gestión de la información y su grupo interno de trabajo, viene diseñando la infraestructura tecnológica y definiendo los mecanismos de seguridad idóneos para fijar la política de seguridad de la información, en el cumplimiento de la normatividad que regula la materia; entre las que se encuentran además de las normas ya mencionadas, el artículo 159 de la Ley 1753 de 2015 que modificó el artículo 227 de la Ley 1450 de 2011 y la Ley 1755 de 2015, por medio de la cual se reguló el Derecho Fundamental de Petición;

Que tanto los servidores públicos y contratistas de la entidad como la ciudadanía y partes interesadas en la información de la Unidad Administrativa Especial para la Consolidación Territorial, están en la obligación de acatar la Política de Seguridad de la Información y cumplir con el deber de guardar la seguridad y reserva de las informaciones y documentos en los casos expresamente establecidos por la Constitución Política y la Ley;

Que de acuerdo con lo informado por la oficina asesora de planeación y gestión de la información, la Unidad Administrativa Especial para la Consolidación Territorial (UACT) cuenta con una infraestructura tecnológica propia y novedosa, donde se ha diseñado e implementado un sistema tecnológico que incluye un Datacenter, servidores tipo Blade completamente virtualizados bajo una plataforma Microsoft y una topología de red propia, LAN para su sede en Bogotá y WAN para las 11 regionales presentes en el territorio nacional. Esta infraestructura cuenta con una serie de controles de seguridad que tienen como objeto proteger a la entidad de amenazas que puedan hacerse efectivas sobre cada uno de los activos que posee;

Que mediante Resolución 427 de 2014 se adoptó el Sistema Integrado de Gestión - SIG de la entidad, conformado por los sistemas de calidad, de control interno y de desarrollo administrativo; se asignaron funciones al Comité institucional de desarrollo administrativo y se modificó la Resolución 338 de 2013;

Que para preservar la confidencialidad, integridad y disponibilidad de la información de la Unidad Administrativa Especial para la Consolidación Territorial, las acciones asociadas a la Política General de Seguridad de la Información que se adopta por el presente acto administrativo se incorporarán al Sistema Integrado de Gestión de la entidad, haciéndose necesario desarrollar un Sistema de Gestión de Seguridad de la Información para alcanzar los objetivos de seguridad propuestos, basándose en un enfoque de gestión y de mejora continua;

En mérito de lo expuesto,

RESUELVE:

ART. 1º—Adoptar la Política General de Seguridad de la Información por medio de la cual se definen lineamientos frente al uso y manejo de la información de la Unidad Administrativa Especial para la Consolidación Territorial (UACT).

PAR.—La Política General de Seguridad de la Información adoptada por la presente resolución hará parte del Sistema Integrado de Gestión (SIG) de la Unidad Administrativa Especial para la Consolidación Territorial, como herramienta de gestión dentro del funcionamiento armónico de los sistemas que lo componen; por lo cual se articulará y alineará con los compromisos, actividades y lineamientos del SIG-UACT, generando acciones relacionadas con el mantenimiento de la Política General de Seguridad de la Información y el mejoramiento permanente de la gestión por procesos.

ART. 2º—Alcance. La Política General de Seguridad de la Información se dicta en cumplimiento de las disposiciones legales vigentes y será aplicable a todos los procesos de la Unidad Administrativa Especial para la Consolidación Territorial (UACT), a los servidores públicos, contratistas, ciudadanía y partes interesadas; se desarrollará con el objeto de gestionar adecuadamente la seguridad de la información, los sistemas informáticos y la infraestructura tecnológica de la unidad atendiendo los principios de igualdad, moralidad, eficacia, eficiencia, economía, celeridad, imparcialidad y publicidad que rigen la función administrativa.

ART. 3º—Generalidades. Como condición que garantice la apropiación en el establecimiento, desarrollo, implementación, mantenimiento, revisión y sostenibilidad de la Política General de Seguridad de la Información, el uso de las Tecnologías de la Información y las Comunicaciones será el apoyo de la entidad en relación con la ciudadanía, promoviendo un proceso continuo que permita aumentar el uso de los servicios y mejorar la calidad y el acceso a los mismos. En tal sentido, la Unidad Administrativa Especial para la Consolidación Territorial (UACT) considera la información como de vital importancia para el cumplimiento de su misión; siendo un recurso que como el resto de los activos tiene valor para la entidad y por consiguiente debe ser debidamente protegida.

La Política de Seguridad de la Información busca proteger a la Unidad Administrativa Especial para la Consolidación Territorial de una amplia gama de amenazas, a fin de garantizar su integridad, disponibilidad y continuidad, y por ende, el cumplimiento de los objetivos de seguridad de la información propuestos.

ART. 4º—Declaración de la Política. En la Unidad Administrativa Especial para la Consolidación Territorial (UACT), se reconoce expresamente la importancia de la información y la infraestructura tecnológica, así como la necesidad de su protección por constituirse en activos estratégicos y vitales para el cumplimiento de la misión ante la sociedad colombiana; en tal sentido, la Unidad está enteramente comprometida con el establecimiento, implementación, operación, monitoreo, mantenimiento y mejoramiento de un sistema de seguridad de la información, que permita preservar la confidencialidad, integridad y disponibilidad de la información, mediante la concientización del recurso humano, la gestión oportuna y efectiva de los riesgos, y el mejoramiento de los procesos, enmarcados en el cumplimiento de la normatividad aplicable a la entidad.

ART. 5º—Objetivo de la Política de Seguridad de la Información. El objetivo principal de la Política de Seguridad de la Información de la Unidad Administrativa para la Consolidación Territorial es garantizar la protección de los activos de información de la entidad y la tecnología utilizada frente a amenazas internas o externas, deliberadas o accidentales, y asegurar la confidencialidad, integridad y disponibilidad de la información, y el cumplimento de la normatividad legal vigente y los requisitos que voluntariamente adopte la entidad frente a la seguridad de la información.

ART. 6º—Modelo del Sistema de Gestión de Seguridad de la Información. La Oficina Asesora de Planeación y Gestión de la Información está comprometida con la protección de la información y por ello busca la planeación, implementación, revisión y mejora continua de un modelo de Sistema de Gestión de Seguridad de la Información (SGSI) para el desarrollo de los procesos institucionales y el fortalecimiento en la ejecución de los compromisos misionales de la entidad. Asimismo, en la Unidad Administrativa Especial para la Consolidación Territorial (UACT) y en cada una de sus gerencias, dependencias y coordinaciones, existe el compromiso con la cultura de seguridad de la información, por lo que el modelo del Sistema de Gestión de Seguridad de la Información que se adopte será utilizado, mantenido y mejorado por cada una de ellas y de sus integrantes directos o indirectos.

Como contexto del modelo a adoptar, se establecerán políticas específicas de la seguridad de la información consideradas de vital importancia para el establecimiento del modelo de Sistema de Gestión de Seguridad de la Información que se desarrollará en la Unidad Administrativa Especial para la Consolidación Territorial (UACT) como parte de su gestión y control; estas políticas estarán enfocadas principalmente a:

- Organización de la seguridad: En ella se encuentran las directrices organizacionales para administrar y gestionar la seguridad de la información dentro de la Unidad Administrativa Especial para la Consolidación Territorial.

- Gestión de activos: Destinada a mantener una adecuada protección y clasificación de los activos de la entidad.

- Seguridad del recurso humano: Establece los requisitos de seguridad que se deben tener en cuenta para reducir los riesgos a los que se puede ver expuesta la Unidad Administrativa Especial para la Consolidación Territorial en los procesos de selección y contratación.

- Seguridad física y del entorno: Define los requerimientos de seguridad que debe cumplir todo el personal de la Unidad Administrativa Especial para la Consolidación Territorial con el objeto de prevenir accesos físicos no autorizados, proteger las instalaciones físicas y los activos de información.

- Gestión de las comunicaciones y las operaciones: Tiene por objeto garantizar el funcionamiento correcto y seguro de los servicios de procesamiento de información de la entidad e implementar y mantener un grado adecuado de seguridad y buen manejo de los medios de información, el intercambio seguro de información y la seguridad de los servicios de comercio electrónico.

- Control de acceso: Orientado a controlar el acceso lógico y físico a la información que se considera relevante de la Unidad Administrativa Especial para la Consolidación Territorial (UACT).

- Adquisición, desarrollo y mantenimiento de los sistemas de información: Presenta los requerimientos de seguridad que la Unidad Administrativa Especial para la Consolidación Territorial determinará y deberán seguirse en el desarrollo, verificación y procesamiento de aplicaciones y sistemas de información desde su desarrollo, etapas de pruebas, puesta en producción y durante su mantenimiento.

- Gestión de incidentes de seguridad de la información: Contiene las acciones a seguir en caso de presentarse eventos de seguridad de la información que afecten la infraestructura y las labores de la Unidad Administrativa Especial para la Consolidación Territorial, que deben ser comunicados y gestionados permitiendo tomar acciones correctivas oportunas.

- Administración de la continuidad: Busca contrarrestar las interrupciones no programadas en las actividades de la entidad y proteger los procesos críticos de los efectos de fallas significativas o desastres naturales.

- Cumplimiento: Destinado a dar cumplimiento a la ley y normatividad vigente, obligaciones estatutarias, reglamentarias o contractuales, asegurando que los sistemas y la información cumplan con las normas y políticas de seguridad de la Unidad Administrativa Especial para la Consolidación Territorial (UACT) y del Estado.

ART. 7º—Responsabilidades de los directivos, jefes de oficina y coordinadores de grupos internos de trabajo. Son tareas y responsabilidades de los directivos, jefes de oficina y coordinadores de grupo para el cumplimiento de la Política General de Seguridad de la Información son las siguientes:

- Coordinar en la dependencia a su cargo, la ejecución de las acciones encaminadas al desarrollo, implementación, mantenimiento, revisión y perfeccionamiento de la Política General de la Seguridad de la Información.

- Definir las necesidades y comunicar al competente los requerimientos relacionados con recursos para el desarrollo, implementación, mantenimiento, revisión y perfeccionamiento de los procesos en relación con la Política General de Seguridad de la Información, que se encuentren bajo su responsabilidad.

- Propiciar un clima de compromiso y participación para el desarrollo, implementación, mantenimiento, revisión y perfeccionamiento de la Política General de Seguridad de la Información.

- Participar activamente en la revisión que se realice a la Política General de la Seguridad de la Información, facilitando oportunamente la información requerida y ejecutando las acciones resultantes de esta revisión.

- Implementar en cada una de sus dependencias las directrices que provengan de la alta dirección.

- Asistir a las reuniones programadas para la planeación, desarrollo, implementación, mantenimiento, revisión y perfeccionamiento de la Política General de Seguridad de la Información.

- Atender las auditorías que se programen dentro del desarrollo, mantenimiento y mejora de la Política General de Seguridad de la Información, de acuerdo a la programación definida para este fin.

ART. 8º—Administración del riesgo. La administración del riesgo de la entidad se realizará de forma integral, por lo que es responsabilidad de cada uno de los sistemas, programas y políticas que componen el Sistema Integrado de Gestión (SIG), recomendar al competente el conjunto de acciones respecto a la identificación, análisis y valoración, así como del tratamiento de los riesgos, seguimiento y evaluación en los instrumentos que para el procedimiento de administración del riesgo establezca la oficina asesora de planeación y gestión de la información. En consecuencia, la política adoptada por la presente resolución se articulará con el procedimiento de administración del riesgo y la documentación necesaria para gestionar los riesgos asociados a la Política de Seguridad de la Información. La oficina asesora de planeación y gestión de la información (OAPGI) se encargará de su armonización.

ART. 9º—Vigencia y derogatorias. La presente resolución rige a partir de la fecha de su expedición y deroga las disposiciones que le sean contrarias.

Publíquese, comuníquese y cúmplase.

Dada en Bogotá D.C., a 9 de diciembre de 2015.