FURAG (Reporte de la vigencia 2024)
Medición del desempeño institucional
SEGURIDAD DIGITAL
¿La entidad tiene designado un responsable de la Seguridad Digital -(Ciberseguridad)?
- Sí, y pertenece a la planta de personal
- Sí, es un contratista
- No tiene a nadie designado
Descriptor de la respuesta:
El Ministerio contó con un Contratista responsable de seguridad de la información, cuyo objeto es “EL CONTRATISTA se obliga a prestar a la ENTIDAD, con plena autonomía, técnica y administrativa, los servicios profesionales para apoyar, hacer seguimiento y contribuir con el desarrollo e implementación del sistema de gestión de seguridad de la información (SGSI) en la entidad, de conformidad con el modelo de seguridad y privacidad de la información (MSPI) de MINTIC, la norma ISO 27001 y lo estipulado en la Política de Gobierno Digital.”
Evidencia:
Se adjunta contrato 2024 del contratista encargado de la seguridad de la información que pertenece a la oficina de tecnología y sistemas de información.
Consultar los documentos previos de contratación del oficial de seguridad en el año 2023, en el siguiente enlace
Evidencias SDI200
“Indique el porcentaje del presupuesto total asignado a la Seguridad Digital (Ciberseguridad), para la protección de los datos digitales en la entidad (Costos de personal, herramientas, IPS/IDS, firewall, Antivirus, EDR, servidores, sistemas, licencias etc.):”
Descriptor de la respuesta:
El Ministerio asignó un total de recursos por un valor de $954.243.231, asignando a Seguridad de la información un total de 9,500,000,000 por tal razón el porcentaje de recursos asignados es de 10,04%.
¿La entidad garantiza la continuidad del soporte, actualización y mantenimiento de las herramientas, plataformas, licencias, servicios y sistemas de información que hacen parte de la infraestructura tecnológica de la entidad?
- El total de la infraestructura tecnológica de la entidad se encuentra cubierta con el soporte, actualización y mantenimiento requerido para su operación
- La infraestructura tecnológica se encuentra parcialmente cubierta; sin embargo, ya se tiene incluido en el plan de actualización del área de TI para el cubrimiento total de la infraestructura
- “La infraestructura tecnológica se encuentra parcialmente cubierta por el soporte, actualización y mantenimiento requerido, y aún no se tiene contemplada dicha actualización”
- La infraestructura tecnológica de la entidad no cuenta con soporte, actualización y mantenimiento requerido para su operación.
Descriptor de la respuesta:
El Ministerio durante la vigencia 2024 a través de lla Oficina de Tecnologías y Sistemas de Información – OTSI realizó el soporte, actualización y mantenimiento requerido para la operación del Ministerio en el Plan de Mantenimiento de ServiciosTecnológicos se definió un cronograma para la realización de los mantenimientos, según las necesidades. Se realizóseguimiento trimestral y se publicó en la página web.
Evidencia:
Plan de Mantenimiento de servicios tecnológicos, donde se establecen las actividades para realizar el mantenimiento, actualización y debido soporte sobre la infraestructura tecnológica, sistemas de información y aplicaciones, con el fin de garantizar la disponibilidad y operación de los mismos. Se adjunta el seguimiento correspondiente a la vigencia 2024.
Evidencia SDI202
¿La entidad contó con una política o lineamientos definidos y documentados para la generación y restauración de copias de respaldo de la información?
- Sí, y cuenta con las evidencias:
- No
Descriptor de la respuesta:
El Ministerio cuenta con una política de copias de respaldo en la cual se detallan los lineamientos definidos para copias de seguridad y backup, adicionalmente el Ministerio dispone de la guía D103M01G02 Guía copias de respaldo de información en la cual se detallan las actividades a realizar en el Ministerio con el fin de garantizar la protección de la información. Esta política abarca tanto la información misional, así como la de apoyo e institucional, Se contempla también la copia de seguridad de la información que reposa en los equipos de los usuarios, así como los servidores físicos y virtuales. Su objetivo es garantizar la recuperación de la información en caso de desastres, pérdidas o daños. Esta política está incluida en el Manual de Políticas de Seguridad de la Información, documento D103M01.
Evidencia:
En el Manual de políticas de seguridad de la información D103M01, se contempla en el numeral 6.8.3 copias de respaldo; con el fin de contar con el respaldo de información institucional almacenada en los activos de información del Ministerio
Evidencias SDI204
Respecto a las copias de respaldo de la información, del software e imágenes de los sistemas, la entidad:
- Tiene documentados e implementados procedimientos para copias de respaldo y de restauración
- Los equipos que realizan las copias de respaldo se encuentran en entorno lógico separados e independiente a la red de servidores y computadores
- Las copias de respaldo son almacenadas en un lugar aislado, en un segmento diferente de red a la de servidores y equipos
- “Se realizan pruebas de respaldo a las copias de seguridad de la información de los aplicativos misionales, estratégicos, soporte y de mejora, de manera programada para asegurar la disponibilidad de los datos en caso de Ransomware, de manera coordinada con los responsables del proceso“
- Ninguna de las anteriores
Descriptor de la respuesta:
El Ministerio cuenta con un sistema de respaldo híbrido el cual garantiza la separación de entornos. Existe un servidor exclusivo para generar la tarea de respaldo y esta información es almacenada inicialmente en un appliance. Las actividades relacionadas con respaldos y restauración de backups se gestionan internamente sin la intervención de proveedores externos.
Para asegurar la continuidad de la seguridad de la información la entidad:
- Se cuenta con un Plan de Recuperación de Desastres DRP, definido, documentado e implementado para todos los procesos
- Se cuenta con un Plan de Continuidad del Negocio BCP, definido, documentado e implementado para los procesos críticos y misionales
- “Ninguna de las anteriores”
Descriptor de la respuesta:
Se cuenta con plan un de continuidad del negocio, el cual se ejecuta exitosamente en los sistemas críticos y misionales del Ministerio.
Evidencia:
Se adjunta plan de continuidad del negocio y adicionalmente los formatos de realización de pruebas debidamente diligenciados.
Evidencias SDI206
¿La entidad realizó pruebas de recuperación de información y continuidad de los sistemas de información críticos en la vigencia evaluada?
- Si, realizó pruebas de recuperación de la información a todos los sistemas críticos y misionales
- “Si, pero de manera parcial. Realizó pruebas de recuperación a algunos de los sistemas críticos y misionales”
- No, realizó pruebas de recuperación de información y continuidad de los sistemas de información críticos y misionales
Descriptor de la respuesta:
El Ministerio cuenta con una programación de pruebas de información y continuidad del negocio que se ejecuta durante toda la vigencia, estas pruebas incluyen tanto los sistemas misionales como los sistemas críticos.
Evidencia:
Se adjunta plan de pruebas, donde se evalúa la capacidad de recuperación de los sistemas críticos ante fallos y su capacidad de mantener la continuidad del negocio.
Evidencias SDI207
¿La entidad identificó y gestionó los riesgos de seguridad digital (Ciberseguridad) de sus infraestructuras on premise? Infraestructuras on premise: hace referencia a la instalación de un sistema en una ubicación física
Infraestructuras on premise: hace referencia a la instalación de un sistema en una ubicación física, es decir, un
- Identificó los riesgos, pero no se han gestionado
- “Identificó y gestionó los riesgos”
- No ha identificado los riesgos de sus infraestructuras on premise
Descriptor de la respuesta:
Se identificaron los riesgos de seguridad digital en las infraestructuras on premise y se planea la estructuración de un plan para gestionar dichos riesgos y sus correspondientes impactos
Evidencia:
Se adjunta enlace donde se encuentra publicado el documento oficial así como la matriz de riesgos identificados
¿La entidad identificó y gestionó los riesgos de seguridad digital (Ciberseguridad) en los servicios de Nube Pública/Privada que utiliza? Los servicios de nube: son infraestructuras, plataformas o sistemas de software que alojan los proveedores externos
- Identificó y gestionó los riesgos
- Identificó los riesgos, pero no los ha gestionado
- No ha identificado los riesgos de los servicios de Nube Pública/Privada
- No ha utilizado servicios de Nube Pública/Privada
Descriptor de la respuesta:
Se identificaron y gestionaron los riesgos de seguridad digital en las infraestructuras on premise tal y como se puede evidenciar en el plan que se adjunta.
Evidencia:
Se adjunta toda la evidencia que soporta la identificación y gestión de los riesgos durante la vigencia 2024
Evidencias SDI209
¿La entidad contó con equipos de seguridad perimetral para su infraestructura on premise? Infraestructuras on premise: hace referencia a la instalación de un sistema en una ubicación física
- Si, con un firewall licenciado y con soporte
- Si, con un firewall, pero sin licenciamiento ni soporte
- “No se contó con firewall”
Descriptor de la respuesta:
El Ministerio realizó la renovación del licenciamiento, soporte, garantía y mantenimiento sobre la solución de seguridad perimetral.
Evidencia:
El Ministerio cuenta con Firewall licenciado
Consultar el acta de inicio del contrato 1128 de 2024, en el siguiente enlace
Evidencia SDI210 SDI210_MINUTA_CONTRATO_SASI_006-2024_1128-2024
¿La entidad contó con soluciones antivirus para sus servidores físicos, servidores virtuales y los computadores?
- Si, se contó con antivirus licenciado y con soporte para todos los servidores físicos, virtuales y computadores
- Parcialmente. Se contó con antivirus licenciado y con soporte, pero solo para algunos de los servidores físicos, virtuales y computadores
- Se contó con antivirus para los servidores físicos, virtuales y computadores, pero no se contó con licenciamiento ni soporte
- No se contó con antivirus
Descriptor de la respuesta:
El Ministerio cuenta con antivirus licenciado tanto para los servidores físicos como virtuales y equipos de usuario
Evidencia:
Se adjunta contrato y acta de inicio donde se puede evidenciar la renovación de contrato y licenicas de las herramientas de solución de antivirus
Evidencias SDI211
¿La entidad realizó análisis de vulnerabilidades de seguridad a los activos de información a su infraestructura On Premise en la vigencia evaluada?
- Si, lo realizó. Registre la fecha de entrega del informe del análisis:
- No
Descriptor de la respuesta:
Los documentos que tengan carácter confidencial, no pueden ser adjuntados no obstante están disponibles en la oficina de tecnologías y sistemas de información
¿La entidad realizó análisis de vulnerabilidades de seguridad a los activos de información de su infraestructura en Nube Pública/Privada en la vigencia anterior?
- Si, Registre la fecha de entrega del informe del análisis:
- No
Descriptor de la respuesta:
Los documentos que tengan carácter confidencial, no pueden ser adjuntados no obstante están disponibles en la oficina de tecnologías y sistemas de información
¿La entidad realizó análisis de vulnerabilidades para Portal Web, Sede electrónica y Servicios expuestos en Internet en la vigencia anterior?
- Sí, y cuenta con las evidencias:
- No
Descriptor de la respuesta:
Los documentos que tengan carácter confidencial, no pueden ser adjuntados no obstante están disponibles en la oficina de tecnologías y sistemas de información
¿La entidad se cercioró que los proveedores y contratistas cumplieran con las políticas o lineamientos internos de seguridad digital (Ciberseguridad)?
- Sí, y cuenta con las evidencias
- No se verificó el cumplimiento
- La entidad no tiene lineamientos internos de ciberseguridad
Descriptor de la respuesta:
El Ministerio generó acuerdos de confidencialidad de seguridad de la información con los proveedores, se establecieron cláusulas en los contratos sobre el cumplimiento a las políticas de seguridad de la información en los contratos de prestación de servicios; se realizaron campañas de concientización sobre seguridad de la información y seguridad digital.
¿La entidad implementó un sistema para el cumplimiento de la ley 1581 de 2012 -Ley de Protección de Datos Personales?
- Sí, y cuenta con las evidencias:
- No se ha implementado
Descriptor de la respuesta:
Se da cumplimiento a la Ley 1581 de 2012 a través del cumplimiento a la resolución 0693 de 2022 y del Manual de Políticas de Seguridad y Privadicad de la información
Evidencia:
Se adjunta resolución 0693 de 2022 y Manual de Políticas de Seguridad y Privacidad de la Información
¿La entidad estableció e implementó un procedimiento para la gestión de incidentes de seguridad digital (Ciberseguridad)?
- “Ha sido establecido, documentado e implementado e incluye la notificación a las autoridades pertinentes (CSIRT Gobierno /COLCERT)“
- Ha sido establecido, documentado e implementado
- No lo ha establecido
Descriptor de la respuesta:
La entidad cuenta con el procedimiento de gestión de gestión de incidentes de seguridad de la información en el cual figura como actividad la notificación de los incidentes a las autoridades pertinentes
Evidencia:
Consultar el documento del Procedimiento de incidentes de seguridad, en el siguiente enlace:
Evidencias SDI220
Respecto de los incidentes de seguridad digital (Ciberseguridad) durante la vigencia evaluada
- Cuántos de esos incidentes fueron clasificados como Muy Graves y Grave
- Cuántos de esos incidentes fueron clasificados como Menos Grave y Menor
- No se presentó ningún incidente de seguridad digital durante la vigencia evaluada
Descriptor de la respuesta:
Para la vigencia 2024 se presentaron cuatro (4) incidentes de seguridad de la información catalogados como menos grave y menor, debido a que fueron por indisponibilidad a los recursos tecnológicos y no son de la competencia de Csirt Gobierno, los cuales fueron gestionados de acuerdo con el procedimiento de incidentes de seguridad D103PR03.
Evidencia:
Se adjuntan informes de los incidentes presentados durante la vigencia 2024
Evidencias SDI222
¿La entidad reportó los incidentes de seguridad digital (Ciberseguridad) acorde con lo establecido en la resolución 500 de 2022 del Ministerio de Tecnologías de la Información- MINTIC -COLCERT?
- Reportó los incidentes de seguridad digital clasificados como “muy graves y graves”
- Comunicó los incidentes de seguridad digital clasificados como “menos graves y menor”
- La entidad no reportó los incidentes
Descriptor de la respuesta:
Dado que los incidentes presentados en el Ministerio durante la vigencia 2024 estuvieron relacionados con indisponibilidad de los recursos tecnológicos y estos fueron gestionados de acuerdo a los lineamientos del Ministerio, los incidentes no fueron reportados a Colcert
Evidencia:
Se adjuntan informes de los incidentes presentados durante la vigencia 2024
Evidencias GDI223
¿La entidad tiene licenciados los sistemas operativos de todos los equipos de escritorio, portátiles y servidores?
- Sí, y cuenta con las evidencias
- No, los sistemas operativos no tienen licencia
Descriptor de la respuesta:
El Ministerio para vigencia 2024, contó con el licenciamiento de los sistemas operativos y toda su infraestructura tecnológica.
Evidencia:
Consultar el documento con el listado de las licencias, en el siguiente enlace
Evidencias GDI224
¿La entidad realizó durante la vigencia evaluada gestión de vulnerabilidades, actualización de equipos y parches de seguridad a equipos de escritorio, portátiles, servidores switch, Firewall, AccesPoint, hypervisores etc.?
- Sí, y cuenta con las evidencias
- No, los sistemas operativos no tienen licencia
Descriptor de la respuesta:
El Ministerio realizó el análisis de vulnerabilidades de seguridad a los activos información (hardware, aplicaciones ) durante la vigencia 2024, a través de una herramienta tecnológica (Tenable) y lo realiza el equipo interno de Seguridad de la información e infraestructura tecnológica de la oficina de Tecnologías y Sistemas de Información del Ministerio.
Evidencia:
Se adjunta como evidencia el plan de remediaciones debidamente gestionado
¿La entidad tiene implementado métodos de autenticación del correo electrónico como DMARC, DKIM y SPF, para seguridad del correo electrónico y garantizar la autenticidad de los remitentes?
- Sí, y cuenta con las evidencias
- No, la entidad no tiene implementados métodos de autenticación del correo electrónico
Descriptor de la respuesta:
El Ministerio tiene implementado métodos de autenticación del correo electrónico DMARC, DKIM y SPF, para seguridad delcorreo electrónico y garantizar la autenticidad de los remitentes.
Evidencia:
Se adjunta archivo con imágenes de las configuraciones DMARC, DKIM, SPF, para la autenticación de los correos electrónicos
Evidencias SDI226