Fortalecer las capacidades en seguridad digital de los ciudadanos, del sector público y del sector privado para aumentar la confianza digital en el país
En primer lugar, el Departamento Administrativo de la Presidencia de la República, a través del Coordinador Nacional de Seguridad Digital, en conjunto con el Ministerio de Tecnologías de la Información y las Comunicaciones, el Ministerio de Defensa Nacional, el Ministerio de Educación Nacional, la SIC y el Servicio Nacional de Aprendizaje (SENA), coordinará y diseñará una estrategia de formación en capacidades en materia de seguridad digital, en la cual se unifiquen las iniciativas de sensibilización y generación de habilidades en los ciudadanos en Colombia en materia de seguridad digital, con la intención de mitigar la duplicación de esfuerzos aislados y fortalecer las capacidades en seguridad digital de los ciudadanos. Esta estrategia definirá una hoja de ruta para su institucionalización, de forma que se logre su ejecución de manera permanente. Esta actividad iniciará en junio de 2021 y finalizará en diciembre de 2022.
En segundo lugar, el Ministerio de Tecnologías de la Información y las Comunicaciones, unificará en una hoja de ruta las iniciativas para fortalecer las competencias en seguridad digital con enfoque diferencial e inclusivo de género para mujeres o los ciudadanos que se identifiquen con este género, de manera que se incluyan las iniciativas definidas y en ejecución, e iniciativas adicionales que se requieran para promover la participación del género femenino en los diferentes sectores: público, privado y academia. Esta hoja de ruta identificará las iniciativas que pueden ser de ejecución permanente con el fin de desarrollar capacidades con enfoque diferencial, promoviendo en la ciudadanía la concientización, el desarrollo de competencias en seguridad digital. Esta hoja de ruta definirá una línea de acción para su institucionalización, de forma que se logre su ejecución de manera permanente. Esta actividad iniciará en julio de 2020 y finalizará en diciembre de 2022.
En tercer lugar, el Ministerio de Tecnologías de la Información y las Comunicaciones desarrollará e implementará una hoja de ruta correspondiente, para el desarrollo de iniciativas de promoción para la participación de las comunidades en condiciones especiales de vulnerabilidad, tales como los líderes sociales, en el fortalecimiento de capacidades en seguridad digital, bajo un enfoque diferencial e inclusivo. En esta hoja de ruta se deberá establecer la forma en la cual se institucionalizarán sus actividades para su desarrollo de manera permanente. Esta actividad iniciará en julio de 2020 y finalizará en diciembre de 2022.
En cuarto lugar, el Ministerio de Educación Nacional diseñará e implementará una estrategia para la creación de hábitos de uso seguro y responsable de las TIC que posibilite generar en la trayectoria educativa completa el desarrollo de competencias y la formación en seguridad y confianza digital. Esto, con el fin de aumentar la cultura en seguridad digital y ciberhigiene, que puedan incorporarse en los diferentes niveles de formación educativa. Esta actividad iniciará en julio de 2020 y finalizará en julio de 2022.
En quinto lugar, el SENA, con apoyo del Ministerio de Tecnologías de la Información y las Comunicaciones, diseñará programas de formación profesional con enfoque para el trabajo y desarrollo humano, los cuales atenderán las necesidades sectoriales que se identifiquen durante el desarrollo de esta acción, para fortalecer las competencias en áreas como la seguridad digital, seguridad de la información, ciberseguridad e infraestructuras críticas. El Ministerio de Tecnologías de la Información y las Comunicaciones aportará expertos temáticos para apoyar la identificación de necesidades sectoriales y para que participen en las jornadas de diseño, desarrollo curricular y en la validación técnica para garantizar el número suficiente, la pertinencia y calidad de los programas de formación profesional, los cuales promoverán la gestión efectiva de los riesgos de seguridad digital, adoptando buenas prácticas y referentes tales como el marco para el desarrollo de fuerza laboral en ciberseguridad de la Iniciativa Nacional de Educación en Seguridad Cibernética (NICE, por sus siglas en inglés). Esta actividad iniciará en junio de 2021 y finalizará en marzo de 2022.
En sexto lugar, el Ministerio de Tecnologías de la Información y las Comunicaciones, elaborará y ejecutará un programa de desarrollo de capacidades dirigido a organizaciones públicas (tanto del orden nacional como territorial), en el marco de la Política de Gobierno Digital, con el fin de promover la gestión efectiva de los riesgos de seguridad digital, adoptando buenas prácticas y marcos de referencia de ciberseguridad para tecnologías de amplia utilización y para tecnologías de la 4RI. Los resultados y logrosde este programa deberán presentarse anualmente al Comité de Seguridad Digital. Esta acción iniciará en julio de 2020 y finalizará en diciembre de 2022.
En séptimo lugar, el Ministerio de Tecnologías de la Información y las Comunicaciones en conjunto con el Ministerio de Defensa Nacional y el Departamento Administrativo de la Función Pública y con el apoyo del coordinador nacional de seguridad digital, elaborará y pondrá en marcha un programa de desarrollo de capacidades dirigido a los niveles directivos y ejecutivos de organizaciones públicas del orden nacional como territorial, de modo que les permita identificar, valorar y gestionar adecuadamente los riesgos de seguridad digital. Lo anterior con la finalidad de mejorar el marco de acción para la toma de decisiones en esta materia y el fortalecimiento de capacidades en las organizaciones públicas. Este programa deberá contemplar el impacto sobre la seguridad digital de las nuevas tecnologías y de las tecnologías emergentes. Esta actividad iniciará en febrero de 2021 y finalizará en diciembre de 2022.
En octavo lugar, el Ministerio de Tecnologías de la Información y las Comunicaciones elaborará y pondrá en marcha un programa de desarrollo de capacidades dirigido a los niveles directivos y ejecutivos de organizaciones privadas, así como a las organizaciones privadas que se consideren como operadores de infraestructuras críticas o prestadores de servicios esenciales, de modo que les permita identificar, valorar y gestionar adecuadamente los riesgos de seguridad digital. Lo anterior con la finalidad de promover el cierre de brecha en capacidades y la gestión de riesgos de seguridad digital en el país. Esta actividad iniciará en febrero de 2021 y finalizará en diciembre de 2022.
En noveno lugar, el Ministerio de Tecnologías de la Información y las Comunicaciones elaborará y ejecutará una estrategia de fortalecimiento de las empresas de la industria de Tecnologías de la Información que provean bienes y servicios de seguridad digital, contemplando la articulación con el Programa de formación de fuerza laboral en ciberseguridad, de forma que se promueva el desarrollo de talento pertinente y cualificado para esta industria y evaluando acciones complementarias y articular con los clústeres TI del país en los temas relacionados con seguridad digital, con apoyo de las Cámaras de Comercio, de forma que apalanque su fortalecimiento en iniciativas y programas de desarrollo empresarial bajo su cargo. Esta actividad iniciará en enero de 2021 y finalizará en diciembre de 2022.
En décimo lugar, El Ministerio de Justicia y del Derecho con el apoyo del Ministerio de Tecnologías de la Información y las Comunicaciones, la Fiscalía General de la Nación, el Ministerio de Defensa Nacional, con el acompañamiento de las entidades públicas y privadas que consideren pertinentes, realizarán el diagnóstico y las consecuentes recomendaciones de solución de los posibles problemas existentes en el marco normativo vigente que puedan afectar: (i) el ejercicio libre y pacífico de la ciudadanía digital; (ii) la defensa y seguridad nacional y (iii) la persecución, investigación y sanción de la comisión de conductas punibles a través del uso de las Tecnologías de la Información y las Comunicaciones (TIC). Esta actividad iniciará en julio de 2020 y finalizará en diciembre de 2022.
En décimo primer lugar, el Departamento Administrativo de la Presidencia de la República, a través del coordinador nacional de seguridad digital, con el apoyo del Ministerio de Tecnologías de la Información y las Comunicaciones, con el apoyo de la Fiscalía General de la Nación, la SIC, la Dirección Nacional de Inteligencia, y en caso de requerirse, con el apoyo del Ministerio de Defensa Nacional y del Ministerio de Relaciones Exteriores, diseñará e implementará una ruta de acción que permita avanzar en el desarrollo de la normatividad en materia de seguridad digital, para lo cual tendrá en cuenta, entre otros, el impacto del Internet de las cosas (IoT), las Redes y Sistemas OT, el Big Data, la Computación en la Nube, la Inteligencia Artificial (IA), el Machine Learning e Interfaces de Programación de Aplicaciones (API) y otras tecnologías emergentes, en materia de confianza y seguridad digital. Para avanzar en el desarrollo de dicha ruta de acción, se tendrán en cuenta las normas existentes y aquellas que se encuentren en desarrollo, así como las medidas establecidas por todas las autoridades regulatorias del sector ejecutivo, tales como: la Comisión de Regulación de Comunicaciones (CRC), la Comisión de Regulación de Energía y Gas Combustible y la Comisión de Regulación de Agua Potable y Saneamiento Básico, entre otras, de manera que se logre un marco normativo armónico. Esta actividad iniciará en julio de 2021 y finalizará en diciembre de 2022.
En décimo segundo lugar, el Ministerio de Tecnologías de la Información y las Comunicaciones, el Ministerio de Defensa Nacional y la Dirección Nacional de Inteligencia (DNI), elaborarán el diagnóstico actual y el plan de mejoramiento continuo de sus propias capacidades operativas, administrativas, humanas, científicas y de infraestructura tecnológica. Lo anterior con el fin de apalancar recursos para el fortalecimiento de dichas entidades en materia de seguridad digital. Se presentará anualmente un informe ante la Consejería Nacional de Asuntos Económicos y Transformación Digital de la Presidencia de la República, o quien haga sus veces, sobre el desarrollo de este plan de mejoramiento continuo. Esta actividad iniciará en julio de 2020 y finalizará en diciembre de 2022.
En décimo tercer lugar, el Ministerio de Defensa Nacional definirá los lineamientos que permitan la conformación de una red de participación cívica digital que permita a las múltiples partes interesadas interactuar y cooperar frente a una amenaza cibernética. Lo anterior, con el propósito de fortalecer y ampliar las capacidades de seguridad digital en Colombia. Dicha red de participación cívica digital actuará en el marco de los principios fundamentales de la presente política, en particular la salvaguarda de los derechos humanos, así como del derecho internacional humanitario. Esta actividad iniciará en julio de 2020 y finalizará en diciembre de 2021.
En décimo cuarto lugar, el Departamento Nacional de Planeación a través de la Dirección de Estudios Económicos, en coordinación con el Archivo General de la Nación, el Ministerio de Tecnologías de la Información y las Comunicaciones, la Agencia Nacional Digital y todas las entidades públicas que integran el Sistema de Seguridad Social Integral, conforme a sus competencias y de acuerdo con lo que se requiera, coordinará la elaboración de lineamientos para los planes de mejora en seguridad digital con el fin de fortalecer las capacidades de dicho sistema en el manejo, gestión e intercambio de la información, dada la condición de infraestructura crítica cibernética del Sistema de Seguridad Social Integral. Dichos planes de mejora se desarrollarán según las condiciones y capacidades técnicas de cada una de las entidades públicas que integran el Sistema de Seguridad Social Integral y se enmarcarán en el Modelo de Seguridad y Privacidad de la Información establecido por el Ministerio de Tecnologías de la Información y las Comunicaciones. Para esto, el Departamento Nacional de Planeación a través de la Dirección de Estudios Económicos velará para que se establezca por las entidades competentes como mínimo: (i) las condiciones mínimas de seguridad esperadas para cada subsistema del Sistema de Seguridad Social Integral y sus entidades involucradas, (ii) los lineamientos para la medición del nivel de madurez en seguridad digital para las entidades involucradas en los subsistemas del Sistema de Seguridad Social Integral, (iii) los lineamientos para el diseño de una hoja de ruta de acciones para disminuir la brecha en seguridad digital de cada subsistema del Sistema de Seguridad Social Integral y sus entidades involucradas y (iv) los lineamientos para el modelo de seguimiento y evaluación del plan de mejora. Adicionalmente, estos planes deben profundizar sobre la necesidad de la clasificación de expedientes, documentos e información confidencial, la identificación temprana de amenazas, el análisis de las implicaciones de compartir información y la tipificación de vulnerabilidades y el control del riesgo de divulgación, alteración o pérdida de documentos o expedientes que corresponda a información clasificada, reservada de seguridad nacional o que atenten contra los derechos fundamentales de los ciudadanos, así como la identificación y protección de los documentos vitales o esenciales para asegurar la continuidad y el funcionamiento en caso de materializarse alguna amenaza, incidente o ataque cibernético. Esta actividad iniciará en octubre de 2020 y finalizará en marzo de 2022.
En décimo quinto lugar, el Ministerio de Defensa Nacional, con el apoyo del Departamento Nacional de Planeación a través de la Dirección de Estudios Económicos, establecerá dentro del Modelo Nacional de Gestión de Incidentes33, los lineamientos con las condiciones especiales para la gestión de riesgos y el manejo de incidentes en seguridad digital relacionados con el manejo, gestión e intercambio de la información del Sistema de Seguridad Social Integral. Esto con el fin de asegurar la información y que se dé la atención en condiciones de prioridad a los incidentes que lleguen a ocurrir. Estas condiciones especiales deberán integrarse con el procedimiento general de atención a incidentes ya existente establecido por el Comité de Seguridad Digital. Esta actividad iniciará en septiembre de 2021 y finalizará en marzo de 2022.
En décimo sexto lugar, el Departamento Nacional de Planeación a través de la Dirección de Estudios Económicos, con el apoyo del Ministerio de Tecnologías de la Información y las Comunicaciones coordinará la incorporación de los mecanismos idóneos del caso (técnicos, legales, organizacionales, etc.) que permitan recopilar la evidencia digital necesaria en caso de materialización de algún incidente cibernético dentro del manejo, gestión e intercambio de la información del subsistema de Salud del Sistema de Seguridad Social Integral. Estos mecanismos deberán alinearse con la normatividad nacional que haya sido expedida al respecto. Esta actividad iniciará en abril de 2021 y finalizará en diciembre de 2022.
En décimo séptimo lugar, el Departamento Nacional de Planeación a través de la Dirección de Estudios Económicos con apoyo del Ministerio de Tecnologías de la Información y las Comunicaciones, el Archivo General de la Nacional, y las demás autoridades rectoras del Sistema de la Seguridad Social Integral – SSSI diseñarán, estructurarán y presentarán el proyecto de implementación del Equipos de Respuestas ante Incidentes de Seguridad en inglés Computer Security Incident Response Team (CSIRT) del Sector de la Seguridad Social Integral, el cual será socializado ante la comunidad del sector previa la revisión técnica que se efectuará con el Ministerio de Defensa Nacional. Esta actividad iniciará en diciembre de 2020 y finalizará en diciembre de 2022.
En décimo octavo lugar, la Dirección Nacional de Inteligencia (DNI), diseñará, estructurará y presentará el proyecto de implementación del CSIRT del Sector Inteligencia, con el fin que contribuya en la protección de la seguridad digital nacional. Este proyecto buscará principalmente que este CSIRT del sector de inteligencia (i) apoye la toma de decisiones en términos de valoración de los riesgos cibernéticos que se presenten en las entidades del sector y (ii) facilite la difusión de información técnica de alto valor de amenazas al Comité de Seguridad Digital referente a los distintos fenómenos que se generen en el Ciberespacio; mediante la integración e implementación de capacidades tecnológicas de última generación que aporte a la protección de los entornos de la Economía Digital del Estado. También dentro del diseño de este CSIRT se contemplará la armonización con las demás instancias de Seguridad Digital existentes en el país y se propiciará la analítica correlacional de los eventos e incidentes desarrollados en el ciberespacio que permita la identificación y traza de fenómenos que puedan afectar la seguridad del estado. Este proyecto será socializado ante la comunidad del sector de inteligencia en las instancias de la Junta de Inteligencia Conjunta (JIC). Esta actividad iniciará en julio de 2020 y finalizará en diciembre de 2022.
En décimo noveno lugar, el Ministerio de Defensa Nacional con el apoyo del Ministerio de Tecnologías de la Información y las Comunicaciones, en coordinación con las instancias nacionales a cargo de la gestión de incidentes de seguridad digital (ColCERT, CECIP, CCOCI, el CSIRT Gobierno y la DNI), bajo los lineamientos del Coordinador Nacional de Seguridad Digital y dentro de un marco colaborativo entre los diferentes sectores y múltiples partes interesadas, diseñarán una propuesta del registro central único de incidentes de seguridad digital a nivel nacional, con el fin de analizar las tipologías de los incidentes y valorar periódicamente la necesidad de priorizar estrategias y recursos para su gestión. Dicho registro central único de incidentes deberá integrar los reportes existentes en la materia realizados por las múltiples partes interesadas procurando simplificar el envío, determinando medios seguros de entrega y garantizando la confidencialidad, conservación y uso adecuado de la información que se intercambie entre partes. Para la concepción de este registro: (i) se aprovecharán las capacidades de los diferentes CSIRT sectoriales (existentes o que lleguen a existir) para facilitar la centralización de la información proveniente de cada sector, (ii) se tendrán en cuenta las experiencias previas que existan en el país al respecto, (iii) se implementarán los mecanismos de obligatoriedad de notificaciones de incidentes de seguridad digital para las entidades del Gobierno nacional y (iv) se atenderán las disposiciones y protocolos para el manejo de la evidencia digital, así como la obligatoriedad de la denuncia, conforme lo establecido en el Código de Procedimiento Penal Colombiano. Esta propuesta de diseño se deberá presentar ante el Comité de Seguridad Digital para su puesta en consideración. Esta actividad iniciará en mayo de 2021 y finalizará en diciembre de 2021.