Este es un resumen del marco integral diseñado para asegurar la protección, cumplimiento y gestión estratégica de los activos de datos del Sistema de Información y Gestión de Ingresos y Gestión (SIGIG) de la Gobernación de Cundinamarca.
1. Marco Normativo
El plan se alinea con un robusto marco legal nacional e internacional para garantizar la máxima seguridad y protección de la información.
- ✓ Normatividad Colombiana: Ley 1581 (Protección de Datos), Ley 1273 (Delitos Informáticos), Decretos de Gobierno Digital y Seguridad.
- ✓ Estándares Internacionales: Adopción de ISO 27001, NIST Cybersecurity Framework y OWASP Top 10 como mejores prácticas.
- ✓ Seguridad en IA y ML: Prácticas específicas para mitigar riesgos como manipulación de datos, envenenamiento de modelos y ataques a la cadena de suministro de IA.
2. Compliance
Se establece un programa de cumplimiento para asegurar la adherencia a las normativas y la gestión proactiva de los riesgos.
- ✓ Estructura Organizacional: Creación de un Comité de Compliance y roles clave como el CISO (Oficial de Seguridad) y DPO (Oficial de Protección de Datos).
- ✓ Políticas y Procedimientos: Desarrollo de 15 políticas obligatorias, incluyendo seguridad, protección de datos, control de accesos y desarrollo seguro.
- ✓ Auditorías y Capacitación: Programa de auditorías internas y externas, junto con capacitación continua y simulacros de phishing para todo el personal.
3. Gobernanza de Datos
Se implementa un sistema de autoridad y control para gestionar los datos como un activo estratégico, asegurando su calidad y valor.
- ✓ Estructura Organizacional: Creación de un Comité Directivo de Datos, con un CDO (Oficial de Datos), Data Owners y Data Stewards por dominio.
- ✓ Políticas Clave: Se definen políticas de calidad, clasificación, retención, acceso, compartición y trazabilidad (lineage) de los datos.
- ✓ Master Data Management (MDM): Estrategia para consolidar datos maestros (Contribuyente, Vehículo) y crear una "fuente única de la verdad".
Asistente Interactivo de Respuesta a Incidentes ✨
Pon a prueba tus conocimientos sobre el plan de ciberseguridad. Inicia una simulación de un incidente y recibe orientación paso a paso de un asistente de IA basado en los procedimientos oficiales de la Gobernación.
NIST Cybersecurity Framework (CSF) 2.0
Un enfoque estructurado para gestionar el riesgo de ciberseguridad, basado en cinco funciones clave.
IDENTIFICAR
Comprender para gestionar el riesgo de ciberseguridad en sistemas, personas, activos, datos y capacidades.
PROTEGER
Implementar salvaguardas para garantizar la prestación de servicios críticos y limitar el impacto de un ciberataque.
DETECTAR
Desarrollar actividades para la identificación oportuna de la ocurrencia de un evento de ciberseguridad.
RESPONDER
Tomar acciones con respecto a un incidente detectado para contenerlo y mitigar su impacto.
RECUPERAR
Mantener planes de resiliencia y restaurar capacidades o servicios que se vieron afectados por un incidente.
Pilares de la Gobernanza de Datos
Estructura Organizacional
Se definen roles y responsabilidades claras para la toma de decisiones sobre los datos, incluyendo un Comité Directivo, un Chief Data Officer (CDO), Data Owners (propietarios) y Data Stewards (custodios).
Políticas Clave de Gobierno
Se implementan políticas fundamentales para la calidad, clasificación (Público, Interno, Confidencial, Restringido), retención, acceso (mínimo privilegio), compartición y trazabilidad (lineage) de los datos.
Master Data Management (MDM)
Estrategia para consolidar datos maestros críticos (como contribuyentes y vehículos) desde múltiples fuentes para crear un "Golden Record" o fuente única de la verdad, eliminando duplicados e inconsistencias.
Roadmap de Implementación (3 Meses)
Semanas 1-4: Fundamentos
(Mes 1)
Establecimiento de la estructura organizacional, nombramientos clave y aprobación de las políticas principales.
Semanas 5-8: Herramientas y Piloto
(Mes 2)
Implementación del Catálogo de Datos, herramientas de calidad y desarrollo del piloto de "Golden Records" (MDM).
Semanas 9-12: Despliegue
(Mes 3)
Despliegue de la API maestra, creación del Data Marketplace interno y optimización continua del sistema.