7/8/2015

Survey Results

Premio Interamericano a la Innovación para la Gestión Pública Efectiva- Edición 2015 User Information Name:

Anonymous

Email:

N/A

Location:

N/A

Company:

N/A

Position:

N/A

IP Address:

190.255.40.79

Started:

06/22/2015 6:42 PM

Completed:

06/27/2015 12:42 PM

Time Spent:

5 days, 114 hours, 6840 minutes, 410397 seconds, 410397000 milliseconds

Custom 1:

N/A

Custom 2:

N/A

Custom 3:

N/A

I. INFORMACIÓN GENERALEstado Miembro Postulante Colombia Institución Pública Postulante Policia Nacional de Colombia Nombre de la Experiencia Innovadora EVOLUCIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN LA POLICIA NACIONAL Tiempo de implementación de la Experiencia Innovadora: 5 AÑOS Categoría a la que postula Innovación en la Coordinación institucional (inter-institucional, intra-institucional, transinstitucional, con la sociedad civil, con el sector privado) II. BREVE PRESENTACIÓN/SUMILLA DE LA EXPERIENCIA INNOVADORA: En este apartado, se requiere hacer una presentación resumida de la Experiencia Innovadora (200 palabras como máximo). Antes del año 2011 en Colombia no existía una entidad que se dedicara a emitir alertas tanto preventivas como reactivas de conductas que atentaran contra la seguridad de la información de la población en general. Con la conformación del Equipo de Atención de Incidentes de Seguridad Informática CSIRT-PONAL, la Policía Nacional de Colombia se consolida como la primera entidad del Gobierno y de la Fuerza Pública en implementar un mecanismo de atención de incidentes, alertas tempranas y análisis de ciberseguridad, para brindar a todas las entidades del Estado y privadas, asesoría y apoyo en cómo atender e investigar incidentes informáticos y propender por hacer del país un Estado ciberseguro. Con esta iniciativa, el tema de seguridad de la información adquiere un papel importante en los proceso de la Policía Nacional y de algunas entidades del Estado. En la actualidad, la Institución cuenta con procesos certificados en seguridad de la información bajo la norma ISO 27001. https://www.oas.org/forms/PrintResponse.aspx?SurveyID=7l03396&lngQuestionNumber=1&lngRequestedResponseID=7lL35m41L&strDisplayOptions=All

1/13

7/8/2015

Survey Results

Como complemento, y con el objetivo de optimizar los procedimientos ya existentes de atención, análisis, e investigación de eventos e incidentes de seguridad informática se creó el Centro de Operaciones de Seguridad (SOC) del CSIRT-PONAL, único en las entidades públicas del Estado colombiano. III. INFORMACIÓN INSTITUCIONAL Nombre de la entidad Postulante:

Policía Nacional de Colombia

Dirección:

Carrera 59 26-21 CAN Bogotá D.C.

Teléfono:

(571) 3159200 - (571) 3159591 - (571) 3159202

Fax:

(571) 4287634 3159531

Página Web:

www.policia.gov.co

E-mail:

[email protected]

Nivel Administrativo de la Entidad Nivel Nacional Naturaleza Administrativa de la Entidad Empresa Pública IV. INFORMACIÓN DE LA EXPERIENCIA INNOVADORAPor favor, exponga el caso de la Experiencia Innovadora de su Entidad utilizando un lenguaje claro y una redacción breve y concisa. Para tal efecto, le pedimos organizar la información procurando responder las interrogantes contenidos en los siguientes ítems:1. Descripción de la Experiencia innovadora En esta sección, se solicita exponer en detalle la Experiencia Innovadora presentada. Por favor, facilite información que corrobore y otrogue más elementos sobre la iniciativa y tome en cosnideración las siguientes interrogantes para orientar su descripción:¿Cuál fue el problema que se buscó solucionar? (No más de 300 palabras). La Policía Nacional ni ninguna entidad pública del Estado colombiano contaba con un centro de monitoreo en tiempo real de las conductas que causan incidentes de indisponibilidad, integridad o confidencialidad de la información y/o las redes de datos. De igual forma, no se tenía una adecuada gestión de incidentes informáticos, evitando que se conociera de una forma eficiente la causa que los generaba. Por otra parte, el Estado colombiano carecía de una entidad que brindara concientización y capacitación en temas de ciberseguridad, creación de equipos de respuestas a incidentes informáticos (CSIRT, CERT) en las entidades del Estado y de igual manera que se tuviera una atención e investigación efectiva para la recuperación de estos incidentes. Con la creación del CSIRT-PONAL, la Policía Nacional se constituye en pionera y líder de la ciberseguridad en el país. ¿En qué consiste la Experiencia Innovadora? (No más de 300 palabras). El CSIRT- PONAL es un equipo especializado dedicado a la prevención, atención e investigación de incidentes y/o delitos informáticos. Cuenta con herramientas tecnológicas, laboratorios y metodologías basadas en estándares internacionales, dedicadas a la seguridad de las tecnologías de la información. Se enfoca en los siguientes objetivos: - Fomentar la concientización sobre la necesidad de fijar políticas de seguridad de la información, https://www.oas.org/forms/PrintResponse.aspx?SurveyID=7l03396&lngQuestionNumber=1&lngRequestedResponseID=7lL35m41L&strDisplayOptions=All

2/13

7/8/2015

Survey Results

en coordinación con los actores involucrados y usuarios de los sistemas de información, a través de sensibilizaciones y eventos. - Suministrar información que permita disminuir el impacto de vulnerabilidades y amenazas de la tecnología en la Policía Nacional. - Generar estrategias de divulgación para suministrar a la comunidad un sistema de alertas tempranas, anuncios y comunicados que permitan prevenir los riesgos asociados a la seguridad de la información. - Proveer asistencia técnica, asesoría y apoyo a la comunidad y a las organizaciones en general, en la protección de amenazas y/o delitos informáticos. Partiendo de la experiencia del personal especializado que opera el Centro de Operaciones de Seguridad, el componente tecnológico y las múltiples aplicaciones en las que se soporta el CSIRTPONAL, a continuación se presenta los servicios que ofrece, así: Servicios reactivos: Aquellos servicios que surgen a través de requerimientos, eventos o incidentes, con el fin de actuar de manera eficaz ante los mismos. Servicios proactivos: Aquellos servicios que suministran asistencia y atención con el fin de ayudar a tomar medidas para proteger y asegurar las plataformas tecnológicas, prever futuros ataques, dificultades o eventos que afectan la confidencialidad, disponibilidad e integridad de la información. Gestión de la seguridad de la información: Son servicios establecidos y creados a través de estándares y buenas prácticas para mejorar la seguridad de la información. Genera recomendaciones, sensibilizaciones y lecciones aprendidas. 2. Vinculación de la Experiencia Innovadora con la Categoría SeleccionadaPor favor, explique la relación existente entre la Experiencia Innovadora y la Categoría seleccionada en forma breve y concisa (No más de 300 palabras): El CSIRT-PONAL fue creado como apoyo a los lineamientos de ciberseguridad y ciberdefensa emitidos por el Consejo Nacional de Política Económica y Social, CONPES 3701 de 2011, en el cual se crean las instancias responsables de estos temas en el país. El CSIRT-PONAL propició un trabajo de coordinación inter-institucional, intra-institucional, transinstitucional, con la sociedad civil y con el sector privado al lograr que por primera vez se compartieran las inquietudes y retos respecto a las amenazas y vulnerabilidades en temas de seguridad de la información. En este sentido, dentro de las actividades lideradas por el CSIRT-PONAL de la Policía Nacional se mencionan: 1. Realización y formalización de acuerdos de cooperación interinstitucional e internacional, focalizados en la capacitación y la transferencia del conocimiento de las tecnologías que apoyan la ciberseguridad, entre los cuales se destacan convenios con la Cámara Colombiana de Informática y Telecomunicaciones, Dominio .CO, Empresa de Teléfonos de Bogotá ETB. 2. La Policía Nacional, con el CSIRT-PONAL, fue la primera entidad del Estado colombiano en ser aceptada como miembro full del FIRST (Forum for Incident Response and Security Teams). Esta condición sirvió para impulsar la vinculación de otras seis entidades del Estado colombiano a este prestigioso foro que permite a sus miembros contar con la información de amenazas y vulnerabilidades existentes a nivel mundial. 3. En la actualidad, el CSIRT-PONAL es socio investigador en APWG (Grupo de Trabajo AntiPhishing) y NETCRAFT, lo que le permite a las entidades del Estado y a los ciudadanos en particular, denunciar conductas referentes a phishing bancarios y lograr la eliminación de las amenazas potencializando la comunicación interinstitucional. 4. Realización de eventos nacionales e internacionales en seguridad de la información, con lo que se ha creado una red de al menos 2.000 líderes de seguridad de la información tanto de entidades públicas como privadas de todo el país. https://www.oas.org/forms/PrintResponse.aspx?SurveyID=7l03396&lngQuestionNumber=1&lngRequestedResponseID=7lL35m41L&strDisplayOptions=All

3/13

7/8/2015

Survey Results

3. Vinculación de la Experiencia Innovadora con los Criterios de EvaluaciónA continuación, le solicitamos que proporcione información específica que será valorada por el Jurado Especial. Le pedimos por favor brevedad, y en lo posible proporcionar datos e información específicos: a. Originalidad. Creación de procesos dentro de la Administración Pública sobre la base del conocimiento y experiencia que tenga carácter inédito y transformador. A través de este criterio, se busca estimular la creatividad de los gestores públicos en la solución de problemas cotidianos relacionados al quehacer estatal.Precise la siguiente información:¿Quién ideó la Experiencia Innovadora? (No más de 300 palabras).Por favor tomar en cuenta:- Informe de ConsultoríaPropuesta Política- Funcionarios de la misma entidad La Oficina de Telemática de la Policía Nacional fue la promotora de la creación del Equipo de Atención de Incidentes de Seguridad Informática CSIRT-PONAL y principal impulsadora del documento CONPES 3701/2011 “Lineamientos de Política para ciberseguridad y ciberdefensa de Colombia”. Esta importante dependencia tiene como función principal asesorar al alto mando institucional y todas las unidades que a nivel nacional requieran un apoyo en temas relacionados con las telecomunicaciones y los avances tecnológicos. Igualmente ha propiciado el diseño de políticas de seguridad de la información, que en la actualidad están siendo utilizadas tanto por el cliente interno como externo, soportada en sus procesos y el talento humano calificado. Su gestión ha permitido tener funcionarios con perfiles avanzados de capacitación y profesionalización tales como: auditores líderes en ISO 27000 y 27001, ethical hacking, administrador de redes de seguridad ENSA, Certificado analista de seguridad (ECSA), Certificado en ethical hacking (CEH), Certificado en informática forense (CHFI), Certificado en profesional de seguridad informática (CISSP), tecnólogos en análisis y desarrollo de sistemas de información, especialistas en seguridad de la información y magister en gestión de proyectos. En materia de seguridad de la información, estructuró el Área de Administración de la Información de la Policía Nacional, con los grupos de Calidad, Seguridad y Ciclo de Vida de la Información. La Oficina de Telemática de la Policía Nacional desempeña un papel fundamental dentro de la política de innovación y avance tecnológico de la Institución. Describa los elementos que hacen que la Experiencia Innovadora en gestión pública de su entidad sea innovadora (No más de 300 palabras): Por favor, tomar en consideración la siguiente información: - Viabiliza poblaciones no atendidas - Primera vez que una Administración Pública se ocupa del tema - Cuenta con un inédito apoyo del sector privado - Involucra en la gestión, por primera vez, a los ciudadanos - Otros datos que ayuden a explicar el carácter inédito y transformador de la Experincia Innovadora Con la conformación del Equipo de Respuestas a Incidentes de Seguridad Informática CSIRTPONAL, la Policía Nacional de Colombia se consolida como la primera entidad del Gobierno y de las Fuerzas Armadas de Colombia en implementar un mecanismo de atención de incidentes, alertas tempranas y análisis de ciberseguridad, para brindar a todas las entidades tanto del Estado como las de carácter privado, asesoría y apoyo en cómo atender e investigar incidentes informáticos y propender por hacer del país un Estado ciberseguro. Esto se realizó con la implementación de las siguientes líneas de acción: 1. Apropiación de estándares de seguridad y sensibilización de todos los funcionarios de la Institución, en materia de seguridad de la información. 2. Conformación del CSIRT-PONAL y su puesta en operación. 3. Implementación del SOC (Centro de Operaciones de Seguridad). 4. Implementación y certificación del Sistema de Gestión de Seguridad de la Información en la Norma ISO 27001. 5. Destinación de recursos y desarrollo de proyectos de inversión para la adquisición de herramientas tecnológicas que analicen incidentes informáticos. 6. Desarrollo de conciencia situacional respecto a las amenazas cibernéticas institucionales. 7. Adquisición de tecnología para la seguridad de la información con el fin de minimizar los https://www.oas.org/forms/PrintResponse.aspx?SurveyID=7l03396&lngQuestionNumber=1&lngRequestedResponseID=7lL35m41L&strDisplayOptions=All

4/13

7/8/2015

Survey Results

impactos ocasionados por la materialización de los incidentes informáticos. 8. Proyecto para la implementación de una infraestructura de llave pública PKI, con el fin de consolidar a la Policía Nacional de Colombia como una entidad certificadora cerrada. 9. Destinación de recursos para capacitación en programas de especialización en seguridad, certificaciones en CISSP, ENSA, ECSA, CEH, CHFI, ISO 27001, ISO 27002, 25999, ISO 27005. Se considera que esta experiencia optimizó los procesos de seguridad informática por cuanto la ciberseguridad es un indicador indispensable en el ámbito local y regional y necesita de un análisis en tiempo real. ¿Existieron algunos antecedentes de la Experiencia Innovadora?, ¿en la misma entidad u otras entidades? (No más de 300 palabras). En Colombia, los antecedes de equipos de respuestas a incidentes informáticos se remontan al sector privado con el CERTCCIT, creado en el año 2010 al servicio de la Cámara Colombiana de Infraestructura y Telecomunicaciones, pero es la Carnegie Mellon University la creadora de estos procesos para la respuesta eficaz de incidentes informáticos. Como entidad del Estado, la Policía Nacional fue la pionera en definición de un proceso, procedimiento y formatos para la atención de eventos e incidentes informáticos en plataformas tecnológicas del estadio colombiano con la creación y puesta en marcha del CSIRT-PONAL. Inicialmente se encargó de investigar todos aquellos incidentes de seguridad informática que afectaban la plataforma tecnológica de la Policía Nacional y darles una oportuna gestión, respuesta y solución, con el fin de mejorar la productividad y uso de las tecnologías de la información en la Institución, además de contar con un grupo de expertos encargados de realizar análisis de los diferentes incidentes presentados, con el fin de optimizar los tiempos de respuesta, la solución de los mismos y con ello poder generar una bases de conocimientos que permitiera la toma de decisiones. La iniciativa fue tan innovadora que el CSIRT-PONAL amplió su campo de acción para brindar apoyo oportuno a otras entidades públicas y privadas que presentaban similares comportamientos en sus plataformas tecnológicas. b. Impacto Ciudadano. Implica demostrar que la innovación repercute en un mayor beneficio a la ciudadanía. Por ejemplo, tiempo menor de espera, información en un lenguaje claro y sencillo, procesos simplificados, etc. Precise la siguiente información: Población(es) beneficiaria(s) objetivo. Precise datos cualitativos (quiénes). De no ser determinable. por favor precise la forma en la que se benefician los(as) ciudadanos(as) (No más de 300 palabras). Antes de la creación del CSIRT-PONAL, en la Policía Nacional y en el Estado colombiano no existía una entidad que se dedicara a emitir alertas tanto preventivas como reactivas de conductas que atentaran contra la seguridad de la información de la población en general. Con esta iniciativa, se logró dar mayor importancia al tema de la seguridad de la información tanto en la Policía Nacional como en algunas entidades del Estado. En la actualidad, esta Institución cuenta con procesos certificados en seguridad de la información (ISO 27001) y uno de sus indicadores estratégicos hace referencia a la atención efectiva de incidentes informáticos y que estos cuentan con lecciones aprendidas eficaces. Como actividades destacadas y exitosas, se encuentran la realización de mesas de trabajo en las fiestas nacionales del 20 de julio y 7 de agosto, fechas en las cuales se presentan manifestaciones de protesta por la conmemoración del Día de la Independencia y Batalla de Boyacá, generalmente materializadas en ataques a la plataforma tecnológica del Estado por parte de los denominados grupos hacktivistas, ocasionando denegación de servicios de algunos sitios web y defacement (explotación de vulnerabilidades en los portales web), con lo que se logró una reacción rápida y oportuna al notificar y alertar a los responsables de esas entidades, todo con el liderazgo del CSIRT- PONAL. De igual forma, el CSIRT- PONAL ha incentivado y patrocinado a entidades públicas y privadas para la vinculación de sus Equipos de Respuesta de Seguridad Informática ante el FIRTS como: ColCERT, CSIRT OLIMPIA, CSIRT-ETB, SOC-CCOC, SOC Equipo Claro Colombia. Por último, se fortaleció el sector público y privado por medio de los convenios interinstitucionales y se logró un acercamiento con la ciudadanía a través de la atención y asesoría que se realiza en el CAI virtual del Centro Cibernético Policial. https://www.oas.org/forms/PrintResponse.aspx?SurveyID=7l03396&lngQuestionNumber=1&lngRequestedResponseID=7lL35m41L&strDisplayOptions=All

5/13

7/8/2015

Survey Results

Población(es) beneficiaria(s) objetivo. Precise datos cuantitativos (cuántos - directos e indirectos). De no ser determinable. por favor precise la forma en la que se benefician los(as) ciudadanos(as) (No más de 300 palabras). Desde su puesta en operación, el Equipo de Respuestas a Incidentes de Seguridad Informática CSIRT-PONAL, ha atendido más de 100 incidentes de seguridad internos, que fueron debidamente documentados y evaluados con sus respectivos planes de mejora. Además se puede destacar: - Realización de 300 jornadas de capacitación y sensibilización al interior de la Institución y diferentes entidades del Estado, a través de charlas y conferencias. - Emisión de más de 500 boletines de seguridad dirigidas al sector público y privado con lo que se ha alcanzado la concientización en temas de seguridad informática. - Realización de 15 eventos nacionales e internacionales con conferencistas alto reconocimiento en el área. - Construcción de 200 análisis de vulnerabilidades a diferentes entidades del Estado, previniendo y alertando sobre la ocurrencia de incidentes de seguridad, ayudando a mitigar el impacto causado por los mismos. Explique, ¿cómo se beneficia a los(as) ciudadanos(as) (No más de 300 palabras).Por favor, tomar en cuenta la siguiente información:- Menores tiempo de espera- Reducción de costos de trámitesMejora de condiciones de vida de ciudadanos(as) en diferentes dimensiones El ciudadano se beneficia a través de la información enviada por medio de los boletines digitales informativos que lo alertan sobre las diferentes conductas delictivas derivadas del uso de Internet, las últimas tendencias de los ciberdelincuentes y sus ataques informáticos y las recomendaciones para cada caso. Además, el CSIRT-PONAL realiza charlas de concientización a entidades públicas y privadas, donde se le informa a todo el personal sobre la protección de sus activos de información y de sus plataformas tecnológicas tanto en el entorno laborar como personal y familiar, creando así conciencia en el ciudadano. Otro mecanismo de acercamiento con la ciudadanía a través de la atención y asesoría, se realiza en el CAI virtual del Centro Cibernético Policial, donde se dan a conocer las novedades y alertas establecidas por el CSIRT-PONAL. Aunque en la actualidad no todo el Estado colombiano cuenta con la tecnología necesaria para mitigar ataques informáticos, las acciones del CSIRT-PONAL y el cumplimiento de las tareas asignadas por CONPES 3701, llevó al Gobierno Nacional a ordenar la estructuración de un nuevo CONPES de ciberseguridad y ciberdefensa, para dar alcance a lo implementado del año 2011 al 2014, con el fin de brindar más capacidades a las entidades creadas, entre ellas el CSIRT- PONAL, para así fortalecer la seguridad informática del país, con lo que se ampliará la cobertura y los beneficiarios. ¿Cuenta con indicadores cualitativos que así lo demuestren? Específique, por favor (No más de 300 palabras): El CSIRT-PONAL cuenta con un correo electrónico [email protected] medio por el cual tanto clientes internos como externos nos dan a conocer diferentes puntos de vista de los servicios que se prestan al interior del CSIRT-PONAL, es por medio de este mecanismo que tenemos interacción directa, ya que se recibe información, asesorías y agradecimientos por parte del ciudadano, creando confianza y credibilidad en las labores adelantadas. Además, es importante resaltar que cada vez que se realizan charlas, conversatorios y eventos de seguridad, los mismos son calificados por los asistentes de forma positiva, lo que nos permite ir cada día mejorando en la calidad y nivel de conocimientos de los mismos. ¿Cuenta con indicadores cuantitativos que así lo demuestren? Especifíque, por favor (No más de 300 palabras): El CSIRT-PONAL cuenta con una base de datos de conocimiento donde se puede medir qué tipo de incidentes informáticos se presentan en la plataforma tecnológica de la Policía Nacional, https://www.oas.org/forms/PrintResponse.aspx?SurveyID=7l03396&lngQuestionNumber=1&lngRequestedResponseID=7lL35m41L&strDisplayOptions=All

6/13

7/8/2015

Survey Results

además, tiene una base de datos de contactos asociados al CSIRT-PONAL, por medio de los cuales se envía y se recibe información relacionada con atención de incidentes informáticos y la posible solución de los mismos. Esta base permite medir el nivel de satisfacción de los servicios prestados y las asesorías brindadas. c. Replicabilidad. Se refiere a la capacidad de replicabilidad de la Experiencia Innovadora en otros países de las Américas. Para tal efecto, deberían ser valorados la posibilidad de adaptación de los procesos administrativos a otros contextos institucionales, accesibilidad de la financiación, condicionamientos políticos y sociales, etc.Precise la siguiente información:¿Por qué la Experiencia Innovadora de su Entidad es suceptible de ser replicada por otras entidades? (No más de 300 palabras)Por favor, tomar en consideración lo siguiente:- Adaptabilidad a instituciones de diferentes dimensiones- No requiere de mucho presupuesto- Fácil manjeo de posibles conflictos de diversa índole al tratarse de una iniciativa demandada y de uso común- No requiere de mucho personalCapacitación del personal se realiza de forma sencilla- Otros aspectos que considere pertinentes Esta experiencia es susceptible de ser replicada en otras entidades, porque va a permitir tener varios niveles de respuesta a incidentes informáticos que se presenten. Además, van a ser conocedores de primera mano de las amenazas existentes y, si en un momento dado, son víctimas de un ataque informático, estarán en la capacidad de mitigar dicho ataque y realizar la atención y gestión oportuna del mismo, logrando con ello la protección de la integridad, confidencialidad y disponibilidad de la información El CSIRT-PONAL y su Centro Cibernético Policial, ya ha visitado por funcionarios de policías y entidades de gobierno de diferentes países como Chile, Corea del Sur, Israel, Ecuador, Uruguay, Guatemala y Panamá quienes han hecho referenciación del mismo como modelo a replicar. En la actualidad, es necesario que las entidades de América que no cuentan con estas capacidades implementen equipos de respuesta a incidentes informáticos, dada la mutación que han sufrido las conductas delictivas relacionadas con la tecnología. Una ventaja a considerar es que tanto los procedimientos como los formatos asociados a la atención de eventos e incidentes informáticos son perfectamente aplicables a cualquier entidad de América y del mundo que en algún momento piense en la creación de un equipo con similares características al de la Policía Nacional. Aunque las capacidades técnicas del personal son altas estas son fácilmente adquiribles ya sea a través de convenios interinstitucionales o con presupuestos propios. Teniendo en cuenta que Colombia ya cuenta con una política nacional que dicta lineamientos de ciberseguridad y ciberdefensa y que su implementación en el CSIRT-PONAL de la Policía Nacional tuvo grandes resultados, esta iniciativa puede ser implementada en otros países de la región. ¿Qué elementos centrales deberían ser considerados antes de que la Experiencia Innovadora sea replicada en otras entiddades? Por favor, explíque (No más de 300 palabras): Dentro de los elementos a considerar están: - Capacitación del personal idóneo para la atención, respuesta y gestión de incidentes de seguridad informática. - Infraestructura tecnológica necesaria para el desarrollo de las actividades propias de un CSIRT. - Herramientas investigativas para la atención de incidentes de seguridad informática. - Concientización en seguridad de la información y la importancia de la creación de un CSIRT al nivel gerencial para toma de decisiones. - Implementación de laboratorios forenses. - Referenciación de casos exitosos. d. Eficacia. Hace referencia a la capacidad de medir/alcanzar los resultadis esperados por medio de la Experiencia Innovadora, en función a los objetivos que se han propuesto en una determinada política pública (entendida en sentido amplio como programa, actividad, proceso, etc).Precise la siguiente información:¿Cuáles fueron los plazos que se consideran desde el inicio de la política https://www.oas.org/forms/PrintResponse.aspx?SurveyID=7l03396&lngQuestionNumber=1&lngRequestedResponseID=7lL35m41L&strDisplayOptions=All

7/13

7/8/2015

Survey Results

pública?, ¿se cumplieron? (No más de 300 palabras) La Policía Nacional desde el año 2010 proyectó y lideró un documento para aprobación por parte del Consejo Nacional de Política Económica y Social, CONPES, que lidera las políticas del sector. Luego de convocar varias mesas de trabajo, se logró la aprobación del CONPES 3701 “Lineamientos de Política para Ciberseguridad y Ciberdefensa” 2011-2014, cuyas actividades y metas establecidas se cumplieron a cabalidad. La creación del CSIRT-PONAL se dio en el mes de enero del 2011, a través de la asignación de presupuesto entregados por el CONPES 3701. Se inició con la adquisición de capacidades para la mitigación y prevención de ataques informáticos, creación del Centro de Operaciones de Seguridad y la capacitación del personal en la administración, atención e investigación de incidentes informáticos. Gracias a estas capacidades el CSIRT-PONAL fue incluido en la estructura orgánica de la Policía Nacional en el año 2013, con procesos, procedimiento y formatos definidos para la atención de eventos y e incidentes información y a su vez el análisis de vulnerabilidades. Dada la importancia que ha generado fortalecer la seguridad de la información, para las vigencias 2015 y 2016, el Estado colombiano tiene en curso presupuestos asignados y proyectos para brindar servicios a la ciudadanía, como por ejemplo la creación de la Cámara Colombiana de CSIRT la cual pretender potencializar la creación y el compartir información referente a equipos de respuestas a incidentes informáticos y amenazas cibernéticas. Precise por favor, los resultados obtenidos, en datos cualitativos (No más de 300 palabras): Entre los años 2012 al 2014, el Centro Cibernético Policial del CSIRT-PONAL, creó procesos de atención e investigación, fortaleciendo la denuncia y el conocimiento en la población en general de la existencia de delitos informáticos, aspecto que era completamente desconocido antes de la creación de estas instancias. En la actualidad, la Policía Nacional cuenta con capacidades de análisis de malware, informática forense, atención en sitio de incidentes y correlación de fuentes abiertas, herramientas que garantizan en cierta medida la investigación efectiva de conductas delictivas realizadas en el ciber espacio. El Equipo de Respuesta a Incidentes Informáticos, CSIRT-PONAL, hizo que la Oficina de Telemática, por primera vez desde su creación, incluyera la seguridad como parte de la estrategia para la vigencia 2015-2018, estando al mismo nivel de la conectividad y la investigación tecnológica. De igual forma, hoy la Policía Nacional tiene entre sus objetivos estratégicos medir la efectividad con la que se atienden y analizan los incidentes informáticos ocurridos en la plataforma tecnológica institucional y a su vez verificar que sus lecciones aprendidas sean contundes y aporten valor a la Institución. Precise por favor, los resultados obtenidos, en datos cuantitativos (No más de 300 palabras): Entre los años 2012 al 2014, el Centro Cibernético Policial, del CSIRT-PONAL, atendió y gestionó 4.251 incidentes informáticos correspondientes a hechos que no fueron denunciados formalmente por no configurar delito, al no materializarse la conducta o no existir la voluntad en casos querellables por parte de las víctimas. El Equipo de Respuesta Incidentes, CSIRT-PONAL, ha atendido más de 100 incidentes de seguridad internos debidamente documentados y evaluados con sus respectivos planes de mejora; ha realizado más de 300 jornadas de capacitación y sensibilización al interior de la institución y en las entidades del Estado, a través de charlas y conferencias; logró la emisión de más de 500 boletines de seguridad dirigidos al sector público y privado; realizó 15 eventos nacionales e internacionales con conferencistas de reconocimiento; y más de 200 análisis de vulnerabilidades a diferentes entidades del Estado, previniendo y alertando sobre la ocurrencia de incidentes de seguridad. ¿Cuál fue el medio de evaluación de la política pública innovadora? (No más de 300 palabras) https://www.oas.org/forms/PrintResponse.aspx?SurveyID=7l03396&lngQuestionNumber=1&lngRequestedResponseID=7lL35m41L&strDisplayOptions=All

8/13

7/8/2015

Survey Results

La política pública se midió a través de un plan de acción emitido por el Departamento Nacional de Planeación, en primera medida. Por otra parte, el proyecto de inversión dedicado a la creación de esta instancia contaba con dos grupos de indicadores: unos de producto y otros de gestión. Los de producto, median la efectividad y eficiencia en la adquisición de bienes y servicios para este caso hardware, software e infraestructura, esto se medía de acuerdo con la ejecución del presupuesto y la puesta en marcha de los proyectos. Los indicadores de gestión, medían la capacidad para generar convenios de cooperación, cursos de capacitación y generación de política. Este, al igual que el anterior, se medía con la evidencia del cumplimiento de lo pactado. Si pudiera dar una opinión sobre los reusltados obtenidos a través de la Experiencia Innovadora: ¿Diría Ud. que los resultados obtenidos han sido de mayor, regular o menor impacto? Por favor, explíque (No más de 300 palabras): Los resultados son exitosos y de mayor impacto, al ser la primera política de ciberseguridad y ciberdefensa que se implementa en una institución del Estado colombiano. Sus objetivos fueron cumplidos a cabalidad ya que su alcance pretendía la creación de instituciones dedicas a la seguridad de la información, lo que se logró plenamente. Gracias a esta experiencia innovadora, hoy la Policía Nacional cuenta con grupos dedicados a la prevención, atención e investigación de incidentes y delitos informáticos. A su vez, el Estado colombiano conoce el gran impacto que genera la seguridad de la información. Además, la Policía Nacional cuenta con estadísticas que permiten estudiar el verdadero nivel de riesgo con el que cuenta la ciudadanía en el ciberespacio , datos que hace unos años no se sabía que existían y que hoy son fundamento para la generación de políticas que mitiguen este riesgo. ¿En qué medida se solucionó el problema público inicial? (No más de 300 palabras) A partir de esta iniciativa innovadora Colombia desarrolló capacidades (talento humano, doctrina, infraestructura y tecnología) que permiten afrontar las amenazas cibernéticas y los riesgos asociados, así como fortalecer las capacidades de neutralización y reacción ante incidentes o ataques informáticos que atenten contra la infraestructura crítica digital y la soberanía nacional. e. Eficiencia. Se refiere a la capacidad de la Administración Pública para ordenar sus procesos de tal forma que éstos optimicen sus recursos (financieros, humanos, etc); y a su vez, generen mayores y mejores resultados. Precise la siguiente información: Presupuesto General de toda la Entidad y Presupuesto de la Experiencia Iinnovadora postulante¿Se ejecutó todo el Presupuesto? (No más de 300 palabras) El presupuesto para la creación, puesta en marcha y consolidación del CSIRT- PONAL y CCP (Centro Cibernético Policial) se calculó en $ 2.000.000.000 millones de pesos anuales desde el 2011, por cuatro vigencias. Presupuesto que ha sido ejecutado en su totalidad. Número de personas de la Entidad y Número de las personas involucradas en la Experiencia Innovadora postulante (No más de 300 palabras) 20 funcionarios vinculados al CSIRT-PONAL, 100 en el Centro Cibernético Policial y un promotor de seguridad en cada una de las 20 unidades de policía a nivel descentralizado. Por otra parte, el CSIRT- PONAL cuenta con una base de datos de contactos de alrededor 2.000 líderes de seguridad de la información en entidades tanto públicas como privadas del Estado colombiano y algunos de América Latina como Paraguay y Peru. Si pudiera dar una opinión sobre el costo-beneficio de la aplicación de la Experiencia Innovadora, ¿diría Ud. que es positiva? (No más de 300 palabras) Es muy positiva, dado que el presupuesto asignado fue acorde con las necesidades planteadas, logrando con ello alcanzar los objetivos y metas trazadas por el mando institucional, permitiendo alcanzar adecuados procedimientos, buenas prácticas, veracidad, integridad y confiabilidad de todas sus intervenciones e investigaciones. En la actualidad, el Equipo de Respuestas a Incidentes Informáticos, CSIRT-PONAL, ha atendido https://www.oas.org/forms/PrintResponse.aspx?SurveyID=7l03396&lngQuestionNumber=1&lngRequestedResponseID=7lL35m41L&strDisplayOptions=All

9/13

7/8/2015

Survey Results

alrededor de 100 incidentes graves de seguridad de la información minimizando el impacto que hubiera podido causar en los servicios prestados por la Policía Nacional. Además, los resultados obtenidos han impactado en el buen nombre de la Institución frente a las entidades del Estado. En cuanto a las buenas prácticas, el trabajo desarrollado desplegó la cultura de la seguridad informática en la Institución con la realización de 15 análisis GAP, y análisis de vulnerabilidades de portales web tanto internos como externos de la norma ISO 27001, lo que permitió ahorrarle al Estado el valor de unos 400 millones de pesos representados en dinero que debiera invertir cada entidad en procesos preventivos de seguridad de la información. ¿Qué dificultades encontró en el proceso de implementación de la Experincia Innovadora y qué hicieron para superarlas? (No más de 300 palabras)Asimismo, precise por favor la siguiente información: - Dificultades presupuestales - Dificultades políticas - Dificultades sociales- Otras (Explicar, por favor) La primera dificultad que enfrentó el proyecto fue el cambio de mentalidad en la alta dirección ante la necesidad de invertir en el talento humano y asegurar presupuesto para la seguridad de la información, en donde los resultados no se ven manifestados en capturas sino en prevención de la ocurrencia de delitos e incidentes informáticos. Gracias a la excelente capacidad de la Oficina de Telemática al demostrar la necesidad, se logro definir la seguridad de la información como un lineamiento estratégico en la Policía Nacional. Como segundo punto, aunque en las cuatro vigencias que lleva el proyecto siempre ha tenido un presupuesto asignado, las necesidades no se han cubierto en la totalidad, lo que llevó a dividir la estrategia en fases y ha dado excelentes resultados. El tercer problema, de igual importancia que los anteriores, es el tema social. La cultura de seguridad de la información no existía en la Institución para el año 2008, este proceso luchó contra el día a día, pues implementar procesos de seguridad implica cambiar ciertas costumbres en el trabajo y no todas las veces son bien aceptadas. En la actualidad ya se cuenta con certificaciones en el Sistema de Gestión de Seguridad de la Información SGSI, pero el tema de cultura sigue siendo el reto más grande para la Institución; este será siempre el eslabón más vulnerable de la cadena. f. Complejidad del problema que soluciona. Hace alusión a la complejidad del problema y de la solución que desde la Administración Pública se puede dar. En ese sentido, son más valorados las experiencias innovadoras que tienen que ver con el manejo central de la Administración Pública, aquellas que involucran a una mayor población, aquellas están relacionadas con la administración de problemas en múltiples niveles de gobierno y mancomunidades, etc.Precise la siguiente información:¿Por qué su Experiencia Innovadora es compleja? Explíque (No más de 300 palabras):Por favor, tomar en consideración los siguientes datos:- Involucra poblaciones disímiles y grandes- Involucra distintos niveles administrativos- Escasez de Recursos- Esfuerzo adicional por concertar con diferentes actores para implementar la experiencia, ¿con quiénes fue necesario coordinar?- Contexto superlativamente hostil para el trabajo de las entidades públicas- Otros (Por favor, explíque) La creación de una política de Estado que cubriera los temas de ciberseguridad y ciberdefensa necesitó de dos años para su aprobación, teniendo en cuenta que el país no contaba con las estadísticas y el nivel de riesgo del país, por su misma incapacidad para medirlo. Por eso, cualquier iniciativa que pretendiera crear grupos dedicados a la seguridad de la información no era muy bien aceptada en las altas gerencias. La creación del CSIRT-PONAL, en lo corrido de 5 años, logró trasformar el pensamiento de las instituciones. De acuerdo con lo anterior, la implementación de la iniciativa fue en un principio compleja, puesto que se modificaron una serie de parámetros tanto jurídicos, como administrativos con el fin de que la propuesta cumpliera con los estándares exigidos por la Policía Nacional y estuviera alienado con las políticas y directrices. g. Sustentabilidad de la Experiencia Innovadora. Implica el nivel de "enraizamiento" de la Experiencia Innovadora que la haga capaz de mantenerse en el tiempo, a cambios políticos de la administración, cambios institucionales y organizativos, financiamiento, grado de compromiso de las autoridades y funcionarios(as) gubernamentales, etc.Precise la siguiente información:Tiempo de implementación de la Experiencia Innovadora (No más de 300 palabras): La implementación del CSIRT-PONAL empezó desde la vigencia 2011 y en este momento hace https://www.oas.org/forms/PrintResponse.aspx?SurveyID=7l03396&lngQuestionNumber=1&lngRequestedResponseID=7lL35m41L&strDisplayOptions=All

10/13

7/8/2015

Survey Results

parte de la estructura orgánica de la Institución, cuenta con dos procedimientos y una serie de formatos que garantizan su utilización en el tiempo. En este momento la estrategia de la Oficina de Telemática, para la vigencia 2015-2018, tiene como uno de sus pilares la seguridad de la información y la Policía Nacional tiene como uno de sus indicadores estratégicos la efectividad en la atención a incidentes informáticos y sus lecciones aprendidas, como las pruebas de resiliciencia de la plataforma tecnológica institucional. Con lo anterior, se ubica en el más alto nivel los procesos que se dedican a garantizar la confidencialidad, disponibilidad e integridad de la información y los activos críticos institucionales. Número de años con Presupuesto asegurado (precisar horizontes presupuestales de 1, 5, 10 años) (No más de 300 palabras): El presupuesto asignado para la implementación y mantenimiento del CSIRT-PONAL está desde el año 2011 hasta el 2015. En la actualidad ya fue aprobado un presupuesto para la vigencia 2016 de acuerdo con unas necesidades planteadas para el cuatrienio 2015-2018; con esto, se podría garantizar un presupuesto hasta el año 2018. Por otra parte, en este momento se encuentra en estructuración el nuevo CONPES de ciberseguridad y ciberdefensa que pretende dar al Estado capacidades para atender la problemática que en este momento se evidencia, esta sería otra posible fuente de financiación para seguir con el crecimiento del CSIRT-PONAL. Número de administraciones que la han seguido desarrollando (No más de 300 palabras): El CSIRT-PONAL ha estado vigente con los tres últimos directores de la Policía Nacional y las tres administraciones de la Oficina de Telemática, además, al ser parte de la estrategia institucional seguirá aportando al crecimiento de la Institución. Origen del Presupuesto ¿Público o Privado) (No más de 300 palabras): El origen del presupuesto ha sido público y asignado por el Estado para tal fin. Reconocimiento Legal de la Experiencia Innovadora que la haga obligatoria en el tiempo (No más de 300 palabras): Las actividades están reglamentadas y sujetas a las políticas institucionales y el Sistema de Gestión Integral de la Policía nacional. Ley 872 de 2003, por la cual se crea el Sistema de Gestión de la Calidad en la Rama Ejecutiva del Poder Público y en otras entidades prestadoras de servicios. Ley 489 de 1998, Sistema de Desarrollo Administrativo - SISTEDA. MECI 1000:2005 - Modelo Estándar de Control Interno para el Estado Colombiano. NTCGP 1000-2009: Norma Técnica de Calidad para la Gestión Pública. ISO27001-2013: Sistema de Gestión de Seguridad de la Información. ISO14001-2004: Sistema de Gestión Ambiental. Otra información que comprenda la Sustentabilidad de la Experiencia Innovadora postulada (No más de 300 palabras): Los presupuestos son asignados directamente por el Ministerio de Hacienda a la Policía Nacional, pero esto depende de la previa inscripción del proyecto de inversión ante el Departamento Nacional de Planeación, este grupo se ha encargado de definir proyectos reales con medidas https://www.oas.org/forms/PrintResponse.aspx?SurveyID=7l03396&lngQuestionNumber=1&lngRequestedResponseID=7lL35m41L&strDisplayOptions=All

11/13

7/8/2015

Survey Results

reales que le den valor al Gobierno Nacional. h. Perspectiva de Género. Implica determinar como la Experiencia Innovadora sometida a concurso impacta de forma diferenciada en hombres y mujeres, y cómo las Administraciones Públicas han adaptado sus procesos internos en la planificación, implementación, evaluación y monitoreo para atender esta realidad. Por favor, precise la siguiente información:Precise la sigueinte información:Al momento de diseñar y planificar la Experiencia Innovadora se tomço en cuenta la realidad de mujeres y hombres y se consideró que ésta podría impactarlos de forma diferenciada? (No más de 300 palabras) Sí se tomó en cuenta y siempre se pensó en capacitar y especializar al personal sin distinción de sexo, es decir, tanto hombres como mujeres que conforman el CSIRT-PONAL han sido altamente capacitados y entrenados para adelantar sus funciones y con ello alcanzar los objetivos y metas trazadas. ¿La iniciativa ha considerado un porcentaje diferencial de hombres y mujeres en su administración e implementación? De ser el caso, indique cifras, por favor (No más de 300 palabras): No se ha considerado de esa forma, puesto que lo que se busca es que tanto hombres como mujeres que tengan las capacidades suficientes para afrontar los nuevos restos que traen las tecnologías de la información y sus riesgos sean formados para tales fines en igualdad de condiciones y bajo los mismos estándares y parámetros establecidos. ¿Los cargos directivos son ocupados por hombres y mujeres?, ¿Existió algún mecanismo de selección expecífico como cuotas?. De ser el caso, por favor, indique cifras (No más de 300 palabras): Los cargos directivos son ocupados en su gran mayoría por hombres, pero esto es debido al déficit de mujeres en el entorno tecnológico de la Policía Nacional, lo que necesariamente conlleva a que dichos cargos sean ocupados por hombres, pero día a día la Institución está buscando la forma de fortalecer las capacidades de gerenciamiento tecnológico en las mujeres para que ellas ocupen este tipo de cargos. Sumado a lo anterior, los roles y responsabilidades en la Policía Nacional se definen de acuerdo a perfiles y competencias, para los cargos que hacen referencia a seguridad del a información en el ámbito directivo solicita tener posgrados en seguridad de la información y mínimo cuatro años de experiencia. ¿La Experiencia Innovadora cuenta con una Estrategia explícita/institucionalizada de acción afirmativa o discriminación positiva con los beneficiarios atendiendo las diferencias de género? Por ejemplo: servicios diferenciados, horarios especiales para madres de familia, entre otros. Explíque cuáles, por favor (No más de 300 palabras): El CSIRT-PONAL dentro de sus estrategias siempre ha tenido en cuenta el papel fundamental que juegan los miembros de su equipo sin distinguir de hombres y mujeres, pues siempre busca el bienestar de los mismo, tanto en su vida personal, familiar y en el entorno laborar, siempre propendiendo por su bienestar y el de quien los rodea. ¿La Experiencia Innovadora ha considerado un porcentaje diferencial de hombres y mujeres entre sus beneficarios? De ser el caso, indique cifras, por favor (No más de 300 palabras): El CSIRT-PONAL no ha tenido en cuenta un porcentaje diferencial entre hombres y mujeres puesto que siempre se ha partido del principio de igualdad de condiciones, habilidades y destrezas entre sus miembros. ¿A considerado la Experiencia Innovadora algún método de monitoreo y evaluación distinta para determinar cómo impacta diferencialmente a hombres y mujeres? Si es así, se cuenta con alguna estrategia adoptada para superar las dificultades? (No más de 300 palabras) Teniendo en cuenta que El CSIRT-PONAL no ha tenido en cuenta un porcentaje diferencial entre hombres y mujeres puesto que siempre se ha partido del principio de igualdad de condiciones, habilidades y destrezas entre sus miembros, en la actualidad no se cuenta con estos métodos que se mencionan.

https://www.oas.org/forms/PrintResponse.aspx?SurveyID=7l03396&lngQuestionNumber=1&lngRequestedResponseID=7lL35m41L&strDisplayOptions=All

12/13

7/8/2015

Survey Results

DECLARACIÓN DE LOS(AS) PARTICIPANTES Nombre del Representante Legal:

General Rodolfo B. Palomino López

Cargo:

Director General Policía Nacional

Teléfono:

(571) 3159200 - (571) 3159591 - (571) 3159202

E-mail:

[email protected]

Nombre de la persona de contacto:

Capitán William Muñoz Rojas

Cargo:

Jefe grupo Seguridad de la Información

Teléfono:

(571)3159090 /celular 3203043161

E-mail:

[email protected] / [email protected]/[email protected]

He leído y acepto los términos y condiciones descritos anteriormente en relación al Premio Interamericano a la Innovación para la Gestión Pública Efectiva - Edición 2015 Yes

https://www.oas.org/forms/PrintResponse.aspx?SurveyID=7l03396&lngQuestionNumber=1&lngRequestedResponseID=7lL35m41L&strDisplayOptions=All

13/13