RESOLUCIÓN 746 DE 2022
(marzo 11)
Diario Oficial No. 51.976 de 14 de marzo de 2022
MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES
Por la cual se fortalece el Modelo de Seguridad y Privacidad de la Información y se definen lineamientos adicionales a los establecidos en la Resolución número 500 de 2021.
LA MINISTRA DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES,
en ejercicio de sus facultades legales, en especial las que le confiere el parágrafo del artículo 16 del Decreto ley 2106 de 2019, y
CONSIDERANDO QUE:
Conforme al principio de “masificación del gobierno en línea” hoy Gobierno Digital, consagrado en el numeral 8 del artículo 2o de la Ley 1341 de 2009, las entidades públicas deberán adoptar todas las medidas necesarias para garantizar el máximo aprovechamiento de las Tecnologías de la Información y las Comunicaciones (TIC) en el desarrollo de sus funciones.
De acuerdo con el artículo 2.2.9.1.2.1 del Decreto número 1078 de 2015 (DUR-TIC), “por medio del cual se expide el Decreto Único Reglamentario del sector de Tecnologías de la Información y las Comunicaciones”, la Política de Gobierno Digital será definida por MinTIC y se desarrollará a través de componentes y habilitadores transversales que, acompañados de lineamientos y estándares, permitirán el logro de propósitos que generarán valor público en un entorno de confianza digital a partir del aprovechamiento de las TIC.
Según el numeral 2 de la citada norma, los habilitadores transversales de la Política de Gobierno Digital, son los elementos fundamentales de Seguridad y Privacidad de la Información, Arquitectura y Servicios Ciudadanos Digitales, que permiten el desarrollo de los componentes y el logro de los propósitos de dicha Política.
El parágrafo del artículo 16 del Decreto ley 2106 de 2019, “por el cual se dictan normas para simplificar, suprimir y reformar trámites, procesos y procedimientos innecesarios existentes en la administración pública” señala que las autoridades deberán disponer de una estrategia de seguridad digital, para la gestión documental electrónica y preservación de la información, siguiendo los lineamientos que emita el Ministerio de Tecnologías de la Información y las Comunicaciones.
Mediante la Resolución número 500 de 2021, el Ministerio de Tecnologías de la Información y las Comunicaciones, estableció los lineamientos y estándares para la estrategia de seguridad digital y adoptó el modelo de seguridad y privacidad de la información (MSPI) como habilitador de la política de Gobierno Digital.
El numeral 4 del artículo 147 de la Ley 1955 de 2019, “Por el cual se expide el Plan Nacional de Desarrollo 2018-2022 “Pacto por Colombia, Pacto por la Equidad””, como parte de las estrategias integrales de transformación digital para crear valor público, dispuso que las entidades estatales deben optimizar la gestión de recursos públicos en proyectos de tecnologías dando prioridad a los servicios de nube.
La pandemia global declarada con ocasión del virus COVID-19 aceleró la transformación digital de la administración pública. En virtud de lo anterior, una parte significativa de las entidades y de sus servidores públicos han adoptado mecanismos de teletrabajo y trabajo en casa. A su vez, esta dinámica ha implicado la necesidad de fortalecer capacidades que soportan los servicios tecnológicos, con características como flexibilidad, oportunidad y disponibilidad, como las ofrecidas en entornos de computación en la nube.
Algunos de los sistemas de información en la nube procesan datos personales y su tratamiento en este tipo de entornos informáticos viene en aumento, así mismo, el número de oportunidades en las que una entidad necesita cooperar con otras entidades o proveedores en relación con el tratamiento de datos personales también se ha incrementado. Por lo tanto, la gestión de la seguridad de la información en estos entornos requiere que se incorporen lineamientos adicionales a los establecidos actualmente en el Modelo de Seguridad y Privacidad de la Información (MSPI).
De acuerdo con el principio de seguridad contenido en el literal g) de artículo 4o de la Ley 1581 de 2012, en el tratamiento de la información contenida en los bancos de datos, así como aquella que resulte de las consultas que realicen los usuarios, se deben adoptar las medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad de los registros, con el fin de evitar su adulteración, pérdida, consulta o uso no autorizado.
Dentro de las actividades que las entidades públicas realizan para dar cumplimiento a las obligaciones previstas en el Modelo de Seguridad y Privacidad, puede estar la adquisición de productos y servicios de múltiples proveedores, y que estos pueden tener acceso directo o indirecto a la información y los sistemas de información de las entidades adquirientes, o proporcionar elementos (software, hardware, procesos o recursos humanos) que están involucrados en el procesamiento y tratamiento de la información. Por lo tanto, las entidades públicas, como partes adquirientes de productos y servicios, así como los proveedores pueden causar riesgos de seguridad de la información entre sí, lo que deriva en la necesidad de evaluar y tratar los riesgos mediante una gestión adecuada de la seguridad de la información y la implementación de los controles pertinentes.
Por otra parte, durante el año 2021 se atendieron en Colombia 5.834 incidentes de ciberseguridad ciudadana, acorde con lo reportado por el Centro Cibernético Policial (CCP). Asimismo, el Equipo de Respuesta a Incidentes Cibernéticos de Gobierno (CSIRT) Gobierno, registró durante el mismo período 323 incidentes a los sistemas de la administración pública.
En febrero de 2022, el Equipo de Respuesta a Incidentes Cibernéticos de los Estados Unidos (USCERT), emitió alerta (AA22-040A), que corresponde a un documento de Asesoramiento en Ciberseguridad donde alerta que las autoridades de seguridad digital de los Estados Unidos, Australia y el Reino Unido observaron un aumento en los incidentes de ransomware sofisticados y de alto impacto contra organizaciones de infraestructura crítica en todo el mundo. Dichas autoridades alertaron que las tácticas y técnicas de ransomware continuaron evolucionando en 2021, y se evidencia una creciente sofisticación tecnológica de los actores criminales y una mayor amenaza de ransomware para las organizaciones a nivel mundial.
Teniendo en cuenta la coyuntura expuesta se hace necesario fortalecer el MSPI y definir lineamientos adicionales para mitigar los riesgos de seguridad de la información en los ámbitos anteriormente señalados.
De conformidad con lo previsto en la Sección 3 del Capítulo 1 de la Resolución MinTIC número 2112 de 2020, las disposiciones de que trata la presente resolución fueron publicadas en el sitio web del Ministerio de Tecnologías de la Información y las Comunicaciones durante el período comprendido entre el 15 de febrero de 2022 y el 2 de marzo de 2022, con el fin de recibir opiniones, sugerencias o propuestas alternativas por parte de los ciudadanos y grupos de interés.
En mérito de lo expuesto,
RESUELVE:
ARTÍCULO 1o. ADICIÓN DEL NUMERAL 7 AL ARTÍCULO 5 DE LA RESOLUCIÓN MINTIC NÚMERO 500 DE 2021. Adicionar un numeral 7 al artículo 5o de la Resolución número 500 de 2021, en los siguientes términos:
“7. Contener los servicios, controles y condiciones para la protección de los datos personales de los titulares de información de modo que se asegure el cumplimiento de la Ley 1581 de 2012 y sus decretos reglamentarios o aquella que la modifique o sustituya, y las demás normas concordantes”.
ARTÍCULO 2o. ADICIÓN DE LOS NUMERALES 12 Y 13 AL ARTÍCULO 6 DE LA RESOLUCIÓN MINTIC NÚMERO 500 DE 2021. Adicionar los numerales 12 y 13 al artículo 6o de la Resolución MinTIC número 500 de 2021, en los siguientes términos:
“12. Determinar e implementar controles de protección de la privacidad en aquellos sistemas relacionados con el tratamiento de datos personales.
13. Adoptar medidas, al momento de adquirir productos y servicios de Seguridad Digital operados en entornos de nube, que garanticen el cumplimiento de lo dispuesto en la Ley Estatutaria 1581 de 2012 y sus normas reglamentarias, en particular las relativas a la transferencia internacional de datos personales.”
ARTÍCULO 3o. ADICIÓN DEL ARTÍCULO 6.1 A LA RESOLUCIÓN MINTIC NÚMERO 500 DE 2021. Adicionar el artículo 6.1 a la Resolución MinTIC número 500 de 2021, en los siguientes términos.
“Artículo 6.1 Gestión de la seguridad de la información para las relaciones con los proveedores. Los sujetos obligados deben determinar e implementar los controles para mitigar los riesgos asociados a la adquisición de productos y servicios de seguridad digital señalados en el Anexo número 2 de la presente resolución, así como cumplir con los siguientes requerimientos y características.
1. Definir claramente los roles y responsabilidades de seguridad de la información con respecto a la relación con el proveedor.
2. Propender por mantener una arquitectura de seguridad al adquirir productos o servicios de Seguridad Digital
3. Analizar los riesgos de Seguridad Digital propios de la integración de soluciones e implementar controles para su mitigación.
4. Implementar controles que permitan minimizar los riesgos asociados a la transferencia de datos generada por cambios de fabricante o proveedor.
5. Identificar la vida útil de los productos y servicios adquiridos con el fin de planificar cualquier migración o transferencia y respaldar los datos para garantizar la continuidad de la operación.
6. Optimizar la gestión de los riesgos de Seguridad Digital estableciendo estrategias soportadas en servicios de nube.
PARÁGRAFO. Los controles para mitigar los riesgos asociados a la adquisición de productos y servicios de seguridad digital señalados en el Anexo número 2, hacen parte integral de la presente resolución y serán actualizados por el MinTIC a través de las sucesivas versiones de cada uno de los documentos que lo componen y previo informe del equipo técnico. La actualización se publicará en la sede electrónica del MinTIC”.
ARTÍCULO 4o. VIGENCIA Y ADICIONES. La presente resolución rige a partir de la fecha de su publicación en el Diario Oficial, y adiciona un numeral 7 al artículo 5o los numerales 12 y 13 al artículo 6o y el artículo 6.1 a la Resolución número 500 de 2019.
Publíquese y cúmplase.
Dada en Bogotá, D. C., a 11 de marzo de 2022.
La Ministra de Tecnologías de la Información y las Comunicaciones,
Carmen Ligia Valderrama Rojas.
RELACIÓN CON PROVEEDORES DE SEGURIDAD DIGITAL.
<Consultar anexo directamente en el siguiente link:
http://168.61.69.177/documentospdf/PDF/R_MTIC_0746_2022-ANEXO.pdf