RESOLUCIÓN ORGANIZACIONAL OGZ-0817-2022 DE 2022

(diciembre 9)

Diario Oficial No. 52.246 de 12 de diciembre de 2022

CONTRALORÍA GENERAL DE LA REPÚBLICA

Por la cual se establece el alcance del Sistema de gestión de seguridad y reglamenta el Gobierno de Seguridad de la Información y el rol de Oficial de Seguridad de la Información de la CGR-CISO, y se dictan otras disposiciones.

EL CONTRALOR GENERAL DE LA REPÚBLICA,

en ejercicio de sus facultades constitucionales y legales, en especial las conferidas por el artículo 35, numerales 2 y 4, del Decreto 267 de 2000, y

CONSIDERANDO:

Que el numeral 2 del artículo 35 del Decreto 267 de 2000 faculta al Contralor General de la República para adoptar las políticas, planes, programas y estrategias necesarias para el adecuado manejo administrativo de la Contraloría General de la República, y en el numeral 4 de la misma norma le asigna la función de dirigir como autoridad superior las labores administrativas de las diferentes dependencias de la Entidad, de acuerdo con la ley.

Que el artículo 128 de la Ley 1474 de 2011 creó la Unidad de Seguridad y Aseguramiento Tecnológico e Informático de la Contraloría General de la República con la finalidad de prestar apoyo profesional y técnico para la formulación y ejecución de las políticas y programas de seguridad de los servidores públicos, de los bienes y de la información de la Entidad; llevar el inventario y garantizar el uso adecuado y mantenimiento de los equipos de seguridad adquiridos o administrados por la Contraloría; promover la celebración de convenios con entidades u organismos nacionales e internacionales para garantizar la protección de las personas, custodia de los bienes y la confidencialidad e integridad de los datos manejados por la institución.

Que el funcionamiento interno de la Unidad de Seguridad y Aseguramiento Tecnológico e Informático y de sus direcciones fue reglamentado por la Resolución Reglamentaria 205 de 2012.

Que la Contraloría General de la República se propuso en el Plan Estratégico 2018- 2022 “Una Contraloría para todos”, en el Objetivo Estratégico 1, satisfacer la necesidad de “fortalecer la gobernanza interna a través de las interacciones y acuerdos entre el control fiscal macro y micro en el nivel central y regional, para hacer más efectivo el control fiscal, la vigilancia y control del recurso público”, a través de estrategias como las de “optimizar el uso de la información macroeconómica, sectorial y micro para dar contexto al control fiscal micro y macro”, de cuya ejecución se espera obtener como productos una “herramienta tecnológica única como repositorio y gestor de información, que permita capturar, organizar y tabular información micro y macro para la toma de decisión” oportuna e “implementar el gobierno de datos y datos abiertos en la CGR”. Que, en el Objetivo Estratégico 2, en procura de “vigilar la gestión fiscal con un control efectivo y articulado entre los macroprocesos misionales”, se propone “emitir alertas tempranas sobre la gestión fiscal con base en el análisis de la información que genera el centro de control y monitoreo del recurso público” (hoy Dirección de Información, Análisis y Reacción Inmediata - DIARI). Por su parte, en el Objetivo Estratégico 5, se propone “habilitar las capacidades y servicios tecnológicos para impulsar la transformación digital de la entidad por medio de la práctica de arquitectura empresarial”, lo cual se pretende obtener con la estrategia de “implementar soluciones tecnológicas que permitan la interoperabilidad, el intercambio de información en tiempo real y de forma segura, en toda la organización y con sus socios estratégicos”; al tiempo que se busca “integrar los diferentes sistemas de información para facilitar la optimización de los procesos, la adaptación de los cambios y el suministro de información de manera oportuna”.

Que, mediante la Resolución Organizacional OGZ-0531 de 2016 se creó el Sistema de Gestión de Seguridad y el Comité de Seguridad de la Contraloría General de la República, se adopta la Política General de Seguridad, la Política de Seguridad y Privacidad de la Información, la Política de Tratamiento de Datos Personales y se dictan otras disposiciones.

Que, el Jefe de la Unidad de Seguridad y Aseguramiento Tecnológico e Informático (USATI) colidera el macroproceso Gestión del Riesgo, Seguridad y Continuidad del Negocio (RSC), que tiene por objetivo gestionar riesgos, seguridad de personas, bienes e información, crisis, continuidad y emergencias, para reducir la exposición o vulnerabilidad de la Entidad frente a los eventos que puedan afectar el logro de sus objetivos; así mismo, dicha Unidad tiene a su cargo el Sistema de Gestión de Seguridad, creado por la Resolución Organizacional OGZ 0531-2016, que entre otros, tiene por objeto la generación e implementación de las políticas relativas a la seguridad de personas, bienes e información.

Que, mediante la Resolución Organizacional OGZ-0811 de 2022 se modifica la Resolución Organizacional 0531 de 2016, en lo relativo a la definición del Sistema de Gestión de Seguridad y la adopción de las Políticas de Seguridad de Personas, Bienes e Información, y la Política de Tratamiento de Datos Personales.

Que mediante la resolución Organizacional OGZ-0811 de 2022, en el Parágrafo del artículo 1o, se establece que la dirección y coordinación de la implementación del Sistema de Gestión de Seguridad estará a cargo de la Unidad de Seguridad y Aseguramiento Tecnológico e Informático.

Que el 29 de junio de 2022 el Comité de Seguridad, según constan en acta número 17, tomó decisiones respecto a la definición del rol de Oficial de Seguridad de la Información de la CGRCISO (Chief Information Security Officer), y su enlace con las diferentes dependencias de la Entidad, el cual debe actuar bajo una estructura general y centralizada, como mecanismo para establecer el modelo de Gobierno de Seguridad de la CGR y tendrá responsabilidad respecto a la Seguridad de la Información de todas las dependencias, con base en los lineamientos del Sistema de Gestión de Seguridad de la CGR.

En mérito de lo expuesto,

RESUELVE:

ARTÍCULO 1o. OBJETO. Adoptar lo relacionado con el Gobierno de Seguridad de la CGR aprobado en el Comité de Seguridad llevado a cabo el 29 de junio de 2022, según consta en el Acta número 17, el cual se fundamenta en la norma técnica internacional ISO 270001:2013 Seguridad de la Información; y se define la estructura bajo la cual se implementará dicho Gobierno en la CGR.

ARTÍCULO 2o. ÁMBITO DE APLICACIÓN. Bajo el marco del Gobierno de Seguridad, las dependencias podrán realizar el proceso de certificación en seguridad de la información, con sujeción al Sistema de Gestión de Seguridad SGS de la CGR. Para la primera fase, el alcance de la certificación será liderado por la Dirección de Información, Análisis y Reacción Inmediata (DIARI), en coordinación con la Unidad de Seguridad y Aseguramiento Tecnológico e Informático (USATI) y con la Oficina de Sistemas e Informática (OSEI), con el apoyo de la Oficina de Planeación, en lo relacionado con documentación susceptible de publicación en el aplicativo SIGECI, y demás dependencias ejecutoras de los procesos por certificar. Las siguientes fases serán lideradas por la Unidad de Seguridad y Aseguramiento Tecnológico e Informático USATI. Así mismo, el alcance de la certificación de los procesos de la CGR, estará de acuerdo con el marco normativo y documental publicado en el SIGECI aplicable a todos los procesos de la Entidad y, en general, a la normatividad que regule el Gobierno de Seguridad de la CGR.

El SGS comprende los procesos de la entidad y para su primera fase se aplicará la certificación bajo la norma técnica internacional ISO/IEC 27001, cuyo alcance es la “Recepción, almacenamiento, procesamiento, transmisión y disposición final de los datos e información, en la operación de los procesos de Gestión de Información y Análisis de Información, de la Contraloría General de la República. Sede Nivel Central en la Ciudad de Bogotá, D. C.”, de acuerdo con la declaración de Aplicabilidad vigente al momento de la certificación.

ARTÍCULO 3o. ESTÁNDARES NACIONALES E INTERNACIONALES. La CGR podrá adoptar modelos, estándares, normas y buenas prácticas nacionales e internacionales, con relación a la gestión, administración y certificación de la Entidad en cuanto a la seguridad de personas, bienes e información de la CGR, en concordancia con las normativas vigentes, con sujeción al SGS y las disposiciones establecidas en esta resolución.

ARTÍCULO 4o. ROLES Y RESPONSABILIDADES DEL GOBIERNO DE SEGURIDAD FRENTE A LA CGR. <Artículo subrogado por el artículo 1 de la Resolución OGZ-0857-2023 de 2024. El nuevo texto es el siguiente:> Para el establecimiento del Modelo de Gobierno de Seguridad de la CGR se definirán los siguientes roles:

- OFICIAL DE SEGURIDAD DE LA INFORMACIÓN CGR - CISO, Chief Information Security Officer, por sus siglas en inglés:

Este rol lo desempeñará el Jefe de la Unidad de Seguridad y Aseguramiento Tecnológico e Informático, quien podrá asignar funciones propias de dicho rol a un funcionario del nivel profesional de la Usati, cuyas responsabilidades generales serán:

i. Liderar la implementación del Gobierno de Seguridad, políticas y estrategias, conforme a las instrucciones que imparta el Comité de Seguridad de la CGR a partir de las recomendaciones de la Mesa Técnica de seguridad.

ii. Ejercer como el responsable estratégico de la seguridad de la información en las diferentes dependencias de la CGR en los niveles central y desconcentrado.

iii. Implementar en todos los procesos institucionales las políticas y estrategias de seguridad, en coordinación con los gestores de seguridad de la información de las diferentes dependencias, Information Security Manager - Responsable de Seguridad de la Información, así:

- Information Security Manager de la DIARI, responsable de Seguridad de la Información de la DIARI, para lo relacionado con seguridad de la información para el macroproceso GIA, en sus procesos de Gestión de Información y Análisis de Información.

- Information Security Manager de la OSEI, para lo relacionado con seguridad informática y ciberseguridad de la CGR.

ARTÍCULO 5o. VIGENCIA. La presente resolución rige a partir de la fecha de su publicación y divulgación y deroga las demás normas o disposiciones institucionales que le sean contrarias.

Comuníquese, publíquese y cúmplase.

Dada en Bogotá, D. C., a 9 de diciembre de 2022.

El Contralor General de la República,

Carlos Hernán Rodríguez Becerra