Caso de Objeto de Estudio de la Estrategia de Ciberseguridad en Colombia.

La aplicación está enfocada a completar la siguiente matriz, en la cual se deben identificar

los principios, dimensiones, objetivos y estrategias propios del CONPES 3854.
Se busca resolver los siguientes interrogantes:
1. ¿Cuáles son los principios fundamentales del CONPES 3854? Dar ejemplo.

• Salvaguardar derechos humanos y valores fundamentales de los ciudadanos

incluyendo la libertad de expresión y libre flujo de información. Ejemplo: Sabemos que
como ciudadanos, la Constitución nos da el derecho a la liberta de expresión y a su vez el
derecho a expresarnos libremente por medio de cualquier medio informativo o de
comunicación, en este sentido uno de los principios fundamentales de la Política Nacional
a través del CONPES 3854 es salvaguardar este derecho que tenemos como ciudadanos
en que por ejemplo no sean violados nuestros datos personales o cualquier información de
importancia que sea colocada en el entorno digital, que sea utilizada por intrusos la
información suministrada por los ciudadanos para otros intereses donde se pone en riesgo
la seguridad en cuanto a su prosperidad económica y social.

• Adoptar un Enfoque incluyente y colaborativo involucrando las Múltiples Partes

Interesadas Ejemplo: Considerando las Múltiples Partes Interesadas, la Política Nacional
de Seguridad Digital busca el involucramiento y comunicación efectiva y eficaz entre las
partes como ejemplo de este principio podemos mencionar la creación de entes como el
Grupo de respuesta a emergencias cibernéticas de Colombia (colCERT) del Ministerio de
Defensa Nacional, el Comando Conjunto Cibernético (CCOC) del Comando General de las
Fuerzas Militares de Colombia, el Centro Cibernético Policial (CCP) de la Policía Nacional
de Colombia, el Equipo de respuesta a incidentes de seguridad informática de la Policía
Nacional (CSIRT PONAL) que unen esfuerzos mancomunados para trabajar
coordinadamente y en forma colaborativa y cooperativa entre si con la finalidad de
garantizar la ciberdefensa y ciberseguridad de la nación en el entorno digital.

Importante resaltar que la visión de la Política Nacional en la CONPES 3854, es ampliar el

espectro de las múltiples partes interesadas, partiendo del Gobierno por Coordinador
Nacional, incluyendo los diferentes ministerios que toman una actuación importante, más
los organismos antes mencionados involucrando además a la sociedad civil, organizaciones
públicas y privadas y la academia entre otros.
• Asegurar una Responsabilidad compartida Ejemplo: Cuando se habla de
Responsabilidad Compartida es que la Política Nacional establece una serie de roles,
actividades y responsabilidades que deben de cumplir las Múltiples Partes Interesadas para
el cumplimiento cabal de los lineamientos estratégicos y operacionales para dar
cumplimiento y garantizar el Objetivo General de la misma, siendo dichas responsabilidades
y roles compartidos, podemos ilustrarlo de la siguiente manera, entre las acciones que debe
contemplar el MINEDUCACIÓN a nivel Macro es la de garantizar los recursos para que las
Academias puedan establecer un Plan Educativo y de Capacitación en materia de
Seguridad Digital basada en un Enfoque de Gestión de Riesgos en sus diferentes niveles
para poder lograr que la Sociedad Civil y el Sector Privado puedan adquirir el conocimiento
y la capacitación adecuada. Como se puede observar las Múltiples Partes Interesada
nombradas en el ejemplo poseen responsabilidades compartidas ya que una depende de
la otra para poder lograr el objetivo.

• Adoptar un Enfoque basado en gestión de riesgos. Ejemplo: la CONPES 3854

establece el enfoque de gestión de riesgos de Seguridad Digital el mismo lo podemos
ilustrar con el siguiente ejemplo tomado de la empresa FireEye Security Reimagined;
donde teniendo en cuenta que las estrategias para alcanzar el objetivo principal de la
Política Nacional son: las de Fortalecer las capacidades de las múltiples partes interesadas,
para:
• Identificar
• Gestionar
• Tratar
• Mitigar
Los riesgos de seguridad digital en sus actividades socioeconómicas en el entorno digital,
contemplando las siguientes actividades

Igualmente, la Gestión cíclica del Riesgo de Seguridad Digital inicia con la definición de un
objetivo o el diseño de una actividad, luego, en la etapa conocida como gestión del riesgo,
se evalúa cuál es el nivel de riesgo de dicha actividad determinando todos los resultados
posibles de asumirlo sobre los objetivos sociales y económicos. Posteriormente, en la etapa
de tratamiento del riesgo, se determina cómo debería ser modificado el mismo, con el fin
de aumentar la probabilidad de éxito de la actividad y preservar los objetivos definidos,
decidiendo si el riesgo debe ser tomado, reducido, transferido o evitado. Si se decide
reducirlo, se pueden seleccionar y aplicar medidas de seguridad, se puede considerar la
innovación, o las medidas de preparación para su tratamiento.
2. ¿Cuántas dimensiones estrategias tiene le CONPES 3854?

DE1- Gobernanza de la Seguridad Digital. (liderazgo centrado en el Gobierno Nacional).

DE2- Marco Legal y regulatorio de la Seguridad Digital.
DE3- Gestión Sistemática y cíclica de Riesgo de Seguridad Digital
DE4- Cultura Ciudadana para la Seguridad Digital.
DE5- Capacidades para la Gestión de Riesgos de Seguridad Digital.

3. ¿Cuáles son los objetivos específicos? Enumerar y dar ejemplo de cada uno
1.- Establecer un marco institucional claro para la seguridad digital, basada en la
gestión de riesgos. Ejemplo de ello es la estructura prevista que comprende la creación
de Instancias y fortalecimiento de las existentes, con sus respectivos enlaces
intersectoriales como responsables de determinadas funciones para el logro del Objetivo
General de la Política Nacional, tomando en cuenta el Enfoque del Modelo Gestión de
Riesgos; considerando una Coordinación Nacional de Seguridad Digital como por ejemplo
y fortaleciendo al Grupo de respuesta a emergencias cibernéticas de Colombia (colCERT)
para la gestión de incidentes digitales.
2.- Crear las condiciones para gestionar el riesgo de seguridad digital y se genere
confianza en el uso del entorno digital. Se consideran como ejemplo para crear las
condiciones, las siguientes actividades: El establecimiento de la Agenda Nacional de
Seguridad Digital, la actualización del marco regulatorio del sector, analizar y evaluar los
impactos negativos generados por incidentes digitales, la creación de campañas de
concientización y socialización sobre el uso del entorno digital, Crear contenidos educativos
complementarios relacionados con la gestión de riesgos de seguridad digital, y capacitar a
los estudiantes de educación básica y media, y los estudiantes de educación superior a
través de Portales Educativos.
3.- Fortalecer la seguridad de los individuos y del Estado en el entorno digital, con
enfoque de gestión de riesgos. Ejemplo de ello es la creación del plan de fortalecimiento
de las capacidades operativas, administrativas, humanas, científicas, de infraestructura
física y tecnológica del CCP y de los organismos de Inteligencia del Estado, la creación de
campañas de concientización y socialización sobre cibercrimen y ciberdelincuencia, Crear
contenidos educativos especializados a funcionarios cuya responsabilidad es la de
garantizar la Seguridad del País.
4.- Fortalecer la defensa y soberanía nacional en el entorno digital, con enfoque de
gestión de riesgos. Como ejemplo el plan de fortalecimiento de las capacidades
operativas, administrativas, humanas, científicas, de infraestructura física y tecnológica del
CCOC y de las Unidades Cibernéticas de las diferentes Fuerzas, Catálogo y Plan de
Protección de infraestructuras críticas cibernéticas nacionales y creación de CSIRT
sectoriales, entre otras.
5.-Generar los mecanismos permanentes para impulsar la cooperación, colaboración
y asistencia en seguridad digital. Ejemplo el establecimiento de una Agenda Estratégica
de cooperación, colaboración y asistencia en el ámbito nacional e internacional
implementando jornadas de intercambio y transferencia del conocimiento a las múltiples
partes interesadas

4. ¿Explique tres leyes que están orientadas a la Ciberseguridad en Colombia?

Ley 1273 de 2009 (Delitos Cibernéticos)
Es la Ley por medio de la cual se modifica el código penal se crea un bien jurídico tutelado
denominado de la protección de la información y de los datos y se preservan integralmente
los sistemas que utilicen las TIC. (referida a considerarse penalizado la persona o intruso
que infrinja en el uso de la información y datos sin la debida autorización considerándose
como un delito cibernético)
Ley 1581 de 2012 (Habeas Data)
Es la Ley que dicta las disposiciones generales para la protección de datos. Esta ley busca
proteger los datos personales registrados en cualquier base de datos que permite realizar
operaciones, tales como recolección, almacenamiento, uso, circulación o supresión por
parte de entidades de naturaleza pública y privada, sin embargo, a los datos financieros se
les continúa aplicando la Ley 1266 de 2008, excepto los principios.
Ley 1336 de 2009 (Explotación, pornografía y el turismo sexual con niños)
A través de esta ley se adiciona y robustece la Ley 679 de 2001, de lucha contra la
explotación, la pornografía y el turismo sexual con niños, niñas y adolescentes. Esta ley
establece dos medidas para contrarrestar la explotación sexual y la pornografía infantil que
se relacionan tangencialmente con las TIC, en primer lugar establece en el artículo 4
(autorregulación de café internet (cibercafé) códigos de conducta) que todo establecimiento
abierto al público que preste servicios de internet o de café internet (cibercafé) deberá
colocar en un lugar visible un reglamento de uso público adecuado de la red, y deberá
indicar que la violación a este genera la suspensión del servicio al usuario.

5. ¿Qué conclusiones adicionales puede aportar respecto al laboratorio realizado?

1. La CONPES 3854 se diferencia de la CONPES 3701 en que establece los

lineamientos de seguridad digital basado en un enfoque de sistema de gestión de
riesgos considerando un amplio espectro en cuanto a las múltiples partes
interesadas que interactúan desde el punto de vista del beneficio económico y
social. A diferencia de la 3701 enfocada a delitos cibernéticos de Seguridad y
Defensa de la Nación.
2. Busca que todos los organismos o instituciones publicas o privadas formen parte de
esta política y tomen conciencia de los riesgos existentes en el entorno digital,
buscando la participación activa en defensa de la seguridad digital en el sector
económico y social.
3. Con la implementación de dicha política a partir del año 2020 se busca erradicar los
índices actuales de incidentes cibernéticos, garantizar la seguridad de
infraestructuras críticas, implementando modelos de sistemas de gestión de riesgos
de seguridad digital donde los mismos sea detectados, analizados, tratados y
mitigados.
4. La política busca unificar campañas de sensibilización, socialización y capacitación
a nivel nacional e interinstitucional sobre conceptos de ciberseguridad, seguridad
digital y la importancia del uso de la TIC en el entorno digital y los riesgos existentes.
5. El Departamento Nacional de Planificación estableció para seguimiento y control de
la estrategia a seguir en el desarrollo del Plan Nacional de Seguridad Digital, un
Documento denominado PAS (Plan de Acción y Seguimiento) el cual concatena el
Objetivo general de la Política con los Principios fundamentales, dimensiones
estratégicas, Objetivos específicos, estrategias y acciones a ejecutar con sus
respectiva asignación de responsables y recursos correspondientes, indicando
grado de importancia, tiempos de ejecución y medición de indicadores de gestión
(KPI).
6. Se estima que la inversión total del desarrollo e implementación del Plan Nacional
de Seguridad Digital es de promedio de unos 85 millones de pesos.
7. Por último, se busca generar confianza en los usuarios de las TIC en el entorno
digital con la finalidad de incrementar la prosperidad económica y social de la nación
de forma segura, constante y permanente.