Modelo 4 – MSPI

icon Seguridad y Privacidad de la Información en el MSPI

¿Qué es el MSPI y cómo se relaciona con la Arquitectura Empresarial?

El Modelo de Seguridad y Privacidad de la Información (MSPI) es uno de los modelos que hacen parte del Marco de Referencia de Arquitectura Empresarial (MRAE) definido por el Ministerio TIC.

Su propósito es orientar a las entidades públicas en la gestión integral de la seguridad y la privacidad de la información, asegurando que los activos de información y los servicios digitales estén protegidos frente a riesgos, y que la seguridad sea una práctica sostenible en el tiempo.

El MSPI no se limita a controles tecnológicos. Integra decisiones, roles, procesos, controles, gestión de incidentes, continuidad y formación, aplicando una lógica de mejora continua basada en el ciclo Planear–Hacer–Verificar–Actuar (PHVA).

¿Para qué sirve el MSPI?

El MSPI permite que la seguridad y la privacidad se gestionen de forma estructurada y alineada con los objetivos institucionales. En la práctica, ayuda a:

  • Proteger la información y los servicios digitales, garantizando confidencialidad, integridad y disponibilidad.
  • Gestionar riesgos de seguridad y privacidad de forma priorizada.
  • Definir responsabilidades claras en la toma de decisiones y la ejecución de controles.
  • Mejorar la respuesta ante incidentes y reducir impactos operativos.
  • Asegurar la continuidad de los servicios críticos.
  • Fortalecer la confianza de ciudadanos y usuarios en los servicios digitales.
icon MSPI

Componentes clave del MSPI

Un MSPI práctico y usable cubre, como mínimo, los siguientes componentes, de forma proporcional al riesgo y al contexto de la entidad:

Gobernanza

Gobernanza

Roles, políticas, responsabilidades e instancias de decisión en seguridad y privacidad.

Riesgos

Gestión de riesgos

Identificación, análisis, tratamiento y seguimiento de riesgos sobre los activos de información.

Controles

Controles de seguridad

Controles técnicos, administrativos y físicos, definidos según la criticidad de los riesgos.

Incidentes

Gestión de incidentes

Detección, respuesta, registro, análisis y mejora a partir de los incidentes de seguridad.

Continuidad

Continuidad

Respaldo, recuperación y resiliencia de los servicios y la información.

Proveedores

Gestión de proveedores

Requisitos de seguridad y privacidad en contratos, y seguimiento a su cumplimiento.

Privacidad

Privacidad de la información

Tratamiento adecuado de datos personales y aplicación de controles asociados.

El ciclo PHVA aplicado al MSPI

El MSPI se mantiene vivo mediante la aplicación continua del ciclo PHVA:

PHVA

Gestión basada en evidencia, control y mejora continua.

Planear
Definición

Definir políticas, alcance, roles, inventario de activos, riesgos y un plan de trabajo priorizado.

Hacer
Implementación

Implementar controles, mejorar procesos, capacitar al personal e integrar requisitos de seguridad en proyectos y operación.

Verificar
Medición

Monitorear, medir indicadores, revisar cumplimiento, realizar pruebas y auditorías.

Actuar
Mejora

Corregir desviaciones, mejorar controles, actualizar riesgos y repetir el ciclo.

Evidencias iniciales sugeridas (enfoque mínimo viable)

Para iniciar la implementación del MSPI, se recomienda comenzar con un conjunto reducido de evidencias básicas, que permitan demostrar control y avanzar de forma progresiva.

Las siguientes evidencias son referenciales y orientativas, y pueden ajustarse según el nivel de madurez y el contexto de cada entidad.

Inventario de activos de información, con responsables definidos.

Registro de riesgos de seguridad y privacidad, con un plan de tratamiento.

Políticas y procedimientos básicos, por ejemplo: control de accesos, copias de seguridad, clasificación de la información y gestión de incidentes.

Controles implementados, con evidencias de verificación (registros, pruebas, actas).

Plan de respuesta a incidentes, con roles y canales de reporte.

Plan básico de continuidad, incluyendo respaldos y pruebas de restauración.

Registro de capacitación y sensibilización en seguridad de la información.

Plan de mejora continua, basado en el ciclo PHVA.

Ruta rápida para empezar

Como referencia, se sugiere una ruta práctica para iniciar la implementación del MSPI:

1

Definir un alcance inicial (un servicio o proceso crítico).

Alcance
2

Nombrar roles mínimos de seguridad y responsables de activos.

Gobierno
3

Construir el inventario de activos e identificar información sensible.

Visibilidad
4

Elaborar un registro de riesgos priorizado.

Priorizar
5

Implementar controles básicos de alto impacto.

Controles
6

Definir y probar la respuesta a incidentes.

Incidentes
7

Medir, revisar y mejorar de forma periódica (PHVA).

PHVA
icon Arquitectura

Transformación del Proceso

Un MSPI efectivo se evidencia cuando la entidad conoce sus activos, gestiona riesgos, aplica controles, responde a incidentes y mejora de forma continua. Empezar por lo crítico, medir y ajustar, permite que la seguridad y la privacidad se conviertan en capacidades sostenibles.
icon FAQS

Preguntas frecuentes

¿El MSPI es solo para áreas de TI?
No. Aplica a toda la entidad, incluyendo procesos, personas, proveedores y activos de información.
Roles definidos, inventario de activos, registro de riesgos, controles básicos, gestión de incidentes y mejora continua.

Priorizando riesgos y aplicando controles proporcionales, con seguimiento y mejora iterativa.