Modelo 4 – MSPI

icon Modelo de Seguridad y Privacidad de la Información (MSPI)

¿Qué es el MSPI?

El Modelo de Seguridad y Privacidad de la Información (MSPI), establece los lineamientos para que las entidades públicas implementen buenas prácticas de seguridad y privacidad de la información, tomando como referente estándares internacionales.

Este modelo cubre componentes, como las personas, procesos, información, infraestructura tecnológica, servicios digitales y proveedores y/o terceros que tratan información de las entidades.

¿Para qué sirve el MSPI?

  • Para preservar la confidencialidad, integridad y disponibilidad de la información y los servicios.
  • Identificar y gestionar riesgos de los activos de información.
  • Establecer roles, responsabilidades y mecanismos de coordinación institucional.
  • Prevenir, detectar, responder y aprender de incidentes de seguridad.
  • Contar con planes para la continuidad de los servicios críticos y la resiliencia operativa.
  • Fortalecer la confianza ciudadana.

Alcance

Resolución 500 de 2022 “Por la cual se establecen los lineamientos y estándares para la estrategia de seguridad digital y se adopta el modelo de seguridad y privacidad como habilitador de la política de Gobierno Digital”

Artículo 2. Ámbito de aplicación. Serán sujetos obligados de la presente resolución los señalados en el artículo 2.2.9.1.1.2. del Decreto 1078 de 2015 (DUR-TIC), "Por medio del cual se expide el Decreto Único Reglamentario del sector de Tecnologías de la Información y las Comunicaciones"

Enfoque del modelo: mejora continua (PHVA)

El Modelo de Seguridad y Privacidad de la Información (MSPI) se implementa y mantiene mediante el ciclo PHVA (Planificar, Hacer, Verificar, Actuar), conocido como círculo de Deming, es un método iterativo de cuatro pasos enfocado en la mejora continua de procesos, productos o servicios.

PHVA

Gestión basada en evidencia, control y mejora continua.

Planear
Definición

Se definen objetivos de seguridad y privacidad de la información y de seguridad digital, según el contexto y la valoración de riesgos.

Hacer
Implementación

Se implementan controles de seguridad digital para proteger activos digitales e infraestructura tecnológica al mitigar riesgos.

Verificar
Medición

Se evalúa la efectividad de controles de seguridad de la información y seguridad digital mediante auditorías e indicadores.

Actuar
Mejora

Se identifican desviaciones y se toman acciones correctivas y preventivas para fortalecer la seguridad y privacidad de la información y la seguridad digital.

Etapas del modelo (5 fases)

El Modelo de Seguridad y Privacidad de la Información (MSPI) está estructurado en cinco (5) fases que permiten a las entidades gestionar y mantener de forma adecuada la seguridad y privacidad de sus activos de información. Estas fases se desarrollan de la siguiente manera:

1

Diagnóstico (Análisis GAP)

Diagnóstico

Identifica el estado actual y las brechas frente al MSPI. Define la línea base para planificar y medir avances. Ver aquí

2

Planificación

Estrategia

Establece objetivos, estrategias y priorización. Incluye identificación, valoración y tratamiento de riesgos. Ver lineamientos

3

Operación

Ejecución

Identificación de activos, riesgos e implementación de controles definidos para reducir la probabilidad y el impacto de los riesgos.

4

Evaluación de desempeño

Seguimiento

Verifica la efectividad mediante auditorías, revisiones e indicadores. Identifica avances y oportunidades de mejora.

5

Mejoramiento continuo

Optimización

Corrige desviaciones y fortalece progresivamente el sistema mediante acciones correctivas y preventivas.

Estructura del modelo

El MSPI se organiza en tres componentes para una implementación ordenada y verificable: Lineamientos, Instrumentos y Formatos.

7.1 Lineamientos

01. Documento Maestro MSPI Abrir documento 02. Roles y Responsabilidades Abrir documento 03. Indicadores de Gestión de Seguridad de la Información Abrir documento 04. Inventario y Clasificación de Activos de Información e Infraestructura Crítica Cibernética Nacional Abrir documento 05. Modelo Nacional de Gestión de Riesgo de Seguridad de la Información en Entidades Públicas Abrir documento 06. Relación con Proveedores de Tecnologías de la Información y las Comunicaciones Abrir documento 07. Seguridad de la información para el uso de servicios en la nube Abrir documento 08. Identificación de las infraestructuras críticas cibernéticas Abrir enlace

7.2 Formatos

1. Política general de seguridad Abrir documento 2. Manual de políticas del MSPI Abrir documento 3. Plan estratégico de seguridad Abrir documento

7.3 Instrumentos

1. Autodiagnóstico MSPI Abrir hoja de cálculo 2. Activos de Información MSPI Abrir hoja de cálculo 3. Riesgos de seguridad de la información MSPI Abrir hoja de cálculo 4. Servicios Nube MSPI Abrir hoja de cálculo