(Febrero 13)

Derogada por el art. 8, Resolución Contraloría Distrital 070 de 2015.

"Por medio de la cual se crea el Comité Técnico de Seguridad de la Información – CTSI- de la Contraloría de Bogotá D.C.".

EL CONTRALOR DE BOGOTÁ, D.C.

En ejercicio de sus atribuciones constitucionales, legales y reglamentarias, en especial las conferidas en los artículos 267, 268 y 272 de la Constitución Política de Colombia, la Ley 42 de 1993, el Decreto Ley 1421 de 1993 y el Acuerdo 361 de 2009 y,

CONSIDERANDO:

Que de conformidad con lo establecido en el artículo 209 de la Constitución Política de Colombia: "La función administrativa está al servicio de los intereses generales y se desarrolla con fundamento en los principios de igualdad, moralidad, eficacia, economía, celeridad, imparcialidad y publicidad, mediante la descentralización, la delegación y la desconcentración de funciones..."

Que el artículo 4 de la Ley 594 de 2000, establece: "Artículo 4°. Principios Generales… d) Responsabilidad: Los servidores públicos son responsables de la organización, conservación, uso y manejo de los documentos… f) administración y acceso: Es una obligación del Estado la administración de los archivos públicos y un derecho de los ciudadanos el acceso a los mismos, salvo las excepciones que establezca la ley… h) La modernización: El Estado propugnará por el fortalecimiento de la infraestructura y la organización de sus sistemas de información, estableciendo programas eficientes y actualizados de administración de documentos y archivos".

Que por su parte, el Artículo 19 de la Ley 564 de 2000, indica: "…Las entidades del Estado podrán incorporar tecnologías de avanzada en la administración y conservación de sus archivos, empleando cualquier medio técnico, electrónico, informático, óptico o telemático, siempre y cuando cumplan con los siguientes requisitos: a) Organización archivística de los documentos; b) Realización de estudios técnicos para la adecuada decisión, teniendo en cuenta aspectos como la conservación física, las condiciones ambientales y operacionales, la seguridad, perdurabilidad y reproducción de la información contenida en estos soportes, así como el funcionamiento razonable del sistema".

Que asimismo, el artículo 21 de la Ley 564 de 2000, prescribe: "…Las entidades públicas deberán elaborar programas de gestión de documentos, pudiendo contemplar el uso de nuevas tecnologías y soportes, en cuya aplicación deberán observarse los principios y procesos archivísticos. En consonancia con esta disposición, el artículo 46 sobre conservación de documentos, afirma: "…Los archivos de la Administración Pública deberán implementar un sistema integrado de conservación en cada una de las fases del ciclo vital de los documentos."

Que la Ley 87 de 1993 "Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones", dispuso en su artículo 6 "El establecimiento y desarrollo del Sistema de Control Interno en los organismos y entidades públicas, será responsabilidad del representante legal o máximo directivo correspondiente. No obstante, la aplicación de los métodos y procedimientos al igual que la calidad, eficiencia y eficacia del Control Interno, también será responsabilidad de los jefes de cada de las distintas dependencias de las entidades y organismos".

Que el Decreto 1599 de 2005 "Por el cual se adopta el Modelo Estándar de Control Interno para el Estado Colombiano", en su artículo 1 señala: "Adoptase el Modelo Estándar de Control Interno para el estado colombiano MECI 1000:2005 el cual determina las generalidades y la estructura necesaria para establecer, documentar, implementar y mantener el Sistema de Control Interno en las entidades y agentes obligados conforme en el artículo 5 de la Ley 783 de 1993".

Que el artículo 1 del Decreto 4485 de 2009, dispuso: "Adoptase la actualización de la Norma Técnica de Calidad en la Gestión Pública NTCGP 1000 Versión 2009, la cual establece las generalidades y los requisitos mínimos para establecer, documentar, implementar y mantener un Sistema de Gestión de la Calidad en los organismos, entidades y agentes obligados conforme al artículo 20 de la Ley 872 de 2003".

Que el Decreto 680 de 2001, expedido por el Alcalde Mayor de Bogotá, dispone en el artículo 1 que "La Comisión Distrital de Sistemas -CDS- será el organismo rector de las políticas y estrategias que a nivel de tecnología informática y de comunicaciones se adopten en todas las entidades del Distrito Capital y el asesor técnico de la Administración Distrital en dichas materias".

Que asimismo, el artículo 3 del Decreto 680 de 2001, establece entre las funciones a cargo de La Comisión Distrital de Sistemas –CDS, las siguientes: "… a) Crear y liderar mecanismos de difusión e intercambio de conocimientos y experiencias en materia informática y de comunicaciones entre las entidades del Distrito Capital… b) Dar lineamientos en la armonización de políticas y estrategias informáticas y de comunicaciones entre la administración distrital y otras instancias territoriales, nacionales e internacionales… a) Establecer políticas y estándares para lograr el desarrollo armónico y coordinado de la informática y las comunicaciones de las entidades del Distrito Capital y verificar su cumplimiento… a) Asesorar técnicamente, cuando lo considere necesario, la planeación, ejecución y el seguimiento de proyectos o componentes de proyectos informáticos y de comunicaciones de las entidades distritales".

Que el Acuerdo Distrital 57 de 2002 del Concejo de Bogotá "Por el cual se dictan disposiciones generales para la implementación del Sistema Distrital de Información -SDI-, se organiza la Comisión Distrital de Sistemas, y se dictan otras disposiciones", en el artículo 2 define el objeto del Sistema Distrital de Información -SDI- en los siguientes términos: "El Sistema Distrital de Información -SDI-, tiene por objeto facilitar el control político por parte del Concejo Distrital y contribuir a la consolidación de una cultura real de participación ciudadana en la administración de lo público, mediante el suministro de información, estructurada, clara, confiable, oportuna, suficiente y de fácil consecución a la ciudadanía que en general se encuentre interesada en realizar acciones de veeduría y control social sobre el quehacer de las Entidades Distritales. Así mismo, el SDI se establece como herramienta fundamental para facilitar a la Administración Distrital el ejercicio de su función de una manera efectiva y ágil en vía de la consolidación de un Gobierno Electrónico".

Que a su vez, el artículo 5 del Acuerdo Distrital 57 de 2002 del Concejo de Bogotá, determinó que la Comisión Distrital de Sistemas (CDS) es el organismo rector de las políticas y estrategias que a nivel de Tecnología de la información y de las comunicaciones, adopten las entidades del Distrito Capital, así como la Contraloría Distrital que podrá hacer parte del Sistema Distrital de Información -SDI-.

Que el Decreto 296 de 2008, expedido por el alcalde Mayor de Bogotá, Distrito Capital, "Por el cual se le asignan las funciones relacionadas con el Comité de Gobierno en Línea a la Comisión Distrital de Sistemas y se dictan otras disposiciones en la materia", respecto de la competencia de la Comisión Distrital de Sistemas –CDS, señaló: "Para todos los efectos, corresponde a la Comisión Distrital de Sistemas –CDS-, en cumplimiento de los artículos 5º y 7º del Acuerdo Distrital 57 de 2002, desarrollar las funciones previstas y asumir las responsabilidades establecidas en el Manual para la Implementación de la Estrategia de Gobierno en Línea de la República de Colombia, expedido por el Ministerio de Comunicaciones…"

Que el artículo 5 del Decreto 296 de 2008, enuncia sobre las funciones de la Comisión Distrital de Sistemas: "…Serán funciones de la Comisión respecto a la estrategia de Gobierno en Línea las previstas en el Decreto Nacional 1151 de 2008 y las establecidas en el Manual para la Implementación de la Estrategia de Gobierno en Línea de la República de Colombia, expedido por el Ministerio de Comunicaciones en mayo de 2008".

Que el Decreto 1151 de 2008, expedido por el Gobierno Nacional, establece los lineamientos generales de la estrategia de Gobierno en Línea de la República de Colombia, señala como objetivo de la Estrategia contribuir con la construcción de un Estado más eficiente, más transparente y participativo, y que preste mejores servicios a los ciudadanos y a las empresas, a través del aprovechamiento de las Tecnologías de la Información y la Comunicación.

Que el artículo 21 de la Resolución 305 de 2008, de la Comisión Distrital de Sistemas, establece "Comités de Seguridad de la Información (CSI). Las entidades, organismos y órganos de control del Distrito Capital dispondrán lo necesario para la creación del Comité de Seguridad de la Información (CSI) o una instancia semejante, que deben validar las Políticas de Seguridad de la Información, así como de los procesos, procedimientos y metodologías específicas de seguridad de la información para el adecuado uso y administración de los recursos informáticos y físicos, asignados a los servidores públicos de cada ente público. PARÁGRAFO. El Comité de Seguridad de la Información (CSI) o una instancia semejante definida por las entidades, organismos y órganos de control del Distrito Capital, tiene como objetivo asegurar que exista una dirección y apoyo gerencial, para soportar la administración y desarrollo de iniciativas sobre seguridad de la información, a través de compromisos apropiados y uso de recursos adecuados en el organismo, así como de la formulación y mantenimiento de una política de seguridad de la información a través de todo el organismo".

Que basados en las recomendaciones de las normas internacionales NTC-ISO/IEC 17799, NTC-BS 7799-2 y su actualización ISO27001, se hace necesario conformar el Comité Técnico de Seguridad de la Información –CSI- que validará las Políticas de Seguridad de la Información y Procedimientos para el adecuado uso y administración de los recursos informáticos y físicos, asignados a los servidores públicos del organismo, en tal sentido aportará experiencia técnica para asegurar que la información de la Contraloría de Bogotá D.C., se encuentre protegida, impulsando la implementación del Sistema de Gestión de Seguridad de la Información.

Que el acuerdo 361 de 2009 "Por el cual se organiza la Contraloría de Bogotá, D.C., se determinan las funciones por dependencias, se fijan los principios generales inherentes a su organización y funcionamiento y se dictan otras disposiciones", establece en el artículo 38, como función de la Dirección de Informática, entre otras, "…Dirigir la formulación de políticas, planes y programas relacionados con la gestión informática, necesarios para el cumplimiento de los objetivos de la Contraloría".

En el artículo 40 del acuerdo 361 de 2009, establece como función de la Dirección Administrativa y Financiera, entre otras: "…Dirigir la formulación de políticas, planes y programas que en materia de recursos físicos y financieros y servicios administrativos se deban desarrollar para el buen funcionamiento de la Contraloría de Bogotá, D.C…Preparar los proyectos de normas para su adopción por la autoridad competente, dirigir la aplicación de las mismas y orientar y evaluar los procedimientos que en materia presupuestal, contractual, contable, de tesorería, de administración de los recursos físicos y servicios administrativos internos requiera la Contraloría de Bogotá."

Que la Contraloría de Bogotá mediante Resolución Reglamentaria 015 de 2008, adoptó el "Manual de Políticas para la Contraloría de Bogotá D.C.", y en el numeral 1.7.3. Política de Seguridad Informática, indica: "La CB, debe hacer uso de las mejores prácticas en materia de seguridad informática, como herramienta básica para garantizar la confidencialidad, integridad y disponibilidad de la información como soporte de continuidad operacional de la entidad llegado el momento".

Que el "Manual de Políticas para la Contraloría de Bogotá D.C." respecto de la seguridad organizacional de la Política de Seguridad Informática afirma: "Contar con un grupo de funcionarios de alto nivel, encargado de la creación, revisión y aprobación de las políticas de seguridad de la información. Será función adicional establecer las responsabilidades sobre la protección de cada uno de los activos informáticos de la entidad y coordinar la divulgación, aplicación y cumplimiento de las políticas por parte funcionarios, contratistas, estudiantes en práctica y demás personas o entes externos que tengan acceso a los recursos de información de la entidad".

Que en mérito de lo expuesto,

ARTÍCULO PRIMERO.- Creación. Crear el Comité Técnico de Seguridad de la Información (CTSI) de la Contraloría de Bogotá D.C., El comité estará integrado por:

1. El Director Administrativo y Financiero, quien lo presidirá.

2. El Director Técnico de Informática o su delegado.

3. El Director Técnico de Planeación o su delegado.

4. El Jefe de la Oficina Asesora Jurídica o su delegado.

5. El Subdirector de Servicios Administrativos o su delegado.

PARÁGRAFO PRIMERO.- El Secretario Técnico del Comité será el Subdirector de Servicios Administrativos.

PARÁGRAFO SEGUNDO.- Podrán asistir como invitados aquellos funcionarios y/o Directivos que se consideren necesarios, según la naturaleza de los temas a tratar.

ARTÍCULO SEGUNDO.- Objetivo del Comité Técnico de Seguridad de la Información.

Ser la instancia para asegurar que exista un soporte técnico para la administración y desarrollo de iniciativas sobre seguridad de la información, a través de compromisos y uso adecuado de recursos en la entidad, así como la implementación, el mantenimiento y seguimiento de la política de seguridad de la información de la Contraloría de Bogotá D.C.

ARTÍCULO TERCERO.- Funciones Generales. El Comité Técnico de Seguridad de la Información –CTSI- de la Contraloría de Bogotá D.C., tendrá dentro de sus funciones generales las siguientes:

1. Facilitar la administración y desarrollo de iniciativas sobre seguridad de la información.

2. Prevenir pérdidas patrimoniales o que comprometan los recursos de información.

3. Coordinar y dirigir acciones específicas que ayuden a proveer un ambiente seguro y estable de recursos de información, que sea consistente con las metas y objetivos de la Contraloría de Bogotá D.C.

4. Proveer dirección y experiencia técnica para asegurar que la información de la Contraloría de Bogotá D.C. se encuentre protegida apropiadamente, sobre los presupuestos de la confidencialidad, la integridad y la disponibilidad de la información y de los recursos informáticos y físicos que la soportan.

5. Impulsar la implementación del Sistema de Gestión de Seguridad de la Información – SGSI-.

ARTÍCULO CUARTO.- Funciones Operativas del Comité. El Comité Técnico de Seguridad de la Información -CTSI- cumplirá operativamente las siguientes funciones:

1. Revisar y aprobar el diagnóstico del estado de la seguridad de la información en la Contraloría de Bogotá D.C.

2. Revisar y analizar los consolidados de incidentes de seguridad existentes en el organismo.

3. Identificar necesidades de evaluación de procesos soportados por recursos informáticos y su plataforma tecnológica.

4. Servir de facilitadores para el desarrollo de proyectos de seguridad.

5. Validar las Políticas de Seguridad de Activos de Información o las modificaciones a las mismas.

6. Recomendar roles y responsabilidades específicos que se relacionen con la seguridad de la información.

7. Aprobar el uso de metodologías y procesos específicos para la seguridad de la información.

8. Participar en la formulación y evaluación de planes de acción para mitigar y/o eliminar riesgos.

9. Establecer las estrategias para la divulgación y comunicación de las políticas y normas que la Contraloría de Bogotá D.C., dicte en materia de seguridad de la información.

10. Las demás funciones inherentes a la naturaleza del Comité.

ARTÍCULO QUINTO.- Funciones de la Secretaría Técnica. Son funciones de la Secretaría Técnica:

1. Elaborar las actas de las reuniones del Comité y verificar su formalización por parte de sus miembros.

2. Remitir oportunamente a los miembros la agenda de cada comité.

3. Convocar periódicamente a reuniones ordinarias, en coordinación con la Presidencia del Comité.

4. Convocar a reuniones extraordinarias cuando a juicio del Director Técnico de Informática se requiera.

5. Presentar los informes que requiera el Comité.

6. Las demás que le sean asignadas por el Comité.

ARTÍCULO SEXTO.- Reuniones del Comité Técnico de Seguridad de la Información. El Comité Técnico de Seguridad de la Información –CTSI- deberá reunirse una vez cada seis meses, previa convocatoria del/la Secretario/a Técnico/a del Comité.

PARÁGRAFO. La convocatoria al Comité se hará con cinco (5) días hábiles de antelación a la sesión, vía correo electrónico.

ARTÍCULO SÉPTIMO.- Sesiones Extraordinarias. Los/las integrantes que conforman el Comité podrán ser citados/as a participar a sesiones extraordinarias de trabajo cuando las circunstancias lo ameriten, en especial, frente al montaje, implementación y mantenimiento del Sistema de Gestión de Seguridad de la Información y/o incidentes de seguridad.

ARTÍCULO OCTAVO.- Vigencia. La presente Resolución rige a partir de la fecha de su publicación.

NOTA: Publicada en el Registro Distrital 4837 de febrero 16 de 2012.