Haz clic en cada tarjeta para descubrir su contenido
🏛️
GOBERNANZA
El fundamento estratégico
🏛️ Gobernanza
Define la política, el marco normativo y la estructura de responsabilidades del SGSI-C. Incluye: Política General AGE-GIR-DIN-005, Comité de Seguridad, roles y responsabilidades, alineación con reguladores (SFC, MinTIC, SIC).
⚠️
GESTIÓN DE RIESGOS
Identifica y mitiga amenazas
⚠️ Gestión de Riesgos
Metodología de identificación, valoración y tratamiento de riesgos de seguridad de la información. Incluye: Metodología AGE-GIR-GUI (MAI), mapa de riesgos, controles preventivos, apetito de riesgo institucional.
⚙️
OPERACIÓN
Protección activa en tiempo real
⚙️ Operación
Ejecución de controles técnicos y operativos. Incluye: SIEM Elasticsearch, EDR Trellix ePO, Tenable (vulnerabilidades), Imperva (protección BD), SOC 24/7, gestión de incidentes (AGE-GIR-INS-054), ERI.
📈
MEJORA CONTINUA
El ciclo nunca termina
📈 Mejora Continua
Revisión y optimización permanente del SGSI-C mediante el ciclo PHVA. Incluye: Auditorías internas y externas, indicadores KPI mensuales, ejercicios TTX trimestrales, certificación ISO 27001, retrospectivas de incidentes (PIR).
El Ciclo PHVA del SGSI-C
P
PLANEAR
Identificar riesgos
Definir controles
Establecer métricas
H
HACER
Implementar controles
Capacitar al personal
Operar el SOC
V
VERIFICAR
Auditar resultados
Medir KPIs
Revisar incidentes
A
ACTUAR
Mejorar controles
Actualizar política
Ejercicios TTX
5 KPIs del SGSI-C
Pasa el cursor sobre cada tarjeta para ver la interpretación
Cuánto tardamos en detectar un incidente desde que ocurre. Un MTTD alto indica puntos ciegos en el monitoreo.
MTTD
Tiempo Medio de Detección
Objetivo: < 2 horas
Cuánto tardamos en restaurar servicios críticos tras un incidente. El BCP establece RTO <4h para pagos de pensiones.
MTTR
Tiempo Medio de Recuperación
< 4 horas (críticos)
Velocidad de aplicación de parches urgentes. CVEs críticos sin parchar en 72h representan ventana de explotación activa.
Parches
Tasa de Parches Críticos
100% en < 72h
Distribución de incidentes para focalizar capacitación y controles en las áreas con mayor exposición.
Inc/Área
Tasa de Incidentes por Área
0 incidentes mayores
Nivel de capacitación del personal en ciberseguridad. Un empleado capacitado es la mejor línea de defensa.
ForceGen
Tasa de Completitud ForceGen
100% completado
Quiz Rápido de Comprensión
1 ¿Cuántos dominios tiene el SGSI-C de Colpensiones?
A 2 dominios
B 3 dominios
C 4 dominios
D 6 dominios
Correcto. El SGSI-C se estructura en 4 dominios: Gobernanza, Gestión de Riesgos, Operación y Mejora Continua.
Incorrecto. El SGSI-C se estructura en 4 dominios: Gobernanza, Gestión de Riesgos, Operación y Mejora Continua.
2 ¿Cuál es el objetivo de Tiempo Medio de Recuperación (MTTR) para servicios críticos en Colpensiones?
A 1 hora
B 4 horas
C 24 horas
D 72 horas
Correcto. El BCP establece un RTO (Recovery Time Objective) de menos de 4 horas para servicios críticos como el sistema de pago de pensiones.
Incorrecto. El BCP establece un RTO de menos de 4 horas para servicios críticos como el sistema de pago de pensiones.
3 ¿Qué herramienta usa Colpensiones para la gestión de vulnerabilidades?
A Nessus
B Qualys
C Tenable
D OpenVAS
Correcto. Tenable es la plataforma de gestión de vulnerabilidades de Colpensiones, integrada con el SIEM Elasticsearch para correlación de hallazgos.
Incorrecto. Tenable es la plataforma correcta. Está integrada con el SIEM Elasticsearch para correlación de hallazgos.
4 La Circular SFC 007 exige notificar incidentes cibernéticos relevantes en máximo:
A 1 hora
B 6 horas
C 24 horas
D 72 horas
Correcto. La Circular 007 de 2018 de la SFC establece una ventana de 6 horas para la notificación inicial de incidentes cibernéticos relevantes.
Incorrecto. La Circular 007 de la SFC establece 6 horas para la notificación inicial de incidentes cibernéticos relevantes.
5 ¿Qué documento de Colpensiones establece la política general de seguridad de la información?
A AGE-GIR-MAN-019
B AGE-GIR-INS-054
C AGE-GIR-DIN-005
D AGE-GIR-GUI-001
Correcto. La Política General de Seguridad de la Información es el documento AGE-GIR-DIN-005, que establece los principios y responsabilidades generales del SGSI-C.
Incorrecto. El documento correcto es AGE-GIR-DIN-005, que establece la Política General de Seguridad de la Información del SGSI-C.