PLAN DE SEGURIDAD Y

PRIVACIDAD DE LA
INFORMACIÓN
Contenido

1 Objetivo............................................................................................................................................... 3
2 Alcance del Plan .................................................................................................................................. 3
3 Resumen Ejecutivo .............................................................................................................................. 3
4 Actividades para desarrollar según condiciones y especificaciones .......................................................... 4
4.1 Actividades propuestas para la planificación (Planear) ............................................................. 4
4.2 Actividades propuestas para la Implementación (Hacer) .......................................................... 5
4.3 Actividades propuestas para evaluación de desempeño (Verificar) .......................................... 6
4.4 Actividades propuestas para la mejora continua (Actuar)......................................................... 7
5 Condiciones generales para la ejecución del presente plan...................................................................... 7
5.1 Medios y herramientas profesionales........................................................................................ 7
5.2 Requerimiento de personal ....................................................................................................... 8
1 Objetivo
Este plan tiene como objetivo determinar las acciones que se realizaran para proteger la información que el Instituto
Nacional de Vigilancia de Medicamentos y Alimentos INVIMA utiliza para proteger y promover la salud de la
población, mediante la gestión del riesgo asociada al consumo y uso de alimentos, medicamentos, dispositivos
médicos y otros productos objeto de vigilancia sanitaria.

2 Alcance del Plan

La implementación, gestión y operación del Sistema de Gestión de Seguridad de la Información - SGSI en su tercera fase,
se realizará en todos los procesos del Instituto Nacional de Vigilancia de Medicamentos y Alimentos INVIMA, de acuerdo
con el ciclo de mejora continua PHVA; esto incluye, las actividades de formalización de los procesos, procedimientos y
documentación correspondiente al SGSI a través de su integración con el Sistema de Gestión de Calidad – SGC. Dando
cumplimiento de esta forma a la política del sistema de gestión integrado donde se manifiesta lo siguiente:
“El Invima diseña, promueve y adoptas las medidas necesarias que permitan disponer, gestionar y proteger la información
suministrada a la entidad y generada por la misma de las diferentes amenazas que pueden afectar la integridad,
disponibilidad y confidencialidad de la información. Identificando y gestionando los riesgos de forma eficiente y efectiva en
todos los procesos, incorporando como resultado de esta gestión la mejora continua en materia de seguridad de la
información, entendiendo que esta puede encontrarse en medios electrónicos y físicos.”

3 Resumen Ejecutivo
La implementación de las adecuadas medidas de protección de la información estratégica de negocio y la preservación de
la confidencialidad de ésta son requisitos esenciales para garantizar la confianza de clientes proveedores y funcionarios,
factor indispensable para lograr los objetivos institucionales en entidades del sector que administra y protege la información
del sector salud en el país.
La adopción de un sistema de gestión de seguridad de la información basado en la norma ISO 27001:2013, es una decisión
de carácter estratégico que permite no solo el cumplimiento de los requisitos de ley sino la optimización de los recursos
humanos, tecnológicos y administrativos necesarios para reducir los riesgos que afectan la información presente en el
entorno tecnológico actual.
El presente documento se elabora dando cumplimiento al Decreto 612 de 2018: Por el cual se fijan directrices para la
integración de los planes institucionales y estratégicos al Plan de Acción por parte de las entidades del Estado, entre los
que menciona el plan de tratamiento de riesgos de seguridad de la información.
Considerando la importancia de cumplir los requisitos normativos en materia de protección de información y mitigar los
impactos de sanciones derivadas de su incumplimiento, se incluye una serie de actividades que responden al ciclo Planear-
Hacer-Verificar-Actuar (PHVA) para el sistema de gestión de seguridad de la información en miras a la certificación en la
norma internacional ISO 27001:2013 y dando cumplimiento con lo establecido por MINTIC.
 MINTIC ISO 217001:2013

El plan de seguridad y privacidad de la información contempla todos los requisitos necesarios para garantizar a la entidad el
fortalecimiento de su gestión institucional mediante la mejora de la confianza de todas las partes interesadas en la
adecuada protección de la información.

4 Actividades para desarrollar según condiciones y especificaciones

A continuación, se detallan las actividades a realizar durante las fases de planificación, implementación, evaluación de
desempeño y mejoramiento continuo de la seguridad de la información en el INVIMA, conforme a los requerimientos
legales y buenas prácticas de normas técnicas en todos sus procesos.

4.1 Actividades propuestas para la planificación (Planear)

• Revisión de las nuevas normas y lineamientos de gobierno en lo referente a la protección de la
información.
• Determinar el punto de partida del Sistema de Gestión de Seguridad de la Información teniendo en
cuenta la herramienta de MINTIC y el avance en la implementación el Modelo de Privacidad y Seguridad
de la información de la estrategia de Gobierno Digital para todos los procesos del Instituto Nacional de
Vigilancia de Medicamentos y Alimentos INVIMA.

• Revisión de la documentación que soporta el Sistema de Gestión de Seguridad de la Información (SGSI).

• Elaborar y hacer seguimiento de los planes de acción anuales y de mejoramiento relacionados con la
seguridad información en todos los procesos del Instituto Nacional de Vigilancia de Medicamentos y
 Alimentos INVIMA, así como la identificación de los responsables de ejecutar estos planes.

• Desarrollar la estrategia para la integración del SGSI (Sistema de Gestión de Seguridad de la

Información - SGSI) al Sistema Integrado de Gestión.

• Desarrollar actividades de divulgación y promoción de la importancia del SGSI, los beneficios de la

seguridad de la información para el INVIMA y las implicaciones de la no conformidad con los requisitos
del SGSI, mediante el desarrollo de campañas de sensibilización y comunicación.

• Evaluación del inventario de activos de todos los procesos del Instituto Nacional de Vigilancia de
Medicamentos y Alimentos INVIMA, de acuerdo con la metodología de valoración y clasificación de los
activos de información, evaluación de los activos de información en cuanto a su integridad,
confidencialidad y disponibilidad, teniendo en cuenta la ley 1712 de 2014 (ley de transparencia) y ley
1581 de protección de datos personales, decreto 1008 de gobierno digital aplicada el año
inmediatamente anterior.

4.2 Actividades propuestas para la Implementación (Hacer)

• Identificar, seleccionar e implementar los mecanismos, controles y herramientas tecnológicas necesarias
para realizar el tratamiento de riesgos de seguridad de la información que se identifiquen en todos los
procesos del Instituto Nacional de Vigilancia de Medicamentos y Alimentos INVIMA.

• Implementar junto con las áreas implicadas los controles de seguridad de la información requeridos por
el INVIMA para el cumplimiento de sus objetivos de seguridad.

• Desarrollar las actividades que permitan lograr el cumplimiento de las normas y políticas de seguridad de
la información en el INVIMA, mediante revisiones periódicas del estado de la seguridad de los diferentes
servicios, sistemas de información y componentes de tecnología que permiten el tratamiento de la
información.

• Revisar el cumplimiento de controles de seguridad a nivel de operación de los sistemas de

comunicaciones (Red LAN – WAN).

• Actualizar y socializar a todos los procesos y áreas del Instituto Nacional de Vigilancia de Medicamentos
y Alimentos INVIMA el procedimiento para la gestión de incidentes de seguridad de la información

• Determinar las medidas de mitigación y las acciones correctivas en caso de presentarse un incidente de
seguridad de la información
 • Incorporar el plan de trabajo del Sistema de Gestión de Seguridad de la Información, la identificación de
los riesgos de Seguridad de la Información y sus planes de tratamiento según lo estipulado en el decreto
612 del 4 de abril de 2018.

• Apoyar en la identificación y análisis de las vulnerabilidades en aplicativos de la entidad con sus

respectivas recomendaciones para remediación.

• Actualización del inventario de activos de todos los procesos del Instituto Nacional de Vigilancia de
Medicamentos y Alimentos INVIMA, de acuerdo con la metodología de valoración y clasificación de los
activos de información, evaluación de los activos de información en cuanto a su integridad,
confidencialidad y disponibilidad, teniendo en cuenta la ley 1712 de 2014 (ley de transparencia) y ley
1581 de protección de datos personales, decreto 1008 de gobierno digital aplicada el año
inmediatamente anterior.

4.3 Actividades propuestas para la evaluación de desempeño (Verificar)

• Evaluar los cambios a nivel de infraestructura de tecnologías de información y comunicaciones para
determinar los riesgos de seguridad.

• Desarrollar actividades de seguimiento al plan de tratamiento de riesgos a intervalos periódicos para

determinar la efectividad de los controles implementados, las oportunidades de mejora y las acciones
correctivas necesarias para todos los procesos del Instituto Nacional de Vigilancia de Medicamentos y
Alimentos INVIMA.

• Evaluar los niveles de seguridad en la operación, desarrollo e implementación de los sistemas de

información y las bases de datos.

• Elaborar informes del estado de la seguridad de la información, la efectividad de los controles de la

seguridad y proponer medidas correctivas y oportunidades de mejora sobre la gestión de la seguridad de
la información para todos los procesos del Instituto Nacional de Vigilancia de Medicamentos y Alimentos
INVIMA.

• Contribuir en la recolección, organización y presentación de la información sobre el desempeño del SGSI

para la preparación de las auditorías internas y la revisión por parte de la Dirección sobre el estado del
Subsistema de Gestión de Seguridad de la Información (SGSI).
4.4 Actividades propuestas para la mejora continua (Actuar)
• Proponer, diseñar y fomentar la implementación de mejoras a los controles y herramientas tecnológicas
necesarias para el fortalecimiento de la seguridad de la información en el INVIMA para todos los
procesos.

• Ajustar la documentación correspondiente a los procesos definidos en el INVIMA, acordes a los

requerimientos legales y de normatividad en cuanto a Seguridad de la Información.

• El Instituto Nacional de Vigilancia de Medicamentos y Alimentos INVIMA llevara a cabo las actividades
de:

➢ Levantar el inventario de activos de información, aplicando la metodología de valoración y

clasificación de los activos de información, evaluación de los activos de información en cuanto a su
integridad, confidencialidad y disponibilidad, teniendo en cuenta la ley de transparencia y de
protección de datos personales, de acuerdo con la metodología definida el año inmediatamente
anterior.

➢ Identificar y construir acciones correctivas y preventivas para responder a incidentes de seguridad de

la información detectados.

➢ Divulgar las mejoras, acciones correctivas y preventivas a los interesados y partes pertinentes.

➢ Hacer seguimiento a las mejoras realizadas al sistema de gestión de seguridad de la información y

medir su efectividad para todos los procesos del Instituto Nacional de Vigilancia de Medicamentos y
Alimentos INVIMA.

5 Condiciones generales para la ejecución del presente plan.

5.1 Medios y herramientas profesionales
De acuerdo con el requerimiento, las características del trabajo a realizar, las labores tendrán lugar en el nivel central, los
desplazamientos a las demás territoriales, se realizarán según sea necesario o se podrán utilizar medios de conexión
remota o a través de video conferencia.
Se utilizarán las herramientas profesionales requeridas para llevar a cabo las asignaciones, como por ejemplo computadora
y programas de software (software de gerencia del proyecto, procesador de palabras, hoja electrónica, cliente de correo
electrónico, navegador web,) teléfono celular y elementos de oficina.
5.2 Requerimiento de personal
De acuerdo con lo anteriormente descrito se requieren de al menos un profesional especialista en seguridad de la
información y con la experiencia requerida para la implementación del sistema en entidades del estado colombiano.
Además de lo anterior se requiere que esta(s) persona(s) de respuesta y haga seguimiento a los eventos de seguridad,
incidentes y de ser necesario a la ejecución de posibles contingencias. Así como seguimiento a los planes de acción fruto
de las auditorías internas.