Diseño e implementación del SGSI y diseño del DRP para una Entidad pública del Estado Colombiano “FASE II”

BENEFICIARIO

Entidad pública del estado Colombiano

INTEGRANTES

Diana María Andica Bueno | Cargo: Scrum Master y Analista de Continuidad del Negocio
Jonnathan Navarro Roa | Cargo: Líder técnico, DevSecops y Analista de Infraestructura
Yoimer Seña Cespedes | Cargo: Ingeniero de cumplimiento y Ciberseguridad

AÑO

2025

PALABRAS CLAVE

Gestión del riesgo, SGSI, resiliencia operativa, emulación, DRP, indicadores

CONTEXTO

Una entidad pública colombiana, dedicada a Investigación, Desarrollo Tecnológico e Innovación, requiere una gestión de seguridad sólida debido a su rol como Unidad Tecnológica Especializada. El desarrollo del sistema de gestión se planeó en varias fases; en la fase 1 se identificaron varios retos, iniciativas de seguridad aisladas, la ausencia de un DRP adecuado y brechas que aumentaban la exposición a amenazas y dificultaban el cumplimiento de estándares como ISO/IEC 27001 y el MSPI. Esta fase produjo una Matriz GAP con el nivel de madurez y los controles necesarios, además de un plan básico de continuidad que sirve como base para las siguientes etapas.

En la fase 2, la fase que se abordó en este proyecto, se consolidó una matriz de seguimiento de controles, se fortaleció la documentación del DRP y se desarrolló un entorno de emulación como MVP para evaluar un escenario crítico, lo que permite validar controles, simular incidentes y apoyar la capacitación del personal. También se midieron indicadores del SGSI y del DRP, generando evidencia técnica y criterios para avanzar hacia una implementación más madura y estructurada en fases futuras.

PROPUESTA

La estrategia implementada en la fase 2 busca fortalecer los pilares esenciales de un Sistema de Gestión de Seguridad de la Información (SGSI) y un Plan de Recuperación ante Desastres (DRP), integrando componentes operativos, técnicos y organizacionales.

Uno de los elementos es la optimización de la gestión documental, que contribuye con un marco de Gobierno alineado con prácticas recomendadas de la Industria: metodología de seguimiento de controles, fortalecimiento de documentación del DRP, modelo de gestión de incidentes, lineamientos de hardening y un modelo estructurado de indicadores que permiten medir el avance del SGSI y del DRP.

Adicionalmente, como elemento innovador se propone la implementación de un entorno de emulación que representa componentes críticos y comportamiento de la infraestructura. Este componente permite validación de controles, simulación de ataques y verificación de estrategias de recuperación entre otras tareas, sin afectar la operación real y habilitando un espacio seguro para pruebas, entrenamiento y toma de decisiones.

RESULTADOS

La fase 2 entregó capacidades tangibles que fortalecen directamente la ciberseguridad y resiliencia de la Organización:

Marco metodológico que soporta la continuidad del proyecto, estandariza decisiones tecnológicas y habilita la implementación progresiva de controles en las próximas fases.
Reducción de superficie de ataque mediante lineamientos de hardening y criterios técnicos aplicables a componentes críticos como Bastion host, virtualización y acceso remoto.
Mayor madurez operativa, gracias a un ciclo de vida de gestión de incidentes con un proceso definido y una matriz RACI que facilita coordinación y respuesta efectiva.
Visión clara y trazable del riesgo, a través de artefactos de seguimiento que permiten medir el desempeño, avance y madurez del SGSI y DRP.
Capacidades de resiliencia para escenarios reales, con un DRP alineado con el negocio y orientado a la acción, que define estrategias, secuencia de recuperación y canales de activación, comunicación y escalamiento.
Entorno seguro para pruebas y validaciones, gracias a emulación de infraestructura que permite simular fallas, ataques, configuraciones inseguras y validar estrategias antes de su implementación.

Estos resultados posicionan a la Entidad como una Organización más segura, resiliente y preparada, con herramientas estratégicas para anticipar amenazas, responder con agilidad y asegurar la continuidad de su misión institucional.