Contenidos Unidad 2 Seguridad de la Informacion en el SIIF Nacion (1) - Alex Casanova2

Vista previa del material en texto

Seguridad de la Información en el SIIF 
Nación 
 
¿Qué debemos hacer como usuarios del SIIF Nación para proteger 
la información de la gestión financiera pública? 
 
 
 
Concientizarnos que, como usuarios del sistema, somos responsables de mantener la confidencialidad e 
integridad, disponibilidad de la información del SIIF Nación. 
¿Por qué cómo usuarios debemos proteger la información del SIIF 
Nación? 
La información contenida en el SIIF Nación corresponde a la de la gestión financiera pública de las entidades del 
presupuesto general de la Nación, de alto valor para Colombia, debemos protegerla. Nosotros como funcionarios 
o contratistas de entidades que gestionan recursos del Presupuesto General de la Nación legalmente tenemos la 
responsabilidad de proteger esta información y usarla en el marco de la ley y para el cumplimiento de nuestras 
funciones u objeto del contrato. 
¿Cómo se implementan los principios de seguridad en el SIIF 
Nación? 
 
• Se establece un marco legal y normativo para la administración y operación del SIIF Nación 
que comprende entre otros aspectos, lo relacionado con los órganos de administración, 
responsabilidades tanto de la administración del SIIF Nación, como de las entidades usuarias 
y sus usuarios. 
• La administración de usuarios, esto es la designación del coordinador SIIF de la entidad, la 
creación de usuarios y su asignación de perfiles de acceso, la modificación de usuarios para 
reflejar en el sistema novedades tales como retiro temporal y definitivo, esta normado a 
través del procedimiento de administración de usuarios, mediante el cual se legitima la 
asignación de usuarios para realizar la gestión a nombre de la entidad en el sistema. 
• La administración del SIIF Nación clasifica la información contenida en el sistema y a través 
de la definición de perfiles de usuario establece para un grupo de usuarios de un área o 
dependencia de una entidad usuaria tipo, que funcionalidad debe tener asociada para el 
cumplimiento de las funciones de esa área o dependencia tipo de esa entidad, bajo el 
principio de confidencialidad para que cada uno tenga acceso a la información que deba 
tener acceso, así mismo implementa la segregación de perfiles restringiendo la asignación a 
un mismo usuario un grupo de perfiles. 
• Control de acceso al sistema, de tal manera que dicho acceso solo puede ser realizado por 
un usuario legítimamente identificado y creado en el sistema por solicitud de la entidad 
usuaria, que tenga acceso a la información que le permite y que se pueda conocer lo que 
hizo en el sistema. 
Para identificar el usuario en el sistema, una vez se cumple con el procedimiento de 
administración de usuarios para crearlo en el sistema, se le asigna una cuenta de usuario y 
su respectiva contraseña, adicionalmente el sistema le va a exigir que tenga un certificado 
digital de función pública expedido por un tercero de confianza, no del SIIF ni de la entidad, 
que a su vez ha realizado un proceso de verificación de identidad del usuario titular del 
certificado. 
• Como mecanismo de autenticación del usuario ante el sistema, esto es saber quién es el que 
está accediendo al sistema, se utilizan dos factores, en primera medida se solicita al usuario 
lo que él sabe, que es el usuario y contraseña, como segundo factor, el sistema solicita lo 
que él tiene, el certificado digital. 
Con este mecanismo de autenticación de doble factor, se mitiga el riesgo de suplantación 
del usuario y se puede identificar quien es el que está accediendo al sistema. 
• Una vez se ha identificado quien es el que ingresó al sistema, se debe disponer para ese 
usuario que funcionalidad tiene a su disposición, esto es autorizar a que tiene acceso, lo cual 
corresponde a lo permitido al perfil asociado al usuario y a la unidad o subunidades 
asociadas cuando se creó o modificó el usuario. 
De esta manera el usuario va a poder, registrar, modificar, consultar la información 
contenida en el SIIF Nación que permita su perfil para la(s) unidad(es) ejecutoras y 
subunidad(es) asociadas al usuario. 
Cumplido los pasos anteriores, el usuario puede hacer la gestión financiera pública de la 
entidad que le compete. 
• Para los registros y modificaciones realizados por el usuario en el sistema, en el SIIF Nación 
se implementa el mecanismo de registros de auditoría, en el cual automáticamente el 
sistema genera un registro de esas acciones realizadas por el usuario, identificando que 
usuario los realizó, en que fecha y hora, los datos que registró o modificó. 
Estos registros de auditoría se utilizan para casos de registros específicos que están siendo 
objeto de alguna investigación disciplinaria o penal, por la entidad u órganos de control o 
judiciales. 
Adicionalmente, a los registros de auditoría para el caso de funcionalidades que puedan 
generar desvió de recursos, en el SIIF Nación se implementa el mecanismo de firma digital, 
mediante el cual el sistema para esas funcionalidades, va a exigir al usuario que se 
identifique usando el certificado digital de función pública asignado, para firmar 
digitalmente los fotogramas que automáticamente ha capturado el sistema con las pantallas 
del SIIF Nación y los datos que tenían esas pantallas con los pasos que realizó el usuario 
cuando registra o modifica la información relacionada con esa funcionalidad. 
https://www.minhacienda.gov.co/webcenter/ShowProperty?nodeId=%2FConexionContent%2FWCC_CLUSTER-062966%2F%2FidcPrimaryFile&revision=latestreleased
https://www.minhacienda.gov.co/webcenter/ShowProperty?nodeId=%2FConexionContent%2FWCC_CLUSTER-115799%2F%2FidcPrimaryFile&revision=latestreleased
https://www.minhacienda.gov.co/webcenter/ShowProperty?nodeId=%2FConexionContent%2FWCC_CLUSTER-115799%2F%2FidcPrimaryFile&revision=latestreleased
https://www.minhacienda.gov.co/webcenter/ShowProperty?nodeId=%2FConexionContent%2FWCC_CLUSTER-115799%2F%2FidcPrimaryFile&revision=latestreleased
La firma digital, es un mecanismo que permite identificar quien generó la transacción y que 
información contiene, pudiéndose verificar que dicha información no ha sido alterada, 
implementado de esta manera el principio de integridad, autenticación y no repudio del 
origen de la información. 
Los dos mecanismos, registros de auditoria y firma digital, permiten implementar en el SIIF 
Nación el principio de no repudio, esto es que quien origina la información registrada en el 
sistema, desconozca su autoría. 
• El Ministerio de Hacienda – SIIF Nación, a nivel de infraestructura tecnológica dispone de 
mecanismos de redundancia de componentes tecnológicos que permite continuar la 
operación del SIIF Nación ante fallas de algún componente y dispone de un centro de datos 
alterno que se puede activar en caso de fallas que afecten toda la infraestructura principal 
que soporta la operación del SIIF Nación, así como herramientas y mecanismos para control 
de acceso, cifrado de información del SIIF Nación entre el aplicativo desplegado en el 
computador del usuario y los servidores del SIIF Nación y monitoreo de componentes 
tecnológicos. 
En caso de requerirse el uso del centro de datos alterno, la capacidad de operación puede 
verse reducida, por lo cual la administración del SIIF Nación, en caso de ser necesario y de 
acuerdo con la época del año, mes o día, priorizará el acceso al sistema por grupo de 
funcionalidades y entidades, para cumplir con el registro de las transacciones esenciales que 
permitan la gestión financiera pública de las entidades usuarias del SIIF Nación. 
La administración del SIIF Nación comunicará al Coordinador SIIF de las entidades usuarias 
sobre incidentes que afecten la disponibilidad del sistema. 
Corresponde a la entidad usuaria, establecer en sus planes de contingencia el caso de falla 
en su infraestructura tecnológica que afecte la disponibilidad del SIIF Nación a sus usuarios y 
los procesos, procedimientos y documentación que serequiere para priorizar los registros en 
el sistema en caso de que el SIIF Nación entre en contingencia. (Decreto 1068 de 2015 
artículo 2.9.1.2.12, reglamento de uso del SIIF Nación numeral 4.4.y 6.). 
El SIIF Nación permite ser utilizado desde las instalaciones e infraestructura de las entidades 
usuarias, como desde computadores y acceso a internet personales, en ambos casos se debe 
hacer según las políticas de seguridad de la información de la entidad usuaria. 
 
En la página web del Ministerio de Hacienda SIIF Nación se puede consultar la guía Aspectos 
técnicos para conocer los requisitos técnicos para acceder al SIIF Nación. 
 
https://www.minhacienda.gov.co/webcenter/portal/SIIFNacion/pages_aspectostcnicos
https://www.minhacienda.gov.co/webcenter/portal/SIIFNacion/pages_aspectostcnicos