Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Seguridad de la Información en el SIIF Nación ¿Qué debemos hacer como usuarios del SIIF Nación para proteger la información de la gestión financiera pública? Concientizarnos que, como usuarios del sistema, somos responsables de mantener la confidencialidad e integridad, disponibilidad de la información del SIIF Nación. ¿Por qué cómo usuarios debemos proteger la información del SIIF Nación? La información contenida en el SIIF Nación corresponde a la de la gestión financiera pública de las entidades del presupuesto general de la Nación, de alto valor para Colombia, debemos protegerla. Nosotros como funcionarios o contratistas de entidades que gestionan recursos del Presupuesto General de la Nación legalmente tenemos la responsabilidad de proteger esta información y usarla en el marco de la ley y para el cumplimiento de nuestras funciones u objeto del contrato. ¿Cómo se implementan los principios de seguridad en el SIIF Nación? • Se establece un marco legal y normativo para la administración y operación del SIIF Nación que comprende entre otros aspectos, lo relacionado con los órganos de administración, responsabilidades tanto de la administración del SIIF Nación, como de las entidades usuarias y sus usuarios. • La administración de usuarios, esto es la designación del coordinador SIIF de la entidad, la creación de usuarios y su asignación de perfiles de acceso, la modificación de usuarios para reflejar en el sistema novedades tales como retiro temporal y definitivo, esta normado a través del procedimiento de administración de usuarios, mediante el cual se legitima la asignación de usuarios para realizar la gestión a nombre de la entidad en el sistema. • La administración del SIIF Nación clasifica la información contenida en el sistema y a través de la definición de perfiles de usuario establece para un grupo de usuarios de un área o dependencia de una entidad usuaria tipo, que funcionalidad debe tener asociada para el cumplimiento de las funciones de esa área o dependencia tipo de esa entidad, bajo el principio de confidencialidad para que cada uno tenga acceso a la información que deba tener acceso, así mismo implementa la segregación de perfiles restringiendo la asignación a un mismo usuario un grupo de perfiles. • Control de acceso al sistema, de tal manera que dicho acceso solo puede ser realizado por un usuario legítimamente identificado y creado en el sistema por solicitud de la entidad usuaria, que tenga acceso a la información que le permite y que se pueda conocer lo que hizo en el sistema. Para identificar el usuario en el sistema, una vez se cumple con el procedimiento de administración de usuarios para crearlo en el sistema, se le asigna una cuenta de usuario y su respectiva contraseña, adicionalmente el sistema le va a exigir que tenga un certificado digital de función pública expedido por un tercero de confianza, no del SIIF ni de la entidad, que a su vez ha realizado un proceso de verificación de identidad del usuario titular del certificado. • Como mecanismo de autenticación del usuario ante el sistema, esto es saber quién es el que está accediendo al sistema, se utilizan dos factores, en primera medida se solicita al usuario lo que él sabe, que es el usuario y contraseña, como segundo factor, el sistema solicita lo que él tiene, el certificado digital. Con este mecanismo de autenticación de doble factor, se mitiga el riesgo de suplantación del usuario y se puede identificar quien es el que está accediendo al sistema. • Una vez se ha identificado quien es el que ingresó al sistema, se debe disponer para ese usuario que funcionalidad tiene a su disposición, esto es autorizar a que tiene acceso, lo cual corresponde a lo permitido al perfil asociado al usuario y a la unidad o subunidades asociadas cuando se creó o modificó el usuario. De esta manera el usuario va a poder, registrar, modificar, consultar la información contenida en el SIIF Nación que permita su perfil para la(s) unidad(es) ejecutoras y subunidad(es) asociadas al usuario. Cumplido los pasos anteriores, el usuario puede hacer la gestión financiera pública de la entidad que le compete. • Para los registros y modificaciones realizados por el usuario en el sistema, en el SIIF Nación se implementa el mecanismo de registros de auditoría, en el cual automáticamente el sistema genera un registro de esas acciones realizadas por el usuario, identificando que usuario los realizó, en que fecha y hora, los datos que registró o modificó. Estos registros de auditoría se utilizan para casos de registros específicos que están siendo objeto de alguna investigación disciplinaria o penal, por la entidad u órganos de control o judiciales. Adicionalmente, a los registros de auditoría para el caso de funcionalidades que puedan generar desvió de recursos, en el SIIF Nación se implementa el mecanismo de firma digital, mediante el cual el sistema para esas funcionalidades, va a exigir al usuario que se identifique usando el certificado digital de función pública asignado, para firmar digitalmente los fotogramas que automáticamente ha capturado el sistema con las pantallas del SIIF Nación y los datos que tenían esas pantallas con los pasos que realizó el usuario cuando registra o modifica la información relacionada con esa funcionalidad. https://www.minhacienda.gov.co/webcenter/ShowProperty?nodeId=%2FConexionContent%2FWCC_CLUSTER-062966%2F%2FidcPrimaryFile&revision=latestreleased https://www.minhacienda.gov.co/webcenter/ShowProperty?nodeId=%2FConexionContent%2FWCC_CLUSTER-115799%2F%2FidcPrimaryFile&revision=latestreleased https://www.minhacienda.gov.co/webcenter/ShowProperty?nodeId=%2FConexionContent%2FWCC_CLUSTER-115799%2F%2FidcPrimaryFile&revision=latestreleased https://www.minhacienda.gov.co/webcenter/ShowProperty?nodeId=%2FConexionContent%2FWCC_CLUSTER-115799%2F%2FidcPrimaryFile&revision=latestreleased La firma digital, es un mecanismo que permite identificar quien generó la transacción y que información contiene, pudiéndose verificar que dicha información no ha sido alterada, implementado de esta manera el principio de integridad, autenticación y no repudio del origen de la información. Los dos mecanismos, registros de auditoria y firma digital, permiten implementar en el SIIF Nación el principio de no repudio, esto es que quien origina la información registrada en el sistema, desconozca su autoría. • El Ministerio de Hacienda – SIIF Nación, a nivel de infraestructura tecnológica dispone de mecanismos de redundancia de componentes tecnológicos que permite continuar la operación del SIIF Nación ante fallas de algún componente y dispone de un centro de datos alterno que se puede activar en caso de fallas que afecten toda la infraestructura principal que soporta la operación del SIIF Nación, así como herramientas y mecanismos para control de acceso, cifrado de información del SIIF Nación entre el aplicativo desplegado en el computador del usuario y los servidores del SIIF Nación y monitoreo de componentes tecnológicos. En caso de requerirse el uso del centro de datos alterno, la capacidad de operación puede verse reducida, por lo cual la administración del SIIF Nación, en caso de ser necesario y de acuerdo con la época del año, mes o día, priorizará el acceso al sistema por grupo de funcionalidades y entidades, para cumplir con el registro de las transacciones esenciales que permitan la gestión financiera pública de las entidades usuarias del SIIF Nación. La administración del SIIF Nación comunicará al Coordinador SIIF de las entidades usuarias sobre incidentes que afecten la disponibilidad del sistema. Corresponde a la entidad usuaria, establecer en sus planes de contingencia el caso de falla en su infraestructura tecnológica que afecte la disponibilidad del SIIF Nación a sus usuarios y los procesos, procedimientos y documentación que serequiere para priorizar los registros en el sistema en caso de que el SIIF Nación entre en contingencia. (Decreto 1068 de 2015 artículo 2.9.1.2.12, reglamento de uso del SIIF Nación numeral 4.4.y 6.). El SIIF Nación permite ser utilizado desde las instalaciones e infraestructura de las entidades usuarias, como desde computadores y acceso a internet personales, en ambos casos se debe hacer según las políticas de seguridad de la información de la entidad usuaria. En la página web del Ministerio de Hacienda SIIF Nación se puede consultar la guía Aspectos técnicos para conocer los requisitos técnicos para acceder al SIIF Nación. https://www.minhacienda.gov.co/webcenter/portal/SIIFNacion/pages_aspectostcnicos https://www.minhacienda.gov.co/webcenter/portal/SIIFNacion/pages_aspectostcnicos
Compartir