Documento Metodológico

Ámbito 4

Gestión de Riesgos de la Información

 Estrategia de Seguridad y Privacidad de la
Información de la Alcaldía de Bogotá

Alcalde de Bogotá
Enrique Peñalosa Londoño

Secretario General
Raúl Buitrago Arias

Alto Consejero Distrital del TIC

Sergio Martínez Medina

Profesional Especializado en Seguridad de la Información

María del Pilar Niño Campos

Diciembre 2018
4 5
 1
ÍNDICE DE TABLAS PÁG.
Tabla 1. Referentes normativos 8
Tabla 2. Referentes técnicos
Tabla 3. Roles, responsabilidades y responsables
9
12
INTRODUCCIÓN
Tabla 4. Relación tipo de riesgos con tipo de Impactos 19
El proceso de gestión de riesgos es importante para el éxito de la protección de los
Tabla 5. Valor del impacto 21 activos de información de la entidad. Con ello, se identifica la criticidad de un activo
para la entidad, las potenciales o reales amenazas y vulnerabilidades sobre dichos
Tabla 6. Nivel de probabilidad del riesgo 23
activos, y por tanto los riesgos con mayor posibilidad e impacto que afectan los procesos
Tabla 7. Nivel de riesgo 25 estratégicos, misionales y de apoyo de la entidad.

Tabla 8. Nivel de tratamiento de riesgo
Tabla 9. Nivel de aceptación de riesgo
Tabla 10. Mapa de calor
25 La gestión de riesgos permite tener un panorama actualizado de las posibles pérdidas
en confidencialidad, integridad y disponibilidad de los activos de información, por lo que
28 requiere un plan de tratamiento de riesgos que permita llevarlos a niveles aceptables
definidos y acordados por la alta dirección de la entidad. Finalmente, realizar el monitoreo
28 continuo es lo que conlleva a un nivel de madurez óptimo y lograr la mejora continua.

ÍNDICE DE FIGURAS
Figura 1. Modelo de gestión de riesgo 13
Figura 2. Diagrama de fases del modelo de gestión de riesgo 14
Figura 3. Contexto para la gestión de riesgo 15
Figura 4. Fase de establecimiento del contexto 16
Figura 5. Fase valoración de riesgos 17
Figura 6. Análisis de riesgos 20
Figura 7. Evaluación de riesgos 24
Figura 8. Fase tratamiento de riesgos 26
Figura 9. Fase aceptación de riesgos 27
Figura 10. Fase monitoreo y control 29

7
2 DEFINICIÓN
La gestión de riesgos es el conjunto de
actividades coordinadas para dirigir y
controlar la organización con relación al
3 OBJETIVO
GENERAL
Estructurar un proceso de gestión de riesgos de seguridad digital -SD-, de acuerdo con
el Modelo de Gestión de Riesgos de Seguridad Digital - MGRSD.
con los riesgos de las organizaciones. La
gestión del riesgo se lleva a cabo como
una actividad holística que abarca toda

4
riesgo (Icontec-ISO, 2018, p. 2). la organización y que aborda el riesgo
desde el nivel estratégico hasta el táctico,
La gestión del riesgo es una actividad asegurando que la toma de decisiones
compleja y multifacética que requiere la basada en el riesgo se integre en todos los Esto se aplica al proceso misional crítico
participación de las partes interesadas 2 de aspectos de la organización 3. OBJETIVOS que determine la entidad, garantizando

ESPECÍFICOS
una organización, desde la alta dirección que dicho proceso utilice elementos
-que proporcionan la visión estratégica, las (aplicativos, recursos, infraestructura y
metas y los objetivos de alto nivel para la plataforma tecnológica) de las TIC.
organización-; pasando por los gerentes Identificar y documentar los roles,
de nivel medio -que planifiquen ejecuten y responsabilidades y responsables en Adicionalmente se realiza la evaluación
administren proyectos-; hasta los gerentes seguridad que apliquen en el proceso de correspondiente a la distribución de roles
de primera línea y sus equipos -que operan gestión de riesgos. y responsabilidades de los diferentes
los sistemas de información que apoyan las ambientes que están involucrados con el
funciones misionales de la organización. Aplicar la gestión de riesgos de área de las TIC en la organización para
seguridad digital en la entidad. garantizar su alineación de acuerdo con
La gestión del riesgo es un proceso integral lo definido en las guías del Ministerio
que requiere que las organizaciones: (i) Evaluar la eficacia de la gestión de de Tecnologías de la Información y las
enmarquen el riesgo (es decir, establezcan riesgos de seguridad digital y de los sus Comunicaciones -MinTIC- (2015).
el contexto para las decisiones basadas respectivos planes de tratamiento. Lo descrito anteriormente se realiza para
en el riesgo); (ii) evalúen el riesgo; (iii) cada entidad distrital -de acuerdo con lo

5
respondan al riesgo una vez determinado; definido por la Alta Consejería Distrital de
y (iv) monitoreen el riesgo de forma las TIC- identificando en ellas la matriz de

ALCANCE
continua, utilizando comunicaciones roles y responsabilidades, y garantizando
organizacionales efectivas y un circuito su correspondiente alineamiento a lo
de retroalimentación para la mejora establecido en el anexo técnico.
continua en las actividades relacionadas El presente documento metodológico
describe las principales acciones a realizar
frente a la gestión de riesgos de los activos
2
“Persona u organización que puede afectar, verse afectada, o percibirse como afectada por una decisión o una actividad.” ISO 31000 (Icontec-ISO, de información identificados en la entidad.
2018, p. 2)
3
Traducción al español de la sección “2.1 Components of risk management”. NIST Special Publication 800-39 - Managing Information Security Risk
(Locke & Gallagher, 2011).

8 9
6 MARCO TEÓRICO
Y JURÍDICO 7 DESARROLLO DE LA
METODOLOGÍA

!
Durante el proceso de gestión de riesgos de seguridad digital, es importante conocer
!

6
y entender los siguientes instrumentos normativos que soportan la presente guía: Ley
1581 de 2012, Decreto 1499 de 2017, CONPES 3701 y 3854, Guía No. 7 Gestión de ADALID CORP propone la metodología para ser implementada en la Alta Consejería
riesgos de (MinTIC, 2016), Guía para la administración del riesgo y el diseño de controles Distrital con el fin de una adecuada gestión de los riesgos de seguridad digital.
en entidades públicas (DAFP, 2018) y el Modelo de Gestión de Riesgos de Seguridad
Digital (MinTIC, 2017). Corresponde a un proceso estructurado y alineado con la gestión de riesgos de los
referentes señalados en el marco teórico y jurídico.
De igual manera la guía se apoya en los siguientes estándares: ISO-IEC 27001:2013
(Icontec, 2013), ISO-IEC 27002:2013 (Icontec, 2015), ISO-IEC 27000:2018, ISO-IEC Para lograr el éxito de la gestión de riesgos eficaz en seguridad digital, la entidad debe
27005:2018, ISO 31000:2018 (Icontec, 2018), Magerit V3 (Ministerio de Hacienda y garantizar la definición e implementación de los siguientes prerrequisitos:
Administraciones Públicas de España, 2012), NIST-800-30 (Stoneburner, Goguen, &
Feringa, 2002) y NIST-800-39 (Locke & Gallagher, 2011). a. Compromiso de la alta dirección

Para mayor información consultar el anexo técnico de “Buenas prácticas y marco El liderazgo y compromiso de la alta dirección se establece como actividad previa a la
normativo de la seguridad digital.” gestión de riesgos de seguridad digital, de esta forma la entidad garantiza que la gestión
del riesgo sea pertinente, implementada y mantenida en el tiempo, logrando una mejora
continua.

La alta dirección debe comprometerse para apoyar y brindar los recursos de modo que
se facilite el cumplimiento de los objetivos alineados a la gestión del riesgo, a través del
establecimiento de políticas, guías, proceso, roles y responsabilidades, que aporten los
recursos (financieros, de personal, herramientas) necesarios para que el proceso sea
exitoso y adecuado para la entidad.

b. Identificación de roles y responsabilidades en la gestión de riesgos en

seguridad digital

El proceso de identificación de roles, responsabilidades y responsables debe estar

liderado y comunicado por la alta dirección de la entidad, esto para el entendimiento
eficaz de la gestión de riesgos en la misma.

10 11
A continuación, se describe las actividades claves para el proceso de identificación, A continuación, se describe el detalle del proceso que permite tener una exitosa gestión
documentación y comunicación de los roles, responsabilidades y responsables, en de riesgos en seguridad digital.
adelante 3R, en gestión de seguridad digital:

Identificar si existe información previa donde se describa los 3R de la gestión de 7.1 Proceso de gestión de riesgos de seguridad digital
riesgos de seguridad digital.
La gestión de riesgos corresponde al conjunto de actividades coordinadas para dirigir y
La información se puede identificar en: controlar una organización con relación al riesgo (ISO/IEC 27000:2018).
Manuales de seguridad de la información o seguridad digital.
Documentación de perfiles y funciones de los cargos de los servidores públicos. Figura 1. Modelo de gestión de riesgo
Políticas definidas en la entidad sobre la gestión de riesgos.
Metodologías de gestión de riesgos que tenga actualmente la entidad.

Definir en el comité institucional de gestión y desempeño, de acuerdo con el decreto

1499 de 2017, o quien haga sus veces, los 3R en la gestión de riesgos de seguridad
digital. Durante esta definición se debe tener en cuenta -al menos- los siguientes roles,
responsabilidades y responsables:

Tabla 3. roles, responsabilidades y responsables

Roles Responsabilidades Responsables

Dueño o propietario Realizar análisis y valoración de los riesgos Líder de proceso

del riesgo. identificados y de los cuales es propietario. Líder seguridad de la
Líder del proceso de Realizar la evaluación de riesgos información o seguridad
gestión de riesgos en identificados. digital
seguridad digital. Aprobación de los niveles de aceptación Alta Dirección
y de tratamiento de los riesgos en seguridad Servidores públicos
digital.
Definir un plan de tratamiento de riesgos
para aquellos que no están en los niveles
aceptables o simplemente requieren ser
controlados y monitoreados.
Realizar medición de la eficacia de los
controles aplicados por la entidad.
Definir la periodicidad de la medición de
los riesgos de seguridad digital.
Definir los niveles de riesgo, probabilidad
e impacto, alineados con el tamaño y cultura
de la entidad, así como del apetito al riesgo.

Fuente: ISO 31000

12 13
 Figura 3. Contexto para la gestión de riesgo
En la figura 1 se describe las etapas o fases de la gestión de riesgos que deben ser
aplicadas en la entidad, en búsqueda de una mejora continua de seguridad digital, en
concordancia con lo establecido por los referentes citados en el marco teórico y jurídico.

El siguiente gráfico contiene el desglose de las diferentes fases y sub-fases para la

ubicación del lector durante la gestión de riesgos de seguridad digital.

Figura 2. Diagrama de fases del modelo de gestión de riesgo

7
Fuente: ADALID CORP

Para el establecimiento del contexto, la entidad debe identificar, documentar y revisar las
condiciones:

Internas del entorno: Estructura organizacional, procesos, tecnología,

infraestructura, personal capacitado, etc.

Externas del entorno: Entes de control, cambios regulatorios, tendencias mundiales

en seguridad, proveedores, clientes o usuarios, accionistas, etc.

Fuente: ADALID CORP

Establecimiento del contexto: La entidad debe identificar las partes internas

y externas que pueden afectar la seguridad digital a nivel de riesgos de seguridad, al
igual que proteger los activos de información (Hardware, software, Información digital,
física, servicios, etc.) identificados por la entidad.

14 15
Como fuentes de información se emplea la documentación de la entidad, ejemplo La siguiente figura contiene el esquema del proceso de valoración de riesgos.
sistema de gestión de calidad, tecnología y gestión documental; así mismo se utilizan
entrevistas con los líderes o responsables de los procesos involucrados, encuestas con Figura 5. Fase valoración de riesgos
el personal, visitas a instalaciones y demás herramientas que se consideren necesarias.

Esta fase corresponde a la primera, como se ilustra en la figura 4.

7
Figura 4. Fase de establecimiento del contexto

Fuente: ADALID CORP

Fuente: ADALID CORP

Valoración de riesgos: Durante la valoración se describe de forma cualitativa y/o

cuantitativa el riesgo, se determina el nivel de exposición de los activos de información,
se identifican los causales de riesgo que existen (o que podrían existir), se identifica
el impacto que podría generar la materialización de cada riesgo, luego se determinan
las consecuencias potenciales, y finalmente se priorizan para determinar o proponer el
tratamiento de riesgos y su clasificación según los criterios de evaluación determinados
por la entidad.

16 17
A continuación, se describe el detalle de las fases que comprende realizar una adecuada Identificación del tipo riesgo: Se realiza realizada para el entendimiento del
valoración de riesgos: la tipificación del riesgo identificado según impacto potencial del riesgo.
los siguientes criterios:
Identificación del riesgo: La identificación puede causar diferentes impactos Lógico: corresponde a los riesgos Identificación tipo de Impacto: A
de riesgos tiene como propósito “encontrar, dependiendo del número de activos o de la que se relacionan con afectación a continuación, se presentan los tipos
reconocer y describir los riesgos…” (ISO/ criticidad de este. infraestructura tecnológica. de impactos de acuerdo con los
IEC 27000:2018; Icontec, 2018). Esto • Así mismo, se requiere identificar Físico: corresponde a los riesgos requerimientos de la entidad:
requiere encontrar, numerar y caracterizar las vulnerabilidades que pueden ser relacionados con control de acceso físico Financiero: corresponde a un efecto
los elementos del riesgo. explotadas por las amenazas previamente y pérdida de activos de información a nivel positivo o negativo que genera un gasto
identificadas, y que causen daño a los físico, entre otros. adicional o retribución no esperada.
El objetivo de identificar el riesgo es activos de la entidad. Es importante anotar Locativo: corresponde a los Continuidad operativa: corresponde
determinar qué podría suceder que que un control implementado de manera riesgos relacionados con afectación en a la afectación de la continuidad en los
cause una pérdida potencial y llegar a incorrecta o que funcione mal, o que se infraestructura física y no disponibilidad de procesos operativos de la entidad.
comprender el cómo, dónde y por qué utiliza de modo incorrecto podría por si solo sitio de trabajo. Imagen: corresponde a la afectación
podría ocurrir esta pérdida. generar una vulnerabilidad. Legal: corresponde a los riesgos positiva o negativa que puede tener ante
relacionados con incumplimiento las partes interesadas el bueno nombre de
Para llevar a cabo esta actividad es Se especifica una base a manera de normativos o regulatorias. la entidad.
importante contar con la información que ejemplo de amenazas y vulnerabilidades, De imagen: corresponde a los Legal: corresponde a las posibles
se relaciona a continuación: ver “Herramienta - Matriz de Riesgos, tabla riesgos que puedan generar afectación al afectaciones en términos jurídicos que
Variables”. bueno nombre de la entidad. puede tener la entidad.
Descripción del riesgo: Consiste en la Financiero: corresponde al riesgo
identificación y descripción del riesgo Activos de información asociados relacionado con pérdidas económicas, Los tipos de impactos están relacionados
a raíz de la combinación entre una o al riesgo: Identificar los activos de sanciones de tipo financiero o costos directamente con los tipos de riesgo
varias amenazas y vulnerabilidades. Se información conlleva al establecimiento asociados a pérdidas de confidencialidad, identificados propuestos. Esto permite que
realiza una descripción puntual del riesgo de lo que debe ser protegido bajo integridad o disponibilidad de activos de basado en el tipo de riesgo identificado se
asociado a los activos de información. los términos de la seguridad de la información. realice una asociación al tipo de impacto
información (confidencialidad, integridad y que este riesgo genera y se pueda realizar
Identificación de las causas de riesgo y disponibilidad). Identificación del dueño del riesgo: su calificación. Esta relación se evidencia
fuentes (Amenazas, vulnerabilidades): Se realiza la identificación del proceso y en la siguiente tabla:
La entidad debe identificar las fuentes y Este proceso se detalla en el documento: el propietario que es responsable por la Tabla 4. Relación tipo de riesgos con tipo de Impactos
causas de los riesgos que conllevan a la “Gestión de activos de información”, cual gestión del riesgo. Así se tendrá un grado
posible afectación de la confidencialidad, establece toda una metodología apropiada de compromiso sobre la valoración de
integridad y disponibilidad de los activos para ser implementada por la entidad, los niveles de probabilidad, impacto,
de información de la misma, afectando el acorde con los requisitos normativos y de y el compromiso de definir planes de
logro de los objetivos de seguridad y por buenas prácticas internacionales. tratamiento, en caso de ser requerido, así
tanto los estratégicos. como el monitoreo continuo.
A continuación, se detalla una descripción Para más información sobre los activos de
g e n e r a l d e l o s c o n c e p t o s y l a s información ver Archivo Excel “Herramienta Identificación de propiedades de
responsabilidades: – Activos de información”. la información asociadas al riesgo:
• Las amenazas provienen de Se realiza la identificación de las
origen natural o humano y podrían ser propiedades de la información que son
accidentales o deliberadas. Algunas afectadas por el riesgo. Estas propiedades
amenazas pueden afectar a más de un son confidencialidad, integridad y
activo de información. En tales casos disponibilidad. Esta etapa debe ser Fuente: ADALID CORP

18 19
i. Análisis de riesgos
El análisis de riesgos es el proceso de comprender la naturaleza del riesgo y determina
el nivel de riesgo. (ISO/IEC 27000:2018).
Esta etapa busca obtener el valor de probabilidad de ocurrencia del riesgo y el impacto
de sus consecuencias, calificándolos y evaluándolos para establecer el nivel de riesgo y
las acciones a implementar.
La siguiente gráfica permite ubicar al lector en la gestión de riesgos de seguridad digital:
Figura 6. Análisis de riesgos
Fuente: ADALID CORP
Al determinar los valores cuantitativos y/o cualitativos del impacto y la probabilidad de
ocurrencia del riesgo se determina el nivel de riesgo sobre el o los activos de información
analizados. Los rangos y los valores cualitativos son establecidos por la entidad de
acuerdo con las necesidades del negocio.
20
Se realizan las siguientes estimaciones para el riesgo:
Estimación de riesgo actual: Se evalúa el valor del impacto y la probabilidad de
ocurrencia del riesgo actual, es decir, durante el momento de realizar el análisis con la
presencia o no de los controles establecidas por la entidad.
Identificación de controles: Se realiza la identificación de los controles
implementados en la entidad para tratar los riesgos. Puede que no existan controles para
el tratamiento del riesgo.
Valoración del nivel de impacto: La siguiente tabla, corresponde a la propuesta de los
niveles de impacto, alineados con el MSPI y el MGRSD de MinTIC:
Tabla 5. Valor del impacto
21
 Valoración del nivel de probabilidad del riesgo: Los niveles de probabilidad
corresponden al valor que mayor se aproxima en cuanto a la posibilidad de ocurrencia
de la materialización de un riesgo respecto al causal de riesgo. Se sugiere tener en
cuenta los siguientes aspectos esenciales para calificar la probabilidad de ocurrencia:
Evaluación de riesgos de seguridad digital.
Cambios en la tecnología, por ejemplo, cambios de sistema operativo, tipos de
bases de datos, lenguajes de programación, etc.
Vulnerabilidades de día cero.
Vulnerabilidad o amenaza por personas.
Definición e implementación de controles.
No conformidades identificadas por auditorías internas o por servidores públicos
de la entidad.
Criticidad de los activos de información identificados.

A continuación, se propone los siguientes niveles cuantitativos y cualitativos, junto con

una breve descripción que dependerá de la entidad.
Tabla 6. Nivel de probabilidad del riesgo

Es importante que al momento de realizar la valoración del impacto se tenga en cuenta

los siguientes criterios:

Incumplimiento de los requisitos legales, reglamentarios o contractuales.

Pérdida del negocio y del valor económico.
Nivel de clasificación de los activos de información impactados.
Brechas de seguridad digital (por ejemplo, pérdida de confidencialidad, integridad
y disponibilidad).
Alteración de planes y fechas límite. Finalmente, el análisis de riesgos concluye cuando se realiza el cálculo del valor de
Daños en la imagen de la entidad. riesgo, de acuerdo con las diferentes valoraciones en términos de probabilidad e
impacto.
VALOR DE RIESGO = Valor Impacto *
Probabilidad

22 23
ii. Evaluación de riesgos

seguridad digital.

Figura 7. Evaluación de riesgos

7
La figura 7 permite ubicar al lector en la fase del proceso de gestión de riesgos de
A continuación, se describe los diferentes niveles de riesgo:

b) Tratamiento de riesgos
Tabla 7. Nivel de riesgo

Corresponde al proceso de modificar el riesgo. (ISO/IEC 27000:2018). Durante esta

etapa se define que acciones se deben tomar para afectar el nivel de riesgo, bien sea
atacando la probabilidad, el impacto o en su defecto las dos variables.

Lo primero es determinar cuáles son los niveles de riesgo en que la entidad aplicará el
tratamiento. Para ello, en el presente documento se definen los dos niveles de mayor
probabilidad, impacto y valor de riesgo.

Tabla 8. Nivel de tratamiento de riesgo

Fuente: ADALID CORP

La evaluación de riesgos corresponde al proceso de comparar los resultados del análisis

de riesgo con criterios de riesgo para determinar si el nivel de riesgo y/o magnitud es
aceptable o tolerable. (ISO/IEC 27000:2018).

24 25
Durante el tratamiento se identifican los controles aplicables para llevarlos a los niveles c) Aceptación de riesgos
aceptables definidos por la entidad.
Corresponde a decisión informada de asumir un riesgo en particular. (ISO/IEC
Las opciones para el tratamiento de los riesgos después de su evaluación son: 27000:2018).

• Reducir el riesgo aplicando controles eficaces de manera que el riesgo residual En esta etapa se evalúa si el tratamiento a los riesgos fue eficaz o necesita ser
pueda ser reevaluado como aceptable. nuevamente tratado.

• Asumir el riesgo (Retención) por parte de la alta dirección quien debe conocer y Se establece los siguientes criterios de aceptación de riesgo para la entidad:
entender la responsabilidad. Se aplica siempre que cumplan con la política de seguridad
previamente establecida por la entidad. Figura 9. Fase aceptación de riesgos

• Evitar el riesgo con la acción que da origen al riesgo.

7
• Compartir o transferir el riesgo a organizaciones (aseguradoras, proveedores, etc.)
que gestionan eficazmente el nivel de riesgo, siempre que no resulte un costo superior al
del riesgo mismo.

A continuación, se presenta una figura para ubicar al lector en la fase del proceso de
gestión de riesgos de seguridad digital.
Figura 8. Fase tratamiento de riesgos

Fuente: ADALID CORP

Fuente: ADALID CORP

26 27
 Tabla 9. Nivel de aceptación de riesgo
Así mismo, es importante determinar la valoración de los riesgos como mínimo, una vez al
año o cuando se presenten cambios en:

• La entidad, por ejemplo, cambios o ajustes en los objetivos institucionales o

estratégicos de la entidad.
• La tecnología, cambios de sistema operativo, cambios en los sistemas de
información, tipo de base de datos, etc.
• Procesos de negocio, por ejemplo, reestructuración de los procesos de la entidad,
cambios organizacionales.

Las actividades definidas para la realización del monitoreo son:

• Auditorías internas y externas a la seguridad digital de acuerdo con el plan de
auditorías de la entidad y alineado con el MSPI.
Finalmente, se obtiene el mapa de calor como resultado del proceso de gestión de • Auditorías internas en los sistemas de información de acuerdo los planes de
riesgos. pruebas técnicos.
Tabla 10. Mapa de calor • Anualmente en reunión de revisión por la Alta Dirección.
• Resultado de análisis de vulnerabilidades técnicas o pruebas de ethical hacking
realizados por terceros a la entidad.
• Resultado de la medición de la eficacia de los controles definidos e implementados
en el periodo evaluado.
Figura 10. Fase monitoreo y control

A continuación, se presenta el gráfico para ubicar al lector en la fase del proceso de

gestión de riesgos de seguridad digital:

d) Monitoreo y revisión
En la gestión de riesgos es importante realizar monitoreo de los cambios que se puedan
producir en los diferentes riesgos y los factores (activos, vulnerabilidades, amenazas,
etc.), para así lograr realizar a tiempo modificaciones o adiciones al enfoque en la
metodología dependiendo de cambios identificados.

Este monitoreo y seguimiento se realiza de acuerdo con los siguientes aspectos:

• Identificación de nuevos activos de información.

• Cambios en la valoración de los activos de información.
• Nuevas causales o fuentes de riesgos (amenazas y vulnerabilidades).
• Incidentes de seguridad digital presentados. Fuente: ADALID CORP

28 29
Finalmente, se llega a la última fase de gestión de riesgos de seguridad digital. En la
figura 10 se evidencia el cubrimiento de la totalidad de las fases planteadas.

7.2 Buenas prácticas para la mitigación de riesgos

El tratamiento de riesgos debe ser un proceso activo en la gestión de riesgos de

PLANTILLAS DOCUMENTALES
DE APOYO 8
seguridad digital, por ello ADALID CORP invita a los líderes o responsables de seguridad
de la entidad a:
Las plantillas propuestas en el presente documento apoyan directamente la aplicación
a) Evaluar el costo beneficio de la definición e implementación de uno o varios del modelo de gestión de riesgos de seguridad digital propuesto por ADALID CORP.
controles.
b) Realizar pruebas de controles sobre entornos controlados, es decir, pruebas A continuación, se presenta las plantillas modelos para el uso y aplicación en la entidad.
antes de implementar un control en entornos de producción que puedan afectar a las
actividades, proceso o la entidad completamente.
c) Si no es posible implementar un control cuando se tiene un riesgo alto o extremo, 8.1 Matriz de roles y responsabilidades en la gestión de riesgos de SD
evaluar posibles controles compensatorios que ayuden a reducir la probabilidad, el
impacto o las dos variables. La matriz de roles y responsabilidades contiene la propuesta de los potenciales
d) Los controles deben ser evaluados al menos en término de su eficacia para roles a nivel de seguridad digital en la entidad, así como el propietario, custodio y las
conocer e informar a la Alta Dirección sobre el avance y mitigación de riesgos latentes en responsabilidades.
la entidad relacionados con la seguridad.
e) La definición e implantación de controles no debe ir en contra de la operación o El detalle de la plantilla puede ver en el archivo:
flujo normal de las actividades y procesos, es decir, no debo implementar controles que
al final terminen afectando alguna característica de la seguridad de la información. Matriz_para_identificación_de_roles_y_responsabilidades.xslx
f) Realizar monitoreo constante de los controles definidos e implementados en la
entidad.
g) Determinar en el tiempo, la reducción de pérdidas derivadas de materialización de 8.2 Declaración de aplicabilidad
riesgos respecto a la inversión realizada en controles.

La plantilla para la declaración de aplicabilidad contiene los dominios, objetivos de

Consulte la Herramienta Sistematizada para control y los 114 controles del anexo A de la norma ISO/IEC 27001:2013, asimismo, la
!

Gestión de Activos justificación de la implementación del control o en su defecto la exclusión y finalmente, un

campo para diligenciar donde se puede evidenciar el control diseñado e implementado
!

en la entidad.

El detalle de la plantilla puede ver en el archivo:

Documento de definición de la declaración de aplicabilidad.xlsx

30 31
9 GLOSARIO
A continuación, algunos de los términos más importantes sobre el Documento
Metodológico del Ámbito 4 Gestión de Riesgos de la Información por orden alfabético.
Activo: Cualquier cosa que tenga valor para la organización. (ISO/IEC 13335-1:2004)
Activo de información: En relación con la seguridad de la información, se refiere a
cualquier información o elemento relacionado con el tratamiento de esta (sistemas,
hardware, software, sistemas de información, edificios, personas, imagen, etc.) que
tenga valor para la Organización.
Aceptación del riesgo: Decisión informada de asumir un riesgo en particular. (ISO/IEC
27000:2018).
Amenaza: Causa potencial de un incidente no deseado, que puede resultar en daño a
un sistema u organización. (ISO/IEC 27000:2018).
Análisis del riesgo: Proceso de comprender la naturaleza del riesgo y determina el nivel
de riesgo. (ISO/IEC 27000:2018).
Confidencialidad: Propiedad de que la información no esté disponible
o revelada a personas no autorizadas, entidades o procesos. (ISO/IEC
27000:2018).
Control: Es una medida que modifica el riesgo. (ISO/IEC 27000:2018).
32
Disponibilidad: Propiedad de ser accesible y utilizable a la demanda por una
entidad autorizada. (ISO/IEC 27000:2018).
Establecimiento del contexto: Al establecer el contexto, la Organización
articula sus objetivos estratégicos y de calidad, define los parámetros
externos e internos que se van a considerar en la gestión de riesgos y
establece el alcance y los criterios de riesgo.
Evaluación del riesgo: Proceso de comparar los resultados del análisis de
riesgo con criterios de riesgo para determinar si el nivel de riesgo y/o magnitud
es aceptable o tolerable. (ISO/IEC 27000:2018).
Gestión del riesgo: Actividades coordinadas para dirigir y controlar una
organización con relación al riesgo. (ISO/IEC 27000:2018).
Identificación del riesgo: Proceso para encontrar, reconocer y describir los
riesgos. (ISO/IEC 27000:2018).
Impacto: Cambio adverso en el nivel de los objetivos del negocio logrado.
(ISO/IEC 27000:2018).
Integridad: Propiedad de exactitud y completitud. (ISO/IEC 27000:2018).
Nivel de Riesgo: Magnitud del riesgo expresada en términos de la
combinación del impacto y la probabilidad. (ISO/IEC 27000:2018).
Plan de tratamiento de riesgos: Documento que define las acciones para
gestionar los riesgos de seguridad de la información inaceptables e implantar
los controles necesarios para proteger la misma.
Política: intenciones y direcciones de una organización como se expresan
formalmente por la Alta Dirección. (ISO/IEC 27000:2018).
33
Probabilidad: Frecuencia o Factibilidad de ocurrencia del Riesgo. (ISO/IEC
27000:2018).
Propietario del riesgo: Persona o entidad con la responsabilidad y autoridad
para gestionar un riesgo. (ISO/IEC 27000:2018).
Riesgo: Efecto en la incertidumbre de los objetivos (ISO/IEC 27000:2018).
Riesgo residual: Riesgo restante después del tratamiento del riesgo. (ISO/
IEC 27000:2018).
Transferencia del riesgo: compartir con otra de las partes la ganancia o
pérdida de un riesgo.
Tratamiento del riesgo: Proceso de modificar el riesgo. (ISO/IEC
27000:2018).
Valor del Activo: Está determinado por el valor de la confidencialidad,
integridad y disponibilidad del activo de información.
Valoración del riesgo: Proceso general de identificación, análisis y
evaluación de riesgos. (ISO/IEC 27000:2018).
Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por
una o más amenazas. (ISO/IEC 27000:2018).
34
BIBLIOGRAFÍA 10
DAFP. (2018). Guía para la Administración de los Riesgos de Gestión , Corrupción y Seguridad Digital y el Diseño
de Controles en Entidades Públicas. Bogotá D.C. Recuperado a partir de http://www.funcionpublica.gov.co/
documents/418548/34150781/Guía+para+la+Administración+de+los+Riesgos+de+Gestión%2C+Corrupción+y
+Seguridad+Digital+y+el+Diseño+de+Controles+en+Entidades+Públicas+-+Agosto+de+2018.pdf/68d324dd-
55c5-11e0-9f37-2e5516b48a87?dow
Icontec. (2013). NTC-ISO-IEC 27001:2013 – TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. SISTEMAS
DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. REQUISITOS. Bogotá D.C. Recuperado a partir de
https://tienda.icontec.org/producto/impreso-ntc-iso-iec27001-tecnologia-de-la-informacion-tecnicas-de-seguridad-
sistemas-de-gestion-de-la-seguridad-de-la-informacion-requisitos/?v=42983b05e2f2
Icontec. (2015). NTC-ISO-IEC 27002:2015 – TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD.
CÓDIGO DE PRÁCTICA PARA CONTROLES DE SEGURIDAD DE LA INFORMACIÓN – Tienda ICONTEC. Bogotá.
Recuperado a partir de https://tienda.icontec.org/producto/e-book-gtc-iso-iec27002-tecnologia-de-la-informacion-
tecnicas-de-seguridad-codigo-de-practica-para-controles-de-seguridad-de-la-informacion/?v=42983b05e2f2
Icontec. (2018). NTC-ISO 31000 - Gestión de riesgos: Principios y directrices. Recuperado a partir de https://tienda.icontec.
org/producto/impreso-ntc-iso31000-gestion-del-riesgo-principios-y-directrices/?v=42983b05e2f2
Locke, G., & Gallagher, P. D. (2011). Managing Information Security Risk Organization, Mission, and Information System View
JOINT TASK FORCE TRANSFORMATION INITIATIVE. https://doi.org/10.6028/NIST.SP.800-39
Ministerio de Hacienda y Administraciones Públicas de España. (2012). MAGERIT v.3 : Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información. Madrid. Recuperado a pa rtir de https://administracionelectronica.gob.es/
pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.XAOD02j0mUk
Ministerio de Tecnologías de la Información y las Comunicaciones. (2015). Modelo de Seguridad. Recuperado 16 de agosto
de 2018, a partir de https://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html
Ministerio de Tecnologías de la Información y las Comunicaciones. (2016). Guía de gestión de riesgos - Guía No. 7. Bogotá
D.C. Recuperado a partir de https://www.mintic.gov.co/gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf
Ministerio de Tecnologías de la Información y las Comunicaciones. (2017). Modelo de Gestión de Riesgos de Seguridad
Digital –MGRSD-. Bogotá D.C. Recuperado a partir de https://www.mintic.gov.co/portal/604/articles-61854_
documento.docx
Stoneburner, G., Goguen, A., & Feringa, A. (2002). Risk Management Guide for Information Technology Systems
Recommendations of the National Institute of Standards and Technology. Recuperado a partir de https://www.
archives.gov/files/era/recompete/sp800-30.pdf
35
 Elaborado por:
Documento Metodológico
Ámbito 4

38