MC-pr-01

Vigente a partir de
MANEJO DEL REGISTRO NACIONAL DE Septiembre 2012
PROFESIONALES 1a. Actualización
Pág.1/27

GESTIÓN DE ACTIVOS
DE INFORMACIÓN
 SI-pr-09
Vigente a partir de
GESTIÓN DE ACTIVOS DE Octubre 2014
INFORMACIÓN 1a. Actualización
Pág.2/27

1. OBJETIVO Y ALCANCE
1.1. Objetivo

Definir el procedimiento que gestiona los activos de información del COPNIA.

1.2. Alcance

Realizar el inventario de todos los Activos de Información y clasificar los más importantes para el
COPNIA.

2. NORMATIVIDAD

Tipo Número Título Fecha

N.A. N.A. N.A. N.A.

3. DEFINICIONES

3.1. Activos de Información: Los activos de información son datos o información propietaria en
medios electrónicos, impreso o entre otros medios, considerados sensitivos o críticos para
los objetivos misionales del COPNIA
3.2. Información: La información es un activo que, como otros activos importantes del negocio,
es esencial para las actividades de la entidad y, en consecuencia necesita una protección
adecuada.
3.3. Seguridad de la Información: es el conjunto de medidas preventivas y reactivas de las
organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la
información buscando mantener la confidencialidad, la disponibilidad e integridad de la
misma.
3.4. Clasificación de la Información: es el ejercicio por medio del cual se determina que la
información pertenece a uno de los niveles de clasificación estipulado por la entidad. Tiene
como objetivo asegurar que la información tenga el nivel de protección adecuado. La
información debe clasificarse en términos de sensibilidad e importancia para la organización.
3.5. Propietario de activo de información: Identifica a un individuo, un cargo o proceso o grupo
de trabajo designado por la entidad, que tiene la responsabilidad de definir los controles, el
desarrollo, el mantenimiento, el uso y la seguridad de los activos de información asignados.
 SI-pr-09
Vigente a partir de
GESTIÓN DE ACTIVOS DE Octubre 2014
INFORMACIÓN 1a. Actualización
Pág.3/27

3.6. Custodio de activo de información: Identifica a un individuo, un cargo o proceso o grupo

de trabajo designado por la entidad, que tiene la responsabilidad de administrar y hacer
efectivo los controles que el propietario del activo haya definido, con base en los controles de
seguridad disponibles en la entidad.

4. DESCRIPCIÓN DE LA ACTIVIDAD

4.1. MATRIZ DE ACTIVOS PARA EL COPNIA

Realizar un inventario clasificado de los activos de información es una parte importante del
proceso de administración de riesgos de la Entidad. El inventario debería incluir toda la
información necesaria para identificar y proteger el activo incluyendo el proceso, propietario,
custodio, Nombre de activo, descripción del activo, tipo, Clasificación, valor para la
institución, la ubicación, la información del responsable, vulnerabilidades, amenazas,
controles.

Los activos clasificados deben ser controlados para:

a) Prevenir acceso no autorizado

b) Asistir en investigaciones ante cualquier brecha de seguridad
c) Reforzar los principios de “confidencialidad, Integridad y Disponibilidad”

Para mantener controles más efectivos sobre los activos de información es necesario contar
con el sistema de gestión documental ya que le permite a la Entidad determinar:

a) Que activos de información tienen

b) Donde debe estar o ser encontrado
c) Quien tienen acceso a él o lo tenía.

Un área o entidad que confié su activo de información a otra, debe establecer los controles
necesarios para asegurar la integridad del mismo y que sea protegido de la misma forma.
 SI-pr-09
Vigente a partir de
GESTIÓN DE ACTIVOS DE Octubre 2014
INFORMACIÓN 1a. Actualización
Pág.4/27

4.2. Inventarios de activos de información

El COPNIA mediante el inventario de activos de información pretende identificar los

activos de información más importantes de la entidad y como mínimo clasificar los
activos de información que se encuentran consignados en el inventario, pretendiendo
brindar mayor protección a los activos que intervienen directamente con los procesos
del negocio de la entidad.

4.3. Procedimiento de inventario

En el procedimiento de inventario de activos de información, la actividad de definición

consiste en reconocer los activos que van hacer parte de la matriz Inventario COPNIA
y determinar la clasificación en términos de valor, confidencialidad, integridad y
disponibilidad y para estos activos definir los atributos y la información que permita
identificar el mismo en la entidad y la importancia para el negocio.

La definición es un proceso que debe ser realizado por cada proceso de la entidad para
identificar o incluir nuevos activos de información en la matriz Inventario COPNIA.

El procedimiento de definición de activos de información del COPNIA se lleva de la

siguiente manera:

No. Nombre de la Descripción Responsable

Actividad
1 El Responsable de seguridad de la
información orienta el proceso de Responsable de
Realizar el levantamiento de activos de seguridad de la
levantamiento de información, coordinando con información y
Activos de Información responsables y custodios de responsables y
información, las tareas de custodios de
identificación de los elementos Información.
necesarios para la realización del
inventario.
2 Se solicita la revisión de la Propietario de activo
Validar la información definición de activos de información de Información,
de los activos de realizada por el propietario del Custodio del Activo y
información activo de información designado y Profesional en
del custodio del activo designado. gestión de Calidad de
cada área.
3 Diligenciar información
 SI-pr-09
Vigente a partir de
GESTIÓN DE ACTIVOS DE Octubre 2014
INFORMACIÓN 1a. Actualización
Pág.5/27

en la matriz de Se diligencia la matriz de acuerdo a Área de Sistemas y

Inventario de activos la información solicitada en la matriz Propietarios o
de información del “Inventario COPNIA” enviados por custodios de Activos.
COPNIA. (Inventario los diferentes áreas del COPNIA
COPNIA)
4 Se asigna los niveles de
Clasificar los activos clasificación de acuerdo con la Área de Sistemas y
de Información información consignada en la matriz Propietarios o
“Inventario COPNIA”. custodios de Activos.
5 Se publica en la Intranet u otros
medio informáticos el inventario de
Publicar y divulgar el activos de información.
inventario de Activos Realizar una presentación formal
de Información. del documento de inventarios y Área de Sistemas
clasificación de activos de
información a las personas que
aparezcan como propietarios o
custodios de los activos de
información.
6 Revisar y actualizar la La matriz de Inventario de activos Gestor de Calidad de
matriz de Inventario de de información del COPNIA se cada Área y Área de
activos de información revisa semestralmente o si se Sistemas
del COPNIA solicita por un gestor de calidad o el
área de sistemas.
Se debe determinar si los activos de
información son para actualizar o
para definir nuevos activos ir al
paso No. 2.

4.4. Definición y clasificación de matriz de activos de información.

 Proceso: Área o proceso que pertenece el activo de información.

 Propietario: Es una parte designada de la organización, un cargo, proceso, o grupo de

trabajo que tiene la responsabilidad de definir quienes tienen acceso y que pueden
hacer con la información y de determinar cuáles son los requisitos para que la misma
se salvaguarde ante accesos no autorizados, modificación, pérdida de la
confidencialidad o destrucción deliberada, y al mismo tiempo de definir que se hace
con la información una vez ya no sea requerida.

El término “Propietario” no implica que la persona tenga realmente los derechos de

propiedad de los activos.
 SI-pr-09
Vigente a partir de
GESTIÓN DE ACTIVOS DE Octubre 2014
INFORMACIÓN 1a. Actualización
Pág.6/27

 Custodio: Es una parte designada de la organización, un cargo, proceso, o grupo de

trabajo encargado de administrar y hacer efectivos los controles de seguridad (Toma
de copias de seguridad, asignar privilegios de: Acceso, Modificaciones, Borrado) que el
propietario de la información haya definido, con base en los controles de seguridad
disponibles en la organización.

 Nombre del Activo: Es un campo que define la manera como se va a reconocer el

activo de información en el proceso y la entidad, con un nombre particular y
diferenciable.

 Descripción (funcionalidad): Información adicional que permita identificar de manera

única el activo de información o su importancia dentro de la entidad o proceso.

 Tipo: Se define el tipo al cual pertenece el activo. Entre los cuales tenemos:
Información, software, hardware, Servicios e intangibles.

o Información: tipos de activo como: datos, sistemas de información e

información almacenada o procesada física o electrónicamente como por
ejemplo: las bases de datos, archivos de datos, contratos, acuerdos,
documentación del sistema, información sobre investigaciones, manuales de
usuario, procedimientos operativos o de soporte, planes para la continuidad del
negocio, pruebas de auditoría e información archivada física o electrónicamente.

o Software: tipos de activos como: herramientas de ofimática, herramientas de

propósito específico, herramientas de desarrollo, utilidades, aplicaciones para
acceso a la información.

o Hardware: Son activos cómo por ejemplo: Equipos de computación, equipos de

comunicaciones, medios removibles, instrumentos particulares para la ejecución
del proceso y otros equipos físicos.

o Servicios: Servicios de computación y comunicaciones. (Ejemplo: Acceso a

Internet, páginas de consulta, acceso a la red, etc.), servicios de outsorcing.
 SI-pr-09
Vigente a partir de
GESTIÓN DE ACTIVOS DE Octubre 2014
INFORMACIÓN 1a. Actualización
Pág.7/27

 Confidencialidad: Protección para que el activo de información sea accesible

solamente por aquellas personas autorizadas. En este campo en el inventario se
presenta uno de los siguientes valores:

CRITERIO DESCRIPCION DEFINICION

El conocimiento o divulgación no autorizada de este activo
MA Muy Alto de información impacta negativamente al Institución.
El conocimiento o divulgación no autorizada de este activo
A Alto de información impacta negativamente a la Institución
El conocimiento o divulgación no autorizada de este activo
de información impacta negativamente de manera
M Medio
importante al proceso.
El conocimiento o divulgación no autorizada de este activo
de información impacta negativamente de manera leve al
B Bajo
proceso.
El conocimiento o divulgación no autorizada de este activo
de información no tiene ningún impacto negativo en el
MB Muy Bajo
proceso.

 Integridad: La propiedad de salvaguardar la exactitud e integridad de los activos.

CRITERIO DESCRIPCION DEFINICION

La pérdida de exactitud y estado completo de la información
y de los métodos de procesamientos impacta
MA Muy Alto negativamente al Institución.
La pérdida de exactitud y estado completo de la información
y de los métodos de procesamientos impacta
A Alto negativamente a la Institución.
La pérdida de exactitud y estado completo de la información
y de los métodos de procesamientos impacta
M Medio negativamente de manera importante al proceso.
La pérdida de exactitud y estado completo de la información
y de los métodos de procesamientos impacta
B Bajo negativamente de manera leve al proceso.
La pérdida de exactitud y estado completo de la información
y de los métodos de procesamientos no tiene ningún
MB Muy Bajo impacto negativo en el proceso.
 SI-pr-09
Vigente a partir de
GESTIÓN DE ACTIVOS DE Octubre 2014
INFORMACIÓN 1a. Actualización
Pág.8/27

 Disponibilidad: Garantizar que los usuarios autorizados tengan acceso a los activos
de información cada vez que los requieren.

CRITERIO DESCRIPCION DEFINICION

La falta del activo de información impacta negativamente al
MA Muy Alto
Institución.
La falta del activo de información impacta negativamente a
A Alto
la Institución.
La falta del activo de información impacta negativamente de
M Medio manera importante al proceso.
La falta del activo de información impacta negativamente de
B Bajo manera leve al proceso.
La falta del activo de información no tiene ningún impacto
MB Muy Bajo negativo en el proceso.

 Valor: valor que tiene el activo de información para la entidad o específicamente para
el proceso teniendo en cuenta las características valoradas:

CRITERIO DESCRIPCION DEFINICION

La pérdida de confidencialidad, integridad o disponibilidad
MA Muy Alto del activo de información impacta negativamente al
Institución.
La pérdida de confidencialidad, integridad o disponibilidad
A Alto del activo de información impacta negativamente la entidad.
La pérdida de confidencialidad, integridad o disponibilidad
M Medio del activo de información impacta negativamente de manera
importante al proceso.
La pérdida de confidencialidad, integridad o disponibilidad
B Bajo del activo de información impacta negativamente de manera
leve al proceso.
La pérdida de confidencialidad, integridad o disponibilidad
MB Muy Bajo del activo de información no tiene ningún impacto negativo
en el proceso.

 Atributos: cada activo de información se le relaciona uno o más atributos, los cuales
permiten identificar su sensibilidad y justificar el valor asignado al activo y
adicionalmente permitirán obtener elementos que permitan darle un tratamiento
adecuado. Para la matriz de activos COPNIA los atributos son los siguientes:
 SI-pr-09
Vigente a partir de
GESTIÓN DE ACTIVOS DE Octubre 2014
INFORMACIÓN 1a. Actualización
Pág.9/27

ITEM ATRIBUTO DESCRIPCION

1 A1
2 A2
3 A3
4 A4
5 A5
6 A6
7 A7
Activo de información de clientes o terceros que debe
protegerse, de accesos no autorizados, pérdida de
integridad o indisponibilidad.
Activo de información que debe ser restringido a un número
limitado de funcionarios.
Activo de información que debe ser restringido a personas
externas al COPNIA.
Activo de información que puede ser alterado o
comprometido para fraudes o corrupción.
Activo de información que es muy crítico para las
operaciones internas del COPNIA.
Activo de información que es muy crítico para la prestación
de servicio a terceros, tales como ciudadanos, organismos
de control, u otras organizaciones.
Activo de información que ha sido declarado de
conocimiento público por parte de la persona con autoridad
para hacerlo o por alguna norma jurídica.

 Ubicación: Es la información acerca de donde se encuentra específicamente ubicado

el activo, entre los que tenemos física y electrónica.

 Electrónica: especifica la ubicación de los activos de información digitales que tienen

ubicación electrónica por ejemplo: servidores, intranet, direcciones IP, equipos de
trabajo, entre otros.

 Física: especifica la ubicación física del activo de información por ejemplo:

archivadores, archivos de áreas, centro de cómputo, oficinas, entre otros.
 Información de Contacto: Información del responsable del activo (dirección de correo,
teléfono de contacto).

 Dirección o IP de Acceso: Dirección IP que identifica el activo en la red.

 Vulnerabilidades: debilidad o fallos de seguridad de cualquier tipo que compromete la

seguridad del sistema informático.

 Amenazas: Son agentes capaces de explotar los fallos de seguridad o puntos débiles
y, como consecuencia de ello, causar perdida o daños a los activos de una entidad,
afectando sus negocios.
 SI-pr-09
Vigente a partir de
GESTIÓN DE ACTIVOS DE Octubre 2014
INFORMACIÓN 1a. Actualización
Pág.10/27

 Controles Existentes: Controles implementados hasta la fecha para prevenir el riesgo.

 Controles a Implementar: Controles a implementar para reducir el riesgo.

 Niveles de clasificación y de confidencialidad de los activos de información: Los

niveles de clasificación de los activos de información del COPNIA son los siguientes:

o Publica: El COPNIA establece que la información pública es aquella que ha sido

declarado de conocimiento público por parte de la persona con autoridad para
hacerlo o por alguna norma jurídica. Esta información puede ser entregada o
publicada sin restricciones a terceros, funcionarios o cualquier persona sin
ocasionar daños a terceros ni a los procesos de negocio del COPNIA.

o Confidencial: El COPNIA establece que la información confidencial es toda

aquella que no es pública. Y a la información pública solo pueden tener acceso
las personas que han sido declaradas usuarios legítimos de esta información
con privilegios asignados, como se expresa en la matriz de activos de
información.

Los niveles de confidencialidad de los activos de información del COPNIA son

los siguientes:

o Uso Interno: Es la información que es utilizada por el COPNIA para realizar

sus labores en los procesos y que no puede ser utilizada por terceros sin
autorización del propietarios del activo de información. En caso de ser
conocida, utilizada o modificada por personas no autorizadas impactaría de
manera leve a los procesos de la entidad.

o Restringida: Información que es utilizada por solo un grupo de funcionarios

del COPNIA para realizar sus labores y que no puede ser conocida por otros
funcionarios o terceros sin previa autorización del propietario del activo de
información. En caso de ser conocida, utilizada o modificada por personas
no autorizadas impactaría de manera importante a los procesos de la
entidad.
 SI-pr-09
Vigente a partir de
GESTIÓN DE ACTIVOS DE Octubre 2014
INFORMACIÓN 1a. Actualización
Pág.11/27

o Altamente Restringida: Información que es utilizada por solo un grupo de

funcionarios del COPNIA para realizar sus labores y que no puede ser conocida
por otros funcionarios o terceros sin previa autorización del COPNIA. En caso de
ser conocida, utilizada o modificada por personas no autorizadas impactaría de
manera grave a los procesos de la entidad.

5. ANEXOS

5.1 Matriz de Inventario de activos. (SI-fr-21)

6. CONTROL DE CAMBIOS

No. Fecha Descripción del cambio o modificación

1 Octubre 2014 Primera emisión
 SI-pr-09
Vigente a partir de
GESTIÓN DE ACTIVOS DE Octubre 2014
INFORMACIÓN 1a. Actualización
Pág.12/27

DIANA LORENA TORO CARLOS ROBERTO CARLOS ALBERTO

BETANCUR VALLEJO CUBILLOS JARAMILLO JARAMILLO
Consultor ADALID Prof. de Gestión de Sistemas Director General
ELABORÓ REVISÓ APROBÓ

ANEXO 5.1
SI-fr-21