Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ASGU05
ASGU05
BOGOTÁ D.C.
2018
1
ADMINISTRACIÓN DEL SISTEMA
PROCESO INTEGRADO DE GESTIÓN
CÓDIGO ASGU05
TABLA DE CONTENIDO
1. OBJETIVO..............................................................................................................3
2. ALCANCE..............................................................................................................3
3. ÁMBITO DE APLICACIÓN...................................................................................3
4. REQUISITOS DE CALIDAD APLICABLE...........................................................3
5. DEFINICIONES......................................................................................................4
6. GENERALIDADES................................................................................................8
7. ROLES Y RESPONSABILIDADES......................................................................8
8. DESARROLLO DE LA TEMÁTICA DE LA GUÍA...............................................9
8.1. Contexto de Seguridad y Privacidad de la Información......................9
8.2. Definición de Riesgo...............................................................................10
8.3. Riesgos de Ciberseguridad...................................................................10
8.4. Riesgos de Seguridad y Privacidad de la Información.....................11
9. METODOLOGÍA DE ANÁLISIS DE RIESGOS DE SEGURIDAD Y
PRIVACIDAD DE LA INFORMACIÓN PARA LA SUPERINTENDENCIA
NACIONAL DE SALUD..............................................................................................12
10. SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN...........................16
2
ADMINISTRACIÓN DEL SISTEMA
PROCESO INTEGRADO DE GESTIÓN
CÓDIGO ASGU05
1. OBJETIVO
2. ALCANCE
3. ÁMBITO DE APLICACIÓN
1
Tener en cuenta utilizar la última versión del documento
3
ADMINISTRACIÓN DEL SISTEMA
PROCESO INTEGRADO DE GESTIÓN
CÓDIGO ASGU05
5. DEFINICIONES
Activo: Cualquier cosa que tiene valor para la organización. La norma ISO/IEC
27000, define los siguientes tipos de activos:
- información;
- software, como programas informáticos;
- físico, como computadores;
- servicios;
- personas, y sus calificaciones, habilidades y experiencia; e
- intangibles, como reputación e imagen
4
ADMINISTRACIÓN DEL SISTEMA
PROCESO INTEGRADO DE GESTIÓN
CÓDIGO ASGU05
5
ADMINISTRACIÓN DEL SISTEMA
PROCESO INTEGRADO DE GESTIÓN
CÓDIGO ASGU05
6
ADMINISTRACIÓN DEL SISTEMA
PROCESO INTEGRADO DE GESTIÓN
CÓDIGO ASGU05
7
ADMINISTRACIÓN DEL SISTEMA
PROCESO INTEGRADO DE GESTIÓN
CÓDIGO ASGU05
Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una
o más amenazas.
6. GENERALIDADES
7. ROLES Y RESPONSABILIDADES
• Líder de Proceso
8
ADMINISTRACIÓN DEL SISTEMA
PROCESO INTEGRADO DE GESTIÓN
CÓDIGO ASGU05
9
ADMINISTRACIÓN DEL SISTEMA
PROCESO INTEGRADO DE GESTIÓN
CÓDIGO ASGU05
3
Guía para la Administración del Riesgo del Departamento Administrativo de la Función Pública (DAFP).
4
Modelo Estándar de Control Interno (MECI)
5
Procedimiento de Administración de Riesgos ASPD03 de la Superintendencia Nacional de Salud
6
Departamento Nacional de Planeación. CONPES 3854
10
ADMINISTRACIÓN DEL SISTEMA
PROCESO INTEGRADO DE GESTIÓN
CÓDIGO ASGU05
Riesgos que afectan a las personas cuyos datos son tratados y que se concreta
en la posible violación de sus derechos, la pérdida de información necesaria o el
daño causado por una utilización ilícita o fraudulenta de los mismos.
7
Departamento Nacional de Planeación. CONPES 3854, pág 24.
11
ADMINISTRACIÓN DEL SISTEMA
PROCESO INTEGRADO DE GESTIÓN
CÓDIGO ASGU05
12
ADMINISTRACIÓN DEL SISTEMA
PROCESO INTEGRADO DE GESTIÓN
CÓDIGO ASGU05
Muy Alto 5
Alto 4
Moderado 3
Bajo 2
Muy Bajo 1
Tabla 1. Medición de impacto y probabilidad
Niveles de
Descripción
Probabilidad
13
ADMINISTRACIÓN DEL SISTEMA
PROCESO INTEGRADO DE GESTIÓN
CÓDIGO ASGU05
9.1.2. Impacto
SEGURIDAD Y PRIVACIDAD DE LA
NIVEL CONCEPTO DESCRIPCIÓN
INFORMACIÓN
Si el hecho llegara a presentarse tendría
1 Muy Bajo consecuencias o efectos mínimos sobre la Afecta a una actividad del proceso.
organización
Afecta a un grupo de trabajo, a una
Si el hecho llegara a presentarse, tendría bajo impacto
2 Bajo persona, grupo de personas o algunas
o efecto sobre la organización.
actividades del proceso.
Si el hecho llegara a presentarse tendría medianas Afecta un conjunto de datos personales o
3 Moderado
consecuencias o efectos sobre la organización. el proceso.
Afecta varios conjuntos de datos
Si el hecho llegara a presentarse tendría altas
4 Alto personales o procesos de la
consecuencias o efectos sobre la organización.
organización.
Afecta toda la organización. Multas por
Si el hecho llegara a presentarse tendría desastrosas incumplimiento de la Legislación.
5 Muy Alto
consecuencias o efectos sobre la organización. Suspensión de las actividades misionales
de la organización.
Tabla 3. Valoración del Impacto
14
ADMINISTRACIÓN DEL SISTEMA
PROCESO INTEGRADO DE GESTIÓN
CÓDIGO ASGU05
Muy Alta 5 5 10 15 20 25
Alta 4 4 8 12 16 20
Moderada 3 3 6 9 12 15
Baja 2 2 4 6 8 10
Muy Baja 1 1 2 3 4 5
Valor 1 2 3 4 5
Figura 1. Mapa de Calor para la Representación de los niveles de Riesgo por Zonas
Zona de Riesgo Asumir el Riesgo: Riesgos para los cuales se determina que el nivel de exposición es adecuado
Aceptable y por lo tanto se acepta.
Zona de Riesgo Mitigar o Evitar el Riesgo: Riesgos para los cuales se requiere fortalecer los controles
Moderado existentes y/o agregar nuevos controles.
Zona de Riesgo Mitigar o Evitar el Riesgo: Implementación de controles adicionales como parte del
Importante fortalecimiento de los actuales o como resultado de haberlo compartido o transferido.
Zona de Riesgo Evitar el Riesgo: Se requiere de acciones inmediatas que permitan reducir la probabilidad y el
Inaceptable impacto de materialización.
Tabla 5. Acciones según Zona de Riesgo
15
ADMINISTRACIÓN DEL SISTEMA
PROCESO INTEGRADO DE GESTIÓN
CÓDIGO ASGU05
16
ADMINISTRACIÓN DEL SISTEMA
PROCESO INTEGRADO DE GESTIÓN
CÓDIGO ASGU05
CONTROLES DE CAMBIOS
ASPECTOS
QUE RESPONSAB FECHA DEL
CAMBIARO DETALLES DE LOS LE DE LA CAMBIO VERSIÓ
N EN EL CAMBIOS EFECTUADOS SOLICITUD DD/MM/AA N
DOCUMEN DEL CAMBIO AA
TO
Jefe Oficina
Adopción Se aprobó el presente de
del documento, mediante Tecnologías 29/06/2016 1
documento memorando 3-2016-012489 de la
Información
Se agrega acciones que se
deberán realizar como parte
del tratamiento del riesgo Jefe de la
mediante requerimiento Oficina de
Ajuste del
NURC:3-2016-019200 Tecnologías 21/10/2016 2
documento
de la
Se aprueba el cambio Información
mediante NURC: 3-2016-
019444
Ajuste del Se ajusta la metodología de Jefe de la 14/03/2017 3
documento análisis, agregando Oficina de
conceptos que permiten Tecnologías
tipificar los riesgos de de la
seguridad y privacidad, se Información
incluye la valoración de
controles existentes para la
reducción o mitigación del
riesgo inherente y se ajustan
las acciones de
implementación de
actividades de tratamiento
del riesgo.
Se aprueba el cambio
mediante NURC: 3-2017-
17
ADMINISTRACIÓN DEL SISTEMA
PROCESO INTEGRADO DE GESTIÓN
CÓDIGO ASGU05
CONTROLES DE CAMBIOS
ASPECTOS
QUE RESPONSAB FECHA DEL
CAMBIARO DETALLES DE LOS LE DE LA CAMBIO VERSIÓ
N EN EL CAMBIOS EFECTUADOS SOLICITUD DD/MM/AA N
DOCUMEN DEL CAMBIO AA
TO
004043
Mediante memorando
NURC: 3-2017-003334, se
solicita agregar conceptos,
se incluye la valoración de
controles existentes para la
Jefe de la
reducción o mitigación del
Oficina de
Ajuste del riesgo inherente y se ajustan
Tecnologías 14/03/2017 4
documento las acciones de
de la
implementación de
Información
actividades de tratamiento
del riesgo.
18
ADMINISTRACIÓN DEL SISTEMA
PROCESO INTEGRADO DE GESTIÓN
CÓDIGO ASGU05
CONTROLES DE CAMBIOS
ASPECTOS
QUE RESPONSAB FECHA DEL
CAMBIARO DETALLES DE LOS LE DE LA CAMBIO VERSIÓ
N EN EL CAMBIOS EFECTUADOS SOLICITUD DD/MM/AA N
DOCUMEN DEL CAMBIO AA
TO
Mediante memorando 3-
2017-014754 se aprueba el
presente documento.
Mediante memorando 3-
2018-000900, se solicita la
modificación el numeral 4
Requisitos de Calidad
Aplicable, en donde se
especifica que la
implementación de los
controles de la Norma Jefe de la
NTC-ISO/IEC 27001:2013 Oficina de
Ajuste del
Tecnologías 12/01/2018 6
documento en la entidad, está acorde
de la
con lo descrito en el Información
formato de declaración de
aplicabilidad, Código
ASFT30.
Mediante memorando 3-
2018-001145 se aprueba el
presente documento.
Se modifica el contenido del
documento para referenciar
la metodología para la
identificación de riesgos de
Jefe Oficina
seguridad y privacidad de la
de
Ajuste del información en la Entidad.
Tecnologías 25/09/2018 7
documento Solicitud de modificación
de la
mediante memorando NURC
Información
3-2018-015804
Se realiza aprobación
mediante memorando NURC
3-2018-016944
19