Documentos de Académico
Documentos de Profesional
Documentos de Cultura
RIESGOS DE SEGURIDAD DE LA
INFORMACIÓN
Oficina de Sistemas e Informática
TABLA DE CONTENIDO
1 INTRODUCCION................................................................................................................. 2
2 OBJETIVOS ........................................................................................................................ 3
2.1 Objetivo general .................................................................................................................3
2.2 Objetivos Específicos ..........................................................................................................3
3 MARCO NORMATIVO ........................................................................................................ 3
4 DEFINICIONES ................................................................................................................... 4
5 DESARROLLO DEL PLAN ..................................................................................................... 5
5.1 IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS ............................................................... 5
5.1.1 Programación y Agendamiento de Entrevistas ....................................................7
5.1.2 Entrevista con los Líderes ......................................................................................7
5.1.3 Identificación y Calificación de Riesgos ................................................................7
5.1.4 Valoración del Riesgo Residual .............................................................................7
5.1.5 Mapas De Calor Donde Se Ubican Los Riesgos .................................................7
5.2 TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA INFORMACION ....................................7
5.3 SEGUIMIENTO Y CONTROL ...............................................................................................10
6 CRONOGRAMA ............................................................................................................... 10
8. RECURSOS ......................................................................................................................... 11
9. INDICADORES ..................................................................................................................... 11
ÍNDICE DE ILUSTRACIONES
Ilustración 1. Estructura general de la metodología de riesgos .......................................... 6
Ilustración 2. Ciclo PHVA y la gestión de riesgos ................................................................ 6
Ilustración 3. Cronograma .................................................................................................. 10
Página 1 de 12
1 INTRODUCCION
Página 2 de 12
2 OBJETIVOS
3 MARCO NORMATIVO
NORMA DESCRIPCIÓN
Por medio del cual se expide el Decreto Único
Decreto 1078 de 2015 Reglamentario del Sector de Tecnologías de la Información
y las Comunicaciones.
Por el cual se establecen los lineamientos generales de la
política de Gobierno Digital y se subroga el capítulo 1 del
Decreto 1008 de 2018 título 9 de la parte 2 del libro 2 del Decreto 1078 de 2015,
Decreto Único Reglamentario del sector de Tecnologías de
la Información y las Comunicaciones.
Página 3 de 12
Tecnología de la información. Técnicas de seguridad.
NTC / ISO 27001:2013 Sistemas de gestión de la seguridad de la información
(SGSI).
4 DEFINICIONES
1
ISO 31000:2011
2
Ibid.
3
ISO 31000:2011
Página 4 de 12
• Riesgo aceptable: Riesgo en que la organización decide que puede convivir y/o
soportar dado a sus obligaciones legales, contractuales y/o intereses propios.
• Riesgo residual: Nivel de riesgo que permanece luego de tomar medidas de
tratamiento.
• Riesgo: Posibilidad o probabilidad de que un evento pueda afectar las funciones de la
entidad e impactar el logro de sus objetivos.
• Riesgo de seguridad digital: combinación de amenazas y vulnerabilidades en el
entorno digital. Puede debilitar el logro de objetivos económicos y sociales, así como
afectar la soberanía nacional, la integridad territorial, el orden constitucional y los
intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital y las
personas.
La técnica de análisis de riesgo para activos de información nos permite desde un punto de
vista orientado al negocio y sistémico en su naturaleza, comprender claramente los riesgos
sobre los activos de información a los que puede estar expuesto la ESAP. Es recomendable
contar con técnicas tradicionales para identificar los riesgos específicos asociados a los
activos y complementar este proceso en la medida de lo posible con la identificación de
puntos críticos de fallas, análisis de disponibilidad, análisis de vulnerabilidad, análisis de
confiabilidad y árboles de falla. El plan propuesto en este documento comprende, como se
detallará más adelante, las siguientes actividades principales: establecimiento del contexto,
identificación riesgos, estimación de riesgos, evaluación de riesgos, tratamiento de riesgo
y aceptación del riesgo, guardando coherencia con la Guía para la administración del riesgo
y el diseño de controles en entidades públicas V4, emitida por el Departamento
Administrativo de la Función Pública.
Página 5 de 12
Establecimiento del contexto
Identificar el riesgo
• Mejora • Establecer
continua contexto
• Evaluación
• Tratamiento
Actuar Planear
Verificar Hacer
• Supervisión
• Revisión • Implementar
Página 6 de 12
5.1.1 Programación y Agendamiento de Entrevistas
En esta fase se seleccionan los procesos incluidos en el alcance del SGSI de la ESAP y se
procede a programar y a agendar a los líderes de las dependencias y grupos internos de
trabajo que conforman los procesos, para la identificación de riesgos.
En esta fase, el líder de proceso evalúa el nivel de impacto vs. Probabilidad y los controles
existentes para calcular el nivel de riesgo.
En esta fase se hace una proyección de la eficacia de los controles para calcular el riesgo
residual.
Una vez ejecutadas las etapas de análisis y valoración de riesgos, y con base en los
resultados obtenidos en la determinación real de riesgos, es necesario tomar decisiones
aplicando el apetito de riesgos definido por la ESAP.
Página 7 de 12
Si el riesgo se ubica en una zona no aceptable, cada líder responsable de los riesgos
identificados con el apoyo de la Oficina de sistemas e informática, debe definir e
implementar los controles necesarios para llevar el riesgo a un nivel aceptable a través del
plan de tratamiento de riesgos.
Página 8 de 12
PROCESO / DEPENDENCIA Y/O ASUMIR EL RIESGO REDUCIR EL TOTAL
GRUPO INTERNO DE TRABAJO RIESGO
BAJO MODERADO ALTO EXTREMO
PLANEACIÓN ESTRATEGICA 8 4 12
GESTION FINANCIERA 6 1 7
/PRESUPUESTO
GESTION FINANCIERO / 10 2 12
RECAUDO Y CARTERA
CAPACITACION / SECRETARIA 3 3
GENERAL
CAPACITACION / GRUPO DE 1 3 4
SERVICIOS AL CIUDADANO
TOTAL 121 16 33 1 171
137 34
Controles recomendados
Frente a los 34 riesgos con estrategia de mitigación, para su gestión se proponen los
siguientes controles de la norma ISO 27001 – Anexo A:
Página 9 de 12
5.3 SEGUIMIENTO Y CONTROL
El seguimiento y control se realiza de acuerdo a la GUÍA PARA LA ADMINISTRACIÓN DE
RIESGO v2 DC-S-GC-06.
6 CRONOGRAMA
Ilustración 3. Cronograma
Página 10 de 12
8. RECURSOS
La estimación y asignación de los recursos para el plan de tratamiento de riesgos de
Seguridad de la información identificados en la entidad, corresponderá al dueño del riesgo,
quien es el responsable de contribuir con el seguimiento y control de la gestión, además de
la implementación de los controles definidos en el plan de tratamiento.
Si el establecimiento de los controles implica la adquisición de herramientas tecnológicas
bajo la responsabilidad de la Oficina de sistemas e informática, los recursos de inversión se
tomarán del proyecto “Fortalecimiento de las tecnologías de la información y la
comunicación en la ESAP a nivel nacional.”
9. INDICADORES
La medición se realiza con un indicador de gestión que está orientado principalmente a
disminuir el número de riesgos identificados con nivel alto y externo a través de la
implementación y evaluación de controles.
El número de riesgos identificados como no aceptables no debe ser superior al 20% del
total de riesgos identificados.
Página 11 de 12
Los activos de información de la ESAP se encuentran disponibles para consulta en la página
web https://www.esap.edu.co/portal/index.php/transparencia-2/ en la opción Instrumentos
de gestión de Información de gestión pública.
Página 12 de 12