Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
GUÍA DE GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
PARA LA OFICINA DE TECNOLOGÍA DE LA INFORMACIÓN Y LA
COMUNICACIÓN – OTIC DEL MINISTERIO DE SALUD Y PROTECCIÓN
SOCIAL, TOMANDO COMO BASE LA NORMA ISO 27001:2013
Tutor
LORENA OCAMPO CORREA
Ingeniera
2
Nota de aceptación
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
Firma del presidente del jurado
________________________________
Firma del jurado
________________________________
Firma del jurado
3
CONTENIDO
pág.
INTRODUCCION 18
1. JUSTIFICACIÓN 19
3. OBJETIVOS 22
3.1 OBJETIVO GENERAL 22
3.2 OBJETIVOS ESPECÍFICOS 22
4. MARCO TEÓRICO 23
4.1 METODOLOGÍAS DE GESTIÓN DE RIESGOS 23
4.1.1 NTC-ISO/IEC 27005:2008. Tecnologías de la información – Técnicas de
seguridad – Gestión de Riesgos de seguridad de la Información. 23
4.1.2 Bs 7799-3:2006 25
4.1.3 Magerit 26
4.1.4 Octave 28
4.1.4.1 Octave 29
4.1.4.2 Octave-S 29
4.1.4.3 Octave Allegro 30
4.1.5 NIST SP 800-30 30
4.1.6 ISO 31000 31
4.1.7 Cramm. 32
4.1.8 Fair. 33
4.2 GESTIÓN DE INCIDENTES 33
4.2.1 Objetivo de un modelo de gestión de incidentes. 34
4.2.2 Tratamiento de incidentes. 35
4.2.3 Consecuencias de una mala gestión de incidentes. 36
4.2.4 Posibles inconvenientes al implementar la gestión de incidentes. 36
4.2.5 Beneficios de la gestión de incidentes. 36
4
6. METODOLOGÍA DE GESTIÓN DE RIESGOS EN SEGURIDAD DE LA
INFORMACIÓN 55
6.1 DEFINICIÓN DEL ALCANCE 55
6.2 ACTIVOS 56
6.2.1 Identificación de activos. 56
6.2.1.1 Información pura 56
6.2.1.2 Servicios. 56
6.2.1.3 Software 57
6.2.1.4 Hardware. 59
6.2.1.5 Infraestructura. Instalaciones que acogen equipos informáticos y de
comunicaciones del Ministerio. 60
6.2.1.6 Conocimiento del Personal 60
6.2.1.7 Intangibles 60
6.2.2 Valoración de activos. 60
6.2.2.1 Valoración de los activos en términos de su confidencialidad 61
6.2.2.2 Valoración de los activos en términos de su integridad 61
6.2.2.3 Valoración de los activos en términos de su disponibilidad 62
6.3 AMENAZAS 63
6.3.1 Amenazas de origen natural. 63
6.3.2 Amenazas por defectos de aplicaciones. 63
6.3.3 Amenazas causadas por personas de forma accidental. 63
6.3.4 Amenazas causadas por personas de forma intencional. 64
6.4 VULNERABILIDADES E IMPACTO 66
6.5 DETERMINACIÓN DEL RIESGO 68
6.5.1 Identificación de los riesgos 68
6.5.2 Valoración de los riesgos. 68
6.5.2.1 Valoración de los activos de información identificados 69
6.5.2.2 Identificación de vulnerabilidades y amenazas (causas de riesgo) 70
6.5.2.3 Análisis del riesgo 70
6.5.2.4 Identificación del riesgo 70
6.5.2.5 Identificación del tipo de impacto 70
6.5.2.6 Estimación del riesgo 70
6.5.2.7 Evaluación del Riesgo 80
6.6 IDENTIFICACIÓN DE SALVAGUARDAS 81
6.7 MATRIZ DE RIESGOS 81
5
7.4.4 Multicomponente 87
7.4.5 Incidentes de impacto alto. 87
7.4.6 Incidentes de impacto medio. 88
7.4.7 Incidentes de impacto bajo. 88
7.4.8 Unificación tipo de incidente e impacto 88
7.5 PRIORIZACIÓN DEL INCIDENTE 89
7.6 CONTENCIÓN, ERRADICACIÓN Y RECUPERACIÓN 91
7.6.1 Estrategias de contención. 91
7.6.2 Recolección de evidencia 92
7.6.2.1 Información basada en la red. 92
7.6.2.2 Información Basada en el equipo. 92
7.6.3 Manejo de evidencias 92
7.6.4 Identificación de fuentes de ataque. 92
7.6.5 Posibles ataques que pueden ser identificados. 92
7.6.6 Indicadores. 93
7.6.7 Estrategias de erradicación. 93
7.6.8 Estrategias de recuperación. 93
7.7 PLAN DE COMUNICACIÓN Y NIVELES DE ESCALAMIENTO PARA LA
GESTIÓN DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 94
7.7.1 Plan de comunicación. 94
7.7.2 Niveles de escalamiento. 94
7.8 RESPUESTA Y TRATAMIENTO 95
7.8.1 Equipo de respuesta a Incidentes 95
7.8.2 Respuestas a los incidentes. 95
7.9 ACTIVIDADES POST-INCIDENTES 96
7.9.1 Lecciones aprendidas. 96
7.9.2 Uso de los datos y evidencias recolectadas. 96
7.9.3 Retención de las evidencias. 96
7.10 RESPONSABILIDADES 96
7.10.1 Incidente de impacto alto. 97
7.10.2 Incidente de impacto medio. 97
7.10.3 Incidente de impacto bajo. 97
7.10.4 Responsabilidades adicionales. 97
7.10.4.1 Responsable de seguridad de la información. 97
7.10.4.2 Líder de la OTIC. 97
7.10.4.3 Líder de Talento Humano. 97
7.10.4.4 Servidores públicos. 97
7.11 TRATAMIENTO ESPECIAL PARA LOS INCIDENTES RECURRENTES 98
7.11.1 Tratamiento basado en las mejores prácticas de ITIL versión 3. 98
7.11.1.1 Funciones principales de la gestión de problemas 98
7.11.1.2 Fases de la gestión de problemas 99
7.11.2 Recomendaciones basadas en la guía de gestión de MINTIC. 100
7.12 RECOMENDACIONES PARA PREVENIR LA OCURRENCIA DE
INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 101
7.12.1 Manipulación de los registros de actividad (Logs). 101
6
7.12.2 Manipulación de la configuración. 101
7.12.3 Suplantación de la identidad del usuario. 102
7.12.4 Abuso de privilegios de acceso. 102
7.12.5 Uso no previsto. 103
7.12.6 Difusión de software dañino (virus, gusanos, malware, troyanos). 103
7.12.7 Acceso no autorizado. 103
7.12.8 Modificación intencional de la información. 104
7.12.9 Destrucción de información. 104
7.12.10 Denegación de servicio 104
7.12.11 Robo o pérdida de un recurso informático 105
7.12.12 Indisponibilidad del personal. 105
7.12.13 Ataque de ingeniería social. 106
7.12.14 Fuego: Incendio. 106
7.12.15 Daños por agua. 106
7.12.16 Desastre natural: terremoto, tormenta eléctrica, ciclones. 107
7.12.17 Deficiencias en la organización. 107
7.12.18 Vulnerabilidades de las aplicaciones. 107
7.12.19 Análisis de tráfico 108
7.12.20 Interceptación de información (escucha). 108
ANEXOS 124
7
LISTA DE FIGURAS
pág.
8
LISTA DE GRÁFICAS
pág.
9
LISTA DE TABLAS
pág.
10
LISTA DE CUADROS
pág.
11
LISTA DE ANEXOS
pág.
12
GLOSARIO
2005.p.54.
5 INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Information technology. ISO 2700 Op.cit.,
p.9.
6 Ibid., p.7.
7 COMISIÓN DE ENERGIA Y GAS. Gestión de Incidentes de la vida real. Bogotá : CREG, 2015.p.22.
8 Ibid., p.23.
9TF-CSIRT. Trusted Introducer. [en línea].Canada [Citado 13 de diciembre, 2016] Disponible en Internet: <
URL:https://www.trusted-introducer.org/directory/country_LICSA.html>
13
DISPONIBILIDAD: propiedad de que la información sea accesible y utilizable por
solicitud de una entidad autorizada. 10
GUSANO: programa que se reproduce por sí mismo, puede viajar a través de redes
y difundirse a través de estas generando intenso tráfico para volverlas lentas.16
10 Ibid., p.23.
11 Ibid., p.23.
12 Ibid., p.24.
13 Ibid., p.24.
14 RAE. Diccionario de la Real Academia de la Lengua Española, 2016. p.64.
15 Ibid., p.65.
16 DA COSTA, Carlos. Fundamentos de tecnología documental. Madrid : Editorial Complutense, 1992.p.54.
17 BARNARD, Robert. Intrusion Detection Systems. Washington : Butterworth-Heinemann, 1988.p.32.
18 INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Information technology. ISO 2700 Op.cit.,
p.9.
14
INFORMACIÓN: es un activo que, como otros activos importantes del negocio, es
esencial para las actividades de la organización y, en consecuencia, necesita una
protección adecuada. 19
LOGS: registro de los sistemas de información que permite verificar las tareas o
actividades realizadas por un determinado usuario o sistema. Término anglosajón
equivalente a la palabra 'bitácora' en español.23
19 Ibid., p.11.
20 Ibid., p.11.
21 JURHS, Peter Allyn. Information Technology Infrastructure Library Problem Management Practices in Higer
p.11.
23 CLARK, Alice y CLARK, Edward. Diccionario Inglés - Español de Computación e Internet. Boca Raton,
15
RIESGO: posibilidad de que una amenaza concreta pueda explotar una
vulnerabilidad para causar una pérdida o daño en un activo de información. Suele
considerarse como una combinación de la probabilidad de un evento y sus
consecuencias. 26
p.14.
31 Ibid., p.15
32 CLARK. Op.cit., p.15.
16
VALOR DEL ACTIVO: está determinado por el valor de la confidencialidad,
integridad y disponibilidad del activo de información. 33
VIRUS TROYANO: virus informático que ingresa al sistema a través de otro archivo.
34
17
INTRODUCCION
18
1. JUSTIFICACIÓN
Existe una constante incertidumbre por parte de las organizaciones del mundo en
materia de seguridad de la información, pues se ha dado un crecimiento en la
cantidad de ataques informáticos, pérdida, robo y secuestro de información, no
disponibilidad de los activos de información y otros tantos que generan pérdidas
operacionales, de imagen y económicas a las organizaciones.
35COLOMBIA. CONSEJO NACIONAL DE POLÍTICA ECONÓMICA Y SOCIAL - CONPES 3854 (11, abril,2016).
Política Nacional de Seguridad Digital. Bogotá, 2016. p.5.
36 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Tecnologías de la información.
Técnicas de seguridad. Sistema de Gestión de la Seguridad de la Información. Requisitos. NTC-ISO/IEC 27001.
Bogotá: ICONTEC,2013. p.6.
37 JARA, Héctor y PACHECO, Federico. Ethical Hacking 2.0. Bueno Aires: Fox Andina; Dálaga SA, 2012. p.978.
19
vulnerabilidades identificadas, así como en los ataques que se llevaron a cabo
dentro de la red.
Ministerio, 2016.p.31.
20
2. FORMULACIÓN DEL PROBLEMA
40 ARQUILLA, John y RONFELDT, David. Redes y guerras en red. El futuro del terrorismo, el crimen organizado
y el activismo político. Madrid: Alianza Editorial, 2003. p.102.
41 ROIG, Gustavo. Hacktivismo: Hackers y Redes Sociales. En: Revista Jóvenes, globalización y movimientos
altermundistas. Enero-marzo, 2007, vol.7, no.11, p. 201.
42 BANCO INTERAMERICANO DE DESARROLLO Y ORGANIZACIÓN DE LOS ESTADOS AMERICANOS
Informe Ciberseguridad. [en línea]. Bogotá: [citado 3 junio, 2016]. Disponible en Internet: < URL
https://publications.iadb.org/handle/11319/7449?locale-attribute=es. CC-IGO 3.0>
21
3. OBJETIVOS
22
4. MARCO TEÓRICO
ISO/IEC TR 13335-3:199848
ISO/IEC TR 13335-4:200049
BS 7799- 3:2006.
43 FERNÁNDEZ, Dámaris. Modelo de gestión de riesgos de TI de acuerdo con las exigencias de la SBS,
basados en las ISO/IEC 27001, ISO/IEC 17799, Magerit para la Caja de Ahorro y Créditos Sipan SA. Lima-
Perú: Universidad Católica Santo Toribio de Mogrovejo - Escuela de Ingeniería de Sistemas y Computación.
Tesis de grado, 2015. p.42.
44 GAONA, Karina del Rocio. Aplicación de la metodología Magerit para el análisis y gestión de riesgos de la
seguridad de la información, aplicado a la empresa pesquera e industrial Bravito S.A en la ciudad de Machala.
Quito-Ecuador: Universidad Politécnica Salesiana. Facultad de Ingeniería de Sistemas. Tesis de grado, 2013.
p.72.
45 MATALOBOS, Juan Manuel. Análisis de Riesgos de Seguridad de la Información. Madrid: Universidad
Politécnica de Madrid - Facultad de Informática. Tesis de grado, 2009. p.32
46 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Gestión de riesgos de la
Seguridad la Información. NTC-ISO/IEC 27005. Bogotá: ICONTEC, 2008. p.11.
47 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. NTC-ISO 31000. Op.cit., p.19.
48 INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Techniques for the management of IT
Security. Switzerland: ISO/IEC-TR 13335-3: ISO, 1998, p.8.
49 INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Part 4: Selection of safeguards. Switzerland:
Switzerland. ISO/IEC TR-13335-4. ISO, 2000. p.16.
23
El proceso de gestión de riesgos se describe en las siguientes 6 cláusulas:
Identificación de riesgos
Estimación de riesgos
Evaluación de riesgos
Cláusula 10. Aceptación de riesgos. Determina los riesgos que se decide aceptar y
la justificación correspondiente a cada riesgo aceptado.
24
4.1.2 Bs 7799-3:2006. Sistema de Gestión de Seguridad de la Información –
Parte 3: Guía para la gestión de riesgos de seguridad de la información. La
norma BS 7799-3:200650 fue definida para soportar la planeación e implementación
de Sistemas de Gestión de Seguridad de la Información basados en el estándar
ISO/IEC 27001:200551. Consta de los siguientes procesos para el análisis de
riesgos:
a) Análisis de riesgos
b) Evaluación de riesgos:
Calculo de riesgos.
Evaluación de los riesgos teniendo en cuenta una escala de riesgos.
- Reducir
- Aceptar
- Transferir
- Evitar
50 BRITISH STANDARD. Information security management systems part 3 Guidelines for information security
risk management. [en línea]. New York [citado 13 diciembre, 2016]. Disponible en Internet: < URL:
https://temaseginf.files.wordpress.com/2013/05/bs-7799-3-2006-open.pdf.>
51 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. NTC-ISO 27001:2005. Op.cit.,
p.11.
25
d) Actividades de gestión continua del riesgo:
Mantenimiento y monitorización.
Revisión por la Alta Dirección.
Revisiones y reevaluaciones de riesgos.
Auditorías.
Controles de documentación.
Acciones correctivas y preventivas.
Reporte y comunicaciones
Información Libro II. Catalogo de elementos. Madrid: Ministerio de Hacienda y Administraciones Públicas, 2012.
p.43.
54 GOBIERNO DE ESPAÑA, MAGERIT. V3 Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información Libro III - Guía de Técnicas. Madrid: Ministerio de Hacienda y Administraciones Públicas, 2012.
p.31.
26
Es una metodología abierta definida por el gobierno español de uso obligatorio por
parte de la administración pública española. La metodología consta de 3 partes:
Tipos de activos
Dimensiones y criterios de valoración
Amenazas
Salvaguardas
Técnicas generales
- Análisis coste-beneficio
- Diagramas de flujo de datos (DFD)
- Diagramas de procesos
- Técnicas gráficas
- Planificación de proyectos
- Sesiones de trabajo: entrevistas, reuniones y presentaciones
- Valoración Delphi
27
En la figura 3, se muestra el modelo de la metodología MAGERIT Versión 3.0:
Las tres (3) metodologías publicadas por el Software Engineering Institute (SEI) de
la Universidad de Carnegie Mellon son:
55 ALBERTS, Christopher y DOROFEE, Audrey. Method Implementation Guide Version 2.0. Pittsburgh:
Carnegie Mellon University, 2001. p.57.
56 ALBERTS, Christopher y DOROFEE, Audrey. Managing Information Security Risks. The Octave Approach.
Pittsburgh: Addison-Wesley Professional, 2003.p. 36.
57 ALBERTS, Christopher; DOROFEE, Audrey ; STEVENS, James y WOODY, Carol. Introduction to the Octave
Approach. Pittsburgh: Carnegie Mellon University, 2003. p.52.
58 ALBERT, Cecilia y otros. OCTAVE-S Implementation Guide Version 1.0. Pittsburgh: Software Engineering
Institute, 2005. p.64.
28
Octave Allegro. Metodología definida para analizar riesgos con un mayor enfoque
en los activos de información, en oposición al enfoque en los recursos de
información59.
4.1.4.1 Octave
4.1.4.2 Octave-S.
59CARALLI, Richard A. y otros. Introducing OCTAVE Allegro: Improving the Information Security Risk
Assessment Process. Pittsburgh: Software Engineering Institute, 2007. p.43.
29
4.1.4.3 Octave Allegro.
Identificar riesgos
Analizar riesgos
Seleccionar enfoque de mitigación
30
El proceso de análisis de riesgos enfocado a la seguridad de la información definido
por la metodología NIST SP 800-3060 puede observarse en la figura 5.
31
implementado en el nivel estratégico y operativo61. La norma busca que el riesgo se
gestione de una manera eficaz en cualquier organización.
La ISO 31000 permite a las organizaciones:
32
Management Method. La primera versión es del año 1987 y la versión actual es la
5.2 basada en las mejores prácticas de la administración pública británica, por lo
que es más adecuado para organizaciones grandes, tanto públicas como
privadas62.
33
Figura 7. Fases de la Gestión de Incidentes en Seguridad de la Información.
34
estructurado y bien planificado que permita manejar adecuadamente los incidentes
de seguridad de la información66. Los objetivos de este modelo son:
Los incidentes que son reiterativos o que son considerados como graves, puede
dársele un tratamiento especial como problema. La gestión del problema difiere de
la gestión de incidentes, pues esta debe ser desarrollada por otro equipo de trabajo
que se encarga de identificar su causa. Al conocerse la causa del error este puede
subsanarse mediante un cambio, el cual será de competencia del equipo de gestión
de cambios.
35
4.2.3 Consecuencias de una mala gestión de incidentes. Una inadecuada
gestión de incidentes puede ocasionar efectos negativos como:
Que no estén claramente definidos los servicios a ser atendidos, y que por ello
se atiendan solicitudes que no correspondan con el alcance del equipo de gestión
de incidentes.
36
5. ESTADO ACTUAL DE LA GESTIÓN DE INCIDENTES EN EL MSPS
37
Tabla 1. (Continuación)
DOFA Seguridad de la información
Ministerio de Salud y Protección Social
FORTALEZAS (F) AMENAZAS (A)
38
Tabla 2. Estrategias DO acorde con los controles de la NTC-ISO/IEC
27001:2013.
Estrategias identificadas para el MSPS
Estrategias DO - Vencer debilidades aprovechando oportunidades
Control
Descripción NTCISO/IEC Descripción de numerales y controles
27001:2013
Recursos. Se debe determinar y proporcionar
Destinar los recursos los recursos necesarios para el
7.1
y esfuerzos que sean establecimiento, implementación,
necesarios para hacer mantenimiento y mejora continua del SGSI.
una identificación Inventarios de activos. Se deben identificar los
completa de los activos asociados con información e
activos de información A.8.1.1 instalaciones de procesamiento de información,
de la entidad en pro y se debe elaborar y mantener un inventario de
de lograr su adecuada éstos activos.
gestión y Propiedad de los activos. Los activos
administración. A.8.1.2 mantenidos en el inventario deben tener un
propietario.
Implementar en toda Políticas de seguridad de la información. Se
la entidad la política debe definir un conjunto de políticas para la
que todo contratista A.5.1.1 seguridad de la información, aprobada por la
debe documentar muy alta dirección, publicada y comunicada a los
bien sus actividades y empleados y a las partes externas pertinentes.
hacer transferencia de Procedimientos de operación documentados.
sus conocimientos a Los procedimientos de operación se deben
A.12.1.1
los funcionarios de documentar y poner a disposición de todos los
planta. usuarios que los necesitan.
Revisión técnica de las aplicaciones después
A.14.2.3
de cambios en la plataforma de operación.
Principios de construcción de los sistemas
Revisar y afinar las seguros. Se deben establecer, documentar y
aplicaciones cuyo mantener principios para la construcción de
A.14.2.5
desempeño está por sistemas seguros, y aplicarlos a cualquier
debajo de lo actividad de implementación de sistemas de
esperado, información.
optimizando su Pruebas de seguridad de sistemas. Durante el
diseño, codificación, A.14.2.8 desarrollo se deben llevar a cabo pruebas de
interoperabilidad e funcionalidad de la seguridad.
implementando Prueba de aceptación de sistemas. Para los
buenas prácticas de sistemas de información nuevos,
seguridad. actualizaciones y nuevas versiones, se deben
A.14.2.9
establecer programas de prueba para
aceptación y criterios de aceptación
relacionados.
39
Tabla 2. (Continuación)
Estrategias identificadas para el MSPS
Estrategias DO - Vencer debilidades aprovechando oportunidades
Control NTC-
Descripción ISO/IEC Descripción de numerales y controles
27001:2013
Mediante la activa
participación de los
funcionarios de las Toma de conciencia. Se debe tomar
entidades adscritas conciencia sobre:
y vinculadas al
MSPS, incorporar a. Política de Seguridad de la Información
elementos de b. Su contribución a la eficacia del SGSI,
seguridad de la 7.3 incluyendo los beneficios de una mejora
información en cada del desempeño de las Seguridad de la
uno de los procesos Información.
interinstitucionales y c. Las implicaciones de la no conformidad
sensibilizar a sus con los requisitos del SGSI
gestores respecto
de la importancia de
la seguridad.
Definir para los
funcionarios
responsables de las
aplicaciones, la
entrega de la
documentación
completa de las
aplicaciones y sus
Procedimientos de operación
correspondientes
documentados. Los procedimientos de
actualizaciones
A.12.1.1 operación se deben documentar y poner a
como uno de los
disposición de todos los usuarios que los
productos del
necesitan.
contrato para el caso
de los contratistas y
como uno de los
compromisos
laborales para el
caso de los
funcionarios de
planta.
40
Tabla 2. (Continuación)
Estrategias identificadas para el MSPS
Estrategias DO - Vencer debilidades aprovechando oportunidades
Control NTC-
Descripción ISO/IEC Descripción de numerales y controles
27001:2013
Llevar a cabo
campañas de
Toma de conciencia. Se debe tomar conciencia
sensibilización en
sobre:
seguridad de la
a. Política de Seguridad de la Información
información para
b. Su contribución a la eficacia del SGSI,
todos los funcionarios
7.3 incluyendo los beneficios de una mejora del
del sector salud en
desempeño de las Seguridad de la
forma permanente,
Información.
mediante la
c. Las implicaciones de la no conformidad con
realización de charlas,
los requisitos del SGSI
talleres y actividades
lúdicas.
Fuente: Los Autores.
41
Tabla 3. (Continuación)
Estrategias identificadas para el MSPS
Estrategias FO - Uso de fortalezas para aprovechar oportunidades
Control NTC-
Descripción ISO/IEC Descripción de numerales y controles
27001:2013
Liderazgo y compromiso. La alta dirección
Con el apoyo de la alta 5.1 debe demostrar el liderazgo y compromiso con
dirección promover la respecto al SGSI.
implementación y Políticas para la Seguridad de la Información.
aplicación de buenas Se debe definir un conjunto de políticas para la
prácticas para el manejo A.5.1.1 seguridad de la información, aprobada por la
seguro de la información. alta dirección, publicada y comunicada a los
empleados y a las partes externas pertinentes.
Comunicación. La organización debe
determinar la necesidad de comunicaciones
Incentivar y promover la internas y externas pertinentes al SGSI.
certificación en la norma a. Contenido de la comunicación.
NTC-ISO/IEC 27001:2013 7.4 b. Cuándo comunicar.
de otros procesos c. A quién comunicar
importantes de la entidad. d. Quién debe comunicar
e. Los procesos para llevar a cabo la
comunicación.
Aprovechar los
conocimientos de los
expertos de Microsoft para
Gestión de cambios. Se deben controlar los
realizar afinamientos a las
cambios en la organización, en los procesos
aplicaciones en cuanto a
A.12.1.2 de negocio, en las instalaciones y en los
diseño, programación e
sistemas de procesamiento de información
interoperabilidad con otras
que afectan la seguridad de la información.
aplicaciones e
implementación de buenas
prácticas de seguridad.
Teniendo en cuenta el
posicionamiento que tiene Comunicación. La organización debe
la entidad dentro del sector determinar la necesidad de comunicaciones
de salud y protección internas y externas pertinentes al SGSI.
social, transmitir a las a. Contenido de la comunicación.
entidades adscritas y 7.4 b. Cuándo comunicar.
vinculadas la importancia c. A quién comunicar.
de implementar d. Quién debe comunicar.
mecanismos que Los procesos para llevar a cabo la
garanticen la seguridad de comunicación.
la información.
42
Tabla 3. (Continuación)
Estrategias identificadas para el MSPS
Estrategias FO - Uso de fortalezas para aprovechar oportunidades
Control NTC-
Descripción ISO/IEC Descripción de numerales y controles
27001:2013
Garantizar una
infraestructura con
adecuadas condiciones Políticas y procedimientos de
de seguridad y transferencia de información. Se debería
desempeño para que las contar con políticas, procedimientos y
charlas y capacitaciones A.13.2.1 controles de transferencia formales para
que se ofrezcan a través proteger la transferencia de información
de videoconferencia mediante el uso de todo tipo de
sean de buena calidad y instalaciones de comunicación.
tengan amplia
cobertura.
Implementar y actualizar
permanentemente los
mecanismos que e. Privacidad y protección de información
permitan atender de de datos personales. Se deben
forma eficiente y asegurar la privacidad y la protección
oportuna las peticiones A.18.1.4 de la información de datos personales,
de los ciudadanos, como se exige en la legislación y la
salvaguardando la reglamentación pertinentes, cuando
confidencialidad e sea aplicable.
integridad que esta
información requiere.
Fuente: Los Autores.
43
Tabla 4. Estrategias DA acorde con los controles de la NTC-ISO/IEC
27001:2013.
Estrategias identificadas para el MSPS
Estrategias DA - Reducir debilidades evitando amenazas
Control NTC-
Descripción ISO/IEC Descripción de numerales y controles
27001:2013
Valoración de riesgos de la seguridad de la
Realizar una campaña
información.
específica destinada a 6.1.2 c)
c. Identifique los riesgos de la
sensibilizar a todos los
seguridad de la información.
funcionarios de la entidad,
frente a la gran facilidad con Derechos de propiedad intelectual. Se
que se puede ser víctima de deben implementar procedimientos
un ataque de ingeniería apropiados para asegurar el cumplimiento
social y las graves de los requisitos legislativos, de
A.18.2.1
repercusiones que esto reglamentación y contractuales
puede tener para la relacionados con los derechos de
seguridad de la información. propiedad intelectual y el uso de productos
de software patentados.
Tratamiento de riesgos de seguridad de la
información. La organización debe definir y
aplicar un proceso de tratamiento de
riesgos de la Seguridad de la información.
Gestionar una adecuada a. Seleccionar las opciones
implementación y apropiadas de tratamiento de
actualización de las riesgos de la seguridad de la
salvaguardas de la 6.1.3 a), b) información, teniendo en cuenta los
seguridad de la información resultados de la valoración de
sobre los activos de la riesgos.
entidad. b. Determinar todos los controles que
sean necesario para implementar
las opciones escogidas para el
tratamiento de riesgos de la
seguridad de la información.
Verificar la correcta
implementación y
documentación de las
buenas prácticas en
Seguimiento, medición, análisis y
seguridad de aplicaciones
evaluación. La organización debe evaluar
para la incorporación de 9.1
el desempeño de la seguridad de la
nuevas funcionalidades. En
información y la eficacia del SGSI.
caso de encontrarse
deficiencias se deben
aplicar los correctivos
correspondientes.
44
Tabla 4. (Continuación)
Estrategias identificadas para el MSPS
Estrategias DA - Reducir debilidades evitando amenazas
Control NTC-
Descripción ISO/IEC Descripción de numerales y controles
27001:2013
Políticas para la Seguridad de la
Información. Se debe definir un conjunto
de políticas para la seguridad de la
A.5.1.1 información, aprobada por la alta
dirección, publicada y comunicada a los
empleados y a las partes externas
pertinentes.
Procedimientos de control de cambios en
sistemas. Los cambios a los sistemas
dentro del ciclo de vida de desarrollo se
A.14.2.2
deben controlar mediante el uso de
procedimientos formales de control de
cambios.
Revisión técnica de las aplicaciones
después de cambios en la plataforma de
operación. Cuando se cambian las
plataformas de operación, se deben
A.14.2.3 revisar las aplicaciones críticas del
negocio, y someter a prueba para asegurar
que no haya impacto adverso en las
operaciones o seguridad de la
organización.
Restricciones en los cambios a los
paquetes de software. Se deben
desalentar las modificaciones a los
A.14.2.4 paquetes de software, los cuales se deben
limitar a los cambios necesarios, y todos
los cambios se deben controlar
estrictamente.
Principios de construcción de los sistemas
seguros. Se deben establecer,
documentar y mantener principios para la
A.14.2.5 construcción de sistemas seguros, y
aplicarlos a cualquier actividad de
implementación de sistemas de
información.
45
Tabla 4. (Continuación)
Estrategias identificadas para el MSPS
Estrategias DA - Reducir debilidades evitando amenazas
Control NTC-ISO/IEC
Descripción Descripción de numerales y controles
27001:2013
Modelar e implementar
reglas y validaciones que
permitan apoyar de forma
efectiva el proceso de
Gestión de derechos de acceso
verificación de
privilegiado. Se debe restringir y
cumplimiento de A.9.2.3
controlar la asignación y uso de
requisitos para hacerse
derechos de acceso privilegiado.
acreedor a las
autorizaciones de giros de
recursos que hace la
entidad.
Revisar, depurar y Gestión de cambios. Se deben
optimizar controlar los cambios en la
permanentemente el organización, en los procesos de
desempeño de las A.12.1.2 negocio, en las instalaciones y en
aplicaciones, para evitar los sistemas de procesamiento de
que por demoras en el información que afectan la
procesamiento de seguridad de la información.
información relacionada
con cobros de las EPS,
sujetos al cumplimiento
de tiempos de Gestión de capacidad. Se debe
presentación, la entidad hacer seguimiento al uso de los
se vea avocada a recursos, hacer los ajustes, y
demandas por A.12.1.3 hacer proyecciones de los
incumplimiento de su requisitos de capacidad futura,
obligación legal de para asegurar el desempeño
adelantar oportunamente requerido del sistema
los trámites para
aprobación de giros de
recursos.
Fuente: Los Autores.
46
5.2.4 Estrategias FA acorde con los controles de la NTC-ISO/IEC 27001:2013.
Las siguientes son las estrategias FA identificadas con base en las Fortalezas y
Amenazas del MSPS identificadas en el numeral 5.1.
47
Tabla 5. (Continuación)
Estrategias identificadas para el MSPS
Estrategias FA - Usar fortalezas para evitar amenazas
Control NTC-ISO/IEC
Descripción 27001:2013
Descripción de numerales y controles
48
Tabla 5. (Continuación)
ESTRATEGIAS IDENTIFICADAS PARA EL MSPS
Estrategias FA - Usar fortalezas para evitar amenazas
Control NTC-
Descripción ISO/IEC 27001:2013
Descripción de numerales y controles
Seguimiento, medición, análisis y
evaluación. La organización debe
Aprovechar el amplio 9.1 evaluar el desempeño de la
conocimiento técnico y la seguridad de la información y la
experiencia que tiene el eficacia del SGSI.
recurso humano de la Cumplimiento con las políticas y
entidad, para comprobar la normas de seguridad. Los
efectividad de los controles directores deben revisar con
establecidos en la regularidad el cumplimiento del
verificación del cumplimiento procesamiento y procedimientos de
A.18.2.2
de requisitos para la información dentro de su área de
autorización de giros. En responsabilidad, con las políticas y
caso de requerirse, redefinir normas de seguridad apropiadas, y
o eliminar controles cualquier otro requisito de
existentes y crear otros de seguridad.
tal forma que se garantice la Revisión del cumplimiento técnico.
autorización de giros sólo a Los sistemas de información se
quienes realmente tenga el deben revisar periódicamente para
A.18.2.3
derecho. determinar el cumplimiento con las
políticas y normas de seguridad de
la información.
Identificación de la legislación
aplicable y de los requisitos
contractuales. Todos los requisitos
Fortalecer la interacción con estatutarios, reglamentarios y
los ciudadanos de tal forma contractuales pertinentes, y el
que se respeten sus A.18.1.1 enfoque de la organización para
derechos establecidos en la cumplirlos, se deben identificar y
constitución. documentar explícitamente y
mantenerlos actualizados para
cada sistema de información y para
la organización.
Fuente: Los Autores.
49
5.3 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MSPS
Fuente: PASSWORD CONSULTING SERVICES S.A.S - MSPS, Alcance y Límites del SGSI del Ministerio de
Salud y Protección Social,Bogotá, 2014.p.23.
50
Proceso ASI: Administración de sistemas de información.
El alcance del SGSI67 definido para el Ministerio de Salud y Protección Social es:
67 PASSWORD CONSULTING SERVICES S.A.S - MSPS, Alcance y Límites del SGSI del Ministerio de Salud
y Protección Social,Bogotá, 2014.p.23.
68 Ibid., p.24
51
la fecha de ocurrencia, tiempo de duración y lo más importante, el proceso que dio
solución al incidente. Esto es de vital importancia en caso de futuros incidentes
similares que deban ser atendidos por personal diferente de la entidad.
52
De acuerdo con los informes entregados por el proveedor de servicios tecnológicos,
se evidencia la cantidad de incidentes por aplicación, donde puede observarse que
la aplicación PISIS es la que tiene el mayor porcentaje de incidencias durante el
periodo evaluado, como se muestra en la gráfica 2:
El objetivo final del actual proyecto es entregar una guía que permita estructurar un
proceso de gestión de incidentes de seguridad de la información al interior del
Ministerio de Salud y Protección Social, apoyado en las mejores prácticas de la
norma NTC-ISO/IEC 27001:201369 y NTC-ISO/IEC 27002:201370.
53
Al primer segmento corresponden los aplicativos como el correo institucional, la
aplicación de nómina, la aplicación de tesorería, la aplicación de correspondencia,
un sistema de videoconferencia a nivel nacional y el acceso a internet/intranet para
los funcionarios de planta y contratistas. Este segmento de la infraestructura
tecnológica se encuentra bajo la responsabilidad directa del Grupo de Soporte
Informático, el cual sigue los lineamientos establecidos por la Oficina de Tecnología
de la Información y la Comunicación - OTIC.
54
6. METODOLOGÍA DE GESTIÓN DE RIESGOS EN SEGURIDAD DE LA
INFORMACIÓN
Fuente: GOBIERNO DE ESPAÑA, MAGERIT V3. Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información Libro I.Metodo. Madrid: Ministerio de Hacienda y Administraciones Públicas, 2012.
p.56.
Adicionalmente se han definido pasos adicionales que son importantes para tener
una gestión de riesgos completa. A continuación, se describen los resultados de la
metodología definida:
71 GOBIERNO DE ESPAÑA, MAGERIT V3. Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información Libro I.Metodo.Op.cit., p.56.
55
6.2 ACTIVOS
Los activos de información los define la norma ISO/IEC 27000, como “cualquier
cosa que tenga valor para la organización”. Un activo para el Ministerio de Salud
y Protección Social se define como: “Cualquier elemento que procese, almacene,
transporte y custodie información sensible de la entidad y que esté acorde al alcance
del SGSI”. A continuación, se definen las diferentes etapas para la metodología de
gestión de riesgos:
56
d) Reconocimiento económico a las personas víctimas de eventos catastróficos y
accidentes de tránsito.
6.2.1.3 Software. Aplicaciones informáticas que permiten gestionar los datos del
Ministerio:
a) De apoyo:
Correo institucional
57
Software de Nómina
Aplicativo de Tesorería
Aplicativo Orfeo
Sistema de videoconferencia
Acceso a internet/intranet
b) Misionales:
58
6.2.1.4 Hardware. Equipos que permiten hospedar datos, aplicaciones y servicios
del Ministerio.
Servidores virtuales.
Balanceadores de red.
59
6.2.1.5 Infraestructura. Instalaciones que acogen equipos informáticos y de
comunicaciones del Ministerio.
Jefe de la OTIC.
Grupo de Infraestructura y Seguridad de la OTIC conformado por:
1 coordinador.
1 gestor de solicitudes: cambios, incidentes, solicitudes de seguridad y solicitudes
normales.
2 gestores de infraestructura.
1 gestor de temas de seguridad.
1 supervisor.
6.2.1.7 Intangibles
Imagen de la entidad
60
¿Qué perjuicio causaría no tenerlo o no poder utilizarlo?
61
Cuadro 2. Valoración de la Integridad
Valoración Nivel Integridad
Información que puede ser modificada sólo con la
autorización de su propietario. La pérdida de la
exactitud o consistencia de esta información no puede
Muy alta 5
repararse y afecta gravemente al MSPS en su
operación, términos legales, económicos, imagen o
reputación.
Información que sólo puede ser modificada bajo
autorización del líder del proceso (directores,
subdirectores y jefes de oficina del MSPS). La pérdida
Alta 4
de la exactitud o consistencia de esta información es de
difícil reparación y afecta a la entidad en su operación,
términos legales, económicos, imagen o reputación.
Información que puede ser modificada por las personas
asignadas de cada grupo específico. La pérdida de la
exactitud o consistencia de esta información puede
Media 3
repararse y puede afectar levemente a la entidad en su
operación, términos legales, económicos, imagen o
reputación.
Información que puede ser modificada por el personal
del MSPS, proveedores y/o contratistas dentro de los
procesos normales. La pérdida de la exactitud o
Baja 2
consistencia de esta información puede repararse
fácilmente y no afecta a la entidad en su operación,
términos legales, económicos, imagen o reputación.
Información que puede ser modificada en cualquier
momento por cualquier usuario tanto interno como
Muy baja 1 externo. La exactitud o consistencia de esta información
no afecta al MSPS en su operación, términos legales,
económicos, imagen o reputación.
Fuente: Los Autores.
62
Cuadro 3. Valoración de la disponibilidad
Valoración Nivel Disponibilidad
Muy alta 5 El activo de información debe estar disponible siempre
El activo de información podría no estar disponible hasta
Alta 4
por 4 horas y no afecta al MSPS
El activo de información podría no estar disponible hasta
Media 3
por 1 día y no afecta al MSPS
El activo de información podría no estar disponible por 3
Baja 2
días y no afecta al MSPS.
El activo de información podría no estar disponible y no
Muy baja 1
afecta al MSPS.
Fuente: Los Autores.
6.3 AMENAZAS
Fuego: Incendios.
Daños por agua: inundaciones, lluvias, filtraciones de agua.
Desastres naturales: terremotos, tormentas eléctricas y ciclones.
Desarrollos no probados de forma integral con las aplicaciones con las que se
interrelacionan antes de ser desplegados en el ambiente de producción.
63
Errores de los usuarios: Hace referencia a las errores intencionales o no
intencionales de las personas cuando usan las aplicaciones, afectando activos
importantes de la entidad como: datos/información y el buen funcionamiento de los
servicios que se prestan. Se tendría una afectación a nivel de integridad,
confidencialidad y disponibilidad de la información.
64
Suplantación de la identidad del usuario: cuando un atacante consigue hacerse
pasar por un usuario autorizado, obteniendo los privilegios que le permiten sacar
provecho para sí o para un tercero. Esta amenaza podría ser materializada por
personal interno, por personas ajenas a la entidad o por personal contratado
temporalmente. Se tendría una afectación a nivel de confidencialidad, autenticidad
e integridad de la información.
Uso no previsto: utilización de los recursos del sistema para fines de interés
personal no previstos tales como: juegos, consultas personales en Internet, bases
de datos personales, programas personales, almacenamiento de datos personales,
etc. Se tendría una afectación a nivel de disponibilidad, confidencialidad e integridad
de la información.
65
Denegación de servicio: evento donde la plataforma de servicios es
sobrecargada de peticiones ocasionando caída del sistema. Se tendría una
afectación a nivel de disponibilidad de la información.
66
Tabla 6. (Continuación)
Identificación de
Análisis de la vulnerabilidad
vulnerabilidades y amenazas
e impacto en el MSPS
(causa)
En muchos casos solamente el En muchas ocasiones los servidores públicos se
contratista tiene conocimiento sobre apropian de una actividad puntual dentro de la
las funciones que realiza, es decir que entidad y cuando abandonan el cargo resulta difícil
si el contratista se retira del MSPS retomar dichas funciones por otro funcionario. La
podría ocasionar la pérdida de la situación resulta desastrosa si únicamente dicho
continuidad del proceso. funcionario tiene acceso a determinados aplicativos.
El uso de carpetas compartidas puede afectar la
confidencialidad, integridad y/o disponibilidad de la
información si no se toman las medidas adecuadas.
La afectación de cualquiera de estas propiedades
Afectación de los equipos donde se
puede impactar en gran medida la continuidad
almacenan carpetas compartidas.
operativa y originar posibles fugas de información.
Deben establecerse privilegios de lectura, escritura
o eliminación por parte del propietario de la
información.
Se debe implementar un plan de contingencia para
Para los casos de fallo del aplicativo
el aplicativo de Orfeo con el fin de no afectar la
Orfeo, no se cuenta con un plan de
continuidad del servicio del MSPS, incluyendo los
contingencia.
procesos misionales.
Existe desconocimiento por parte Una adecuada divulgación de los procedimientos
de los funcionarios del proceso de con los que cuenta el MSPS junto con su adecuada
copias de respaldo que realiza el ejecución, evitaría en gran medida que los
Grupo de Soporte Informático en servidores públicos realizaran sus propias copias de
los sistemas de información y respaldo en medios inseguros, susceptibles a fugas
estaciones de trabajo del MSPS. de información.
La fuga de información puede afectar la imagen de
En las estaciones de trabajo no
la entidad y la continuidad operativa. Sólo se
existen controles de seguridad para
deberían habilitar unidades de medios removibles si
la fuga de información por medio de
hay una razón de negocio para hacerlo. En donde
dispositivos ópticos como (CD) y
haya necesidad de usar medios removibles, se debe
dispositivos extraíbles como
hacer seguimiento a la transferencia de información
(Discos duros, memorias USB).
a estos medios.
Se realizan algunas operaciones de
La ejecución manual de sentencias en bases de
inserción y actualización de bases
datos está propensa al error humano, lo cual
de datos manualmente, lo cual
implicaría en el peor de los casos, la eliminación de
aumenta la probabilidad de errores
datos sensibles.
en la ejecución de las actividades.
Cuando los documentos se envían
y se aprueban por el sistema de Se deben implementar controles en Orfeo para NO
correspondencia Orfeo, deberían permitir que la información sea conocida o
guardarse en PDF y con firma modificada por servidores públicos no autorizados.
digital, y no permitir que sean Lo anterior con el fin de preservar la integridad y
modificados por otras áreas sin confidencialidad de las comunicaciones enviadas.
autorización previa.
Fuente: Los Autores.
67
6.5 DETERMINACIÓN DEL RIESGO
68
los sistemas que tengan más necesidad de protección.
El valor final del activo de información está determinado entonces por la sumatoria
obtenida de las variables de Confidencialidad, Disponibilidad e Integridad para cada
activo como se indica a continuación:
VA = C + I + D
69
6.5.2.2 Identificación de vulnerabilidades y amenazas (causas de riesgo). Se
realizó la identificación de las vulnerabilidades y amenazas de los activos de
información, como se muestra en la identificación de amenazas de los activos del
MSPS en el numeral 6.3 AMENAZAS y el análisis de vulnerabilidades e impacto,
como se muestra en el numeral 6.4 VULNERABILIDADES E IMPACTO.
Financiero
Continuidad Operativa
Imagen
Legal
Los tipos de impacto están relacionados directamente con los tipos de riesgo
indicados en el numeral 6.5.1. Esto permite que, con base en el tipo de riesgo
identificado, se realice una asociación al tipo de impacto que éste riesgo genera y
se pueda realizar su calificación. Esta relación se muestra mediante la tabla 7:
70
para lo cual se hizo lo siguiente:
71
Cuadro 8. Impacto en imagen institucional.
Nivel Concepto
Si el hecho llegara a presentarse, tendría consecuencias o efectos
1
sobre un grupo de funcionarios de manera interna.
Si el hecho llegara a presentarse, tendría un impacto leve en la entidad
2
que sería reparable a corto plazo
Si el hecho llegara a presentarse, tendría un impacto medio en la
3
entidad de manera local.
Si el hecho llegara a presentarse, tendría un impacto alto en las
4
entidades del gobierno.
Si el hecho llegara a presentarse, tendría un impacto catastrófico en la
5
entidad de orden nacional/ internacional.
Fuente: Los Autores.
72
Cuadro 11. Nivel de probabilidad de ocurrencia del riesgo.
Nivel Escala Descripción
El evento puede ocurrir solo en circunstancias
1 Raro
excepcionales.
2 Improbable El evento puede ocurrir en algún momento.
3 Moderada El evento podría ocurrir en cualquier momento.
El evento probablemente ocurrirá en la mayoría de las
4 Posible
circunstancias.
Se espera que el evento ocurra en la mayoría de las
5 Casi Certeza
circunstancias.
Fuente: Los Autores.
Valor del Impacto: Está determinado por el responsable del activo de información
o el dueño de los riesgos del proceso, quien determina los niveles de impacto en
caso de manifestarse un riesgo sobre los activos de información.
Con éste cálculo se obtuvo una lista con los niveles de riesgo según el rango de
valores en que se encuentra y el tratamiento que se debe realizar a los riesgos
identificados como tratables. Esto permitió comparar los resultados obtenidos en la
calificación de la probabilidad e impacto del riesgo para establecer el grado de
exposición del MSPS frente a éste. De acuerdo con lo anterior es posible ubicar el
riesgo en la matriz que relaciona la zona donde se ubica el riesgo, como se muestra
en el cuadro 12:
73
rangos están consignados en los cuadros de calor de riesgo relacionados a
continuación:
Cuadro 13. Calor de riesgo con VA (C+I+D) =15
VA (C + I + D) Valor del Impacto P(r) Total
15 5 5 375
15 4 5 300
15 4 4 240
15 3 5 225
15 3 4 180
15 3 3 135
15 2 5 150
15 2 4 120
15 2 3 90
15 2 2 60
15 1 5 75
15 1 4 60
15 1 3 45
15 1 2 30
15 1 1 15
Fuente: Los Autores.
En el cuadro 13 se muestra el calor del riesgo para el caso de valoración del activo
(VA) igual a 15, con sus posibles valoraciones de impacto y probabilidad.
En el cuadro 14 se muestra el calor del riesgo para el caso de valoración del activo
(VA) igual a 14, con sus posibles valoraciones de impacto y probabilidad.
74
Cuadro 15. Calor de riesgo con VA (C+I+D) =13.
VA (C + I + D) Valor del Impacto P(r) Total
13 5 5 325
13 4 5 260
13 4 4 208
13 3 5 195
13 3 4 156
13 3 3 117
13 2 5 130
13 2 4 104
13 2 3 78
13 2 2 52
13 1 5 65
13 1 4 52
13 1 3 39
13 1 2 26
13 1 1 13
Fuente: Los Autores.
En el cuadro 15 se muestra el calor del riesgo para el caso de valoración del activo
(VA) igual a 13, con sus posibles valoraciones de impacto y probabilidad.
En el cuadro 16 se muestra el calor del riesgo para el caso de valoración del activo
(VA) igual a 12, con sus posibles valoraciones de impacto y probabilidad
75
Cuadro 17. Calor de riesgo con VA (C+I+D) =11.
VA (C + I + D) Valor del Impacto P(r) Total
11 5 5 275
11 4 5 220
11 4 4 176
11 3 5 165
11 3 4 132
11 3 3 99
11 2 5 110
11 2 4 88
11 2 3 66
11 2 2 44
11 1 5 55
11 1 4 44
11 1 3 33
11 1 2 22
11 1 1 11
Fuente: Los Autores.
En el cuadro 17 se muestra el calor del riesgo para el caso de valoración del activo
(VA) igual a 11, con sus posibles valoraciones de impacto y probabilidad.
En el cuadro 18 se muestra el calor del riesgo para el caso de valoración del activo
(VA) igual a 10, con sus posibles valoraciones de impacto y probabilidad.
76
Cuadro 19. Calor de riesgo con VA (C+I+D) =9.
VA (C + I + D) Valor del Impacto P(r) Total
9 5 5 225
9 4 5 180
9 4 4 144
9 3 5 135
9 3 4 108
9 3 3 81
9 2 5 90
9 2 4 72
9 2 3 54
9 2 2 36
9 1 5 45
9 1 4 36
9 1 3 27
9 1 2 18
9 1 1 9
Fuente: Los Autores.
En el cuadro 19 se muestra el calor del riesgo para el caso de valoración del activo
(VA) igual a 9, con sus posibles valoraciones de impacto y probabilidad.
En el cuadro 20 se muestra el calor del riesgo para el caso de valoración del activo
(VA) igual a 8, con sus posibles valoraciones de impacto y probabilidad.
77
Cuadro 21. Calor de riesgo con VA (C+I+D) =7.
VA (C + I + D) Valor del Impacto P(r) Total
7 5 5 175
7 4 5 140
7 4 4 112
7 3 5 105
7 3 4 84
7 3 3 63
7 2 5 70
7 2 4 56
7 2 3 42
7 2 2 28
7 1 5 35
7 1 4 28
7 1 3 21
7 1 2 14
7 1 1 7
Fuente: Los Autores.
En el cuadro 21 se muestra el calor del riesgo para el caso de valoración del activo
(VA) igual a 7, con sus posibles valoraciones de impacto y probabilidad.
En el cuadro 22 se muestra el calor del riesgo para el caso de valoración del activo
(VA) igual a 6, con sus posibles valoraciones de impacto y probabilidad.
78
Cuadro 23. Calor de riesgo con VA (C+I+D) =5.
VA (C + I + D) Valor del Impacto P(r) Total
5 5 5 125
5 4 5 100
5 4 4 80
5 3 5 75
5 3 4 60
5 3 3 45
5 2 5 50
5 2 4 40
5 2 3 30
5 2 2 20
5 1 5 25
5 1 4 20
5 1 3 15
5 1 2 10
5 1 1 5
Fuente: Los Autores.
En el cuadro 23 se muestra el calor del riesgo para el caso de valoración del activo
(VA) igual a 5, con sus posibles valoraciones de impacto y probabilidad.
En el cuadro 24 se muestra el calor del riesgo para el caso de valoración del activo
(VA) igual a 4, con sus posibles valoraciones de impacto y probabilidad.
79
Cuadro 25. Calor de riesgo con VA (C+I+D) =3.
VA (C+I+D) Valor Impacto P(r) Total
3 5 5 75
3 4 5 60
3 4 4 48
3 3 5 45
3 3 4 36
3 3 3 27
3 2 5 30
3 2 4 24
3 2 3 18
3 2 2 12
3 1 5 15
3 1 4 12
3 1 3 9
3 1 2 6
3 1 1 3
Fuente: Los Autores.
En el cuadro 25 se muestra el calor del riesgo para el caso de valoración del activo
(VA) igual a 3, con sus posibles valoraciones de impacto y probabilidad.
6.5.2.7 Evaluación del Riesgo. La evaluación del riesgo se realiza para comparar
los valores de riesgo obtenidos respecto a los niveles aceptables y de tratamiento
aprobados por la entidad.
80
6.6 IDENTIFICACIÓN DE SALVAGUARDAS
81
7. PROCESO DE GESTIÓN DE INCIDENTES EN SEGURIDAD DE LA
INFORMACIÓN
La gestión de incidentes tiene como objetivo resolver cualquier evento que ocasione
una interferencia en el servicio de la manera más eficaz y rápida posible.
82
Tabla 9. Incidentes identificados en el MSPS.
No. DESCRIPCIÓN DEL INCIDENTE
1 Manipulación de los registros de actividad (logs)
2 Manipulación de la configuración
3 Suplantación de la identidad del usuario
4 Abuso de privilegios de acceso
5 Uso no previsto
6 Difusión de software dañino (virus, gusanos, malware, troyanos).
7 Acceso no autorizado
8 Modificación intencional de la información
9 Destrucción de información
10 Denegación de servicio
11 Robo o pérdida de un recurso informático
12 Indisponibilidad del personal
13 Ataques de Ingeniería social
14 Fuego: Incendio
15 Daños por agua: inundaciones, lluvias, filtraciones de agua
16 Desastre natural: terremoto, tormenta eléctrica, ciclones
17 Deficiencias en la organización
18 Análisis de tráfico
19 Interceptación de información (escucha)
20 Vulnerabilidades de las aplicaciones
Fuente: Los Autores.
83
b) Fecha de reporte: debe ser diligenciado con la fecha en la que se realiza el
reporte del incidente ante el grupo de Infraestructura y Seguridad de la OTIC. Se
debe escribir en formato DD/MM/AAAA (Día/Mes/Año).
c) Hora del reporte: debe ser diligenciado con la hora en la que se realiza el reporte
del incidente ante el grupo de Infraestructura y Seguridad de la OTIC. Se debe
escribir en formato de hora militar HH:MM (hora, dos puntos, minutos).
Cargo: cargo del funcionario, usuario, tercero o contratista que realiza el reporte
del Incidente.
Teléfono fijo: número telefónico fijo del funcionario, usuario, tercero o contratista
que realiza el reporte del Incidente.
Celular: número del celular del funcionario, usuario, tercero o contratista que
realiza el reporte del Incidente.
84
Información sobre el incidente. En esta sección se debe relacionar la
información sobre el incidente que se va a reportar, como se indica a continuación:
Fuente: Forma como debe ser diligenciada la información del incidente a reportar (Autores).
85
importante para poder abordar la investigación de lo sucedido y la posible solución
al incidente presentado.
86
Denegación de servicio
Indisponibilidad del personal
Deficiencias en la organización
Vulnerabilidades de las aplicaciones
Uso no previsto
Difusión de software dañino (virus, gusanos, malware, troyanos)
Ataques de Ingeniería social
Fuego: Incendio
Daños por agua: inundaciones, lluvias, filtraciones de agua
Desastre natural: terremoto, tormenta eléctrica, ciclones
De acuerdo con el impacto que los incidentes pueden tener para la entidad, estos
pueden clasificarse como se indica en el cuadro 29:
Los incidentes de impacto alto deben tener una respuesta inmediata por parte del
líder de seguridad de la información y los líderes de proceso. Al ocurrir incidentes
de impacto alto se deben tomar acciones para controlar el incidente lo que puede
incluir reducción de costos, contratación de expertos, sitios alternos de trabajo,
87
adquisición de nuevas tecnologías, entre otros. Se definen como incidentes de
impacto alto:
Fuego: Incendio.
Daños por agua: inundaciones, lluvias, filtraciones de agua.
Desastre natural: terremoto, tormenta eléctrica, ciclones.
Difusión de software dañino.
Destrucción de información.
Denegación de servicio.
Uso no previsto.
Análisis de tráfico.
Bloqueo esporádico de servicios.
Interceptación de información no confidencial (escucha).
88
Cuadro 30. Relación incidente/impacto.
No. Descripción del incidente Tipo de incidente Impacto
Desastre natural: terremoto,
1 Multicomponente Alto
tormenta eléctrica, ciclones.
Daños por agua:
2 inundaciones, lluvias, Multicomponente Alto
filtraciones de agua.
3 Fuego: Incendio Multicomponente Alto
4 Difusión de software dañino Multicomponente Alto
Que causan Alto
5 Denegación de servicio
indisponibilidad
Modificación de recursos Alto
6 Destrucción de información
no autorizado
Abuso de privilegios de
7 Acceso no otorgado Medio
acceso
8 Acceso no autorizado Acceso no otorgado Medio
9 Robo Acceso no otorgado Medio
Suplantación de la identidad Medio
10 Acceso no otorgado
del usuario
Manipulación de la Modificación de recursos Medio
11
configuración no autorizado
Manipulación de los registros Modificación de recursos Medio
12
de actividad (logs) no autorizado
Modificación intencional de la Modificación de recursos Medio
13
información no autorizado
Deficiencias en la Que causan Medio
14
organización indisponibilidad
Que causan Medio
15 Indisponibilidad del personal
indisponibilidad
Vulnerabilidades de las Que causan Medio
16
aplicaciones indisponibilidad
17 Ataque de ingeniería social Multicomponente Bajo
18 Uso no previsto Multicomponente Bajo
19 Análisis de tráfico Acceso no otorgado Bajo
20 Interceptación de información Acceso no otorgado Bajo
Fuente: Los Autores.
89
generen.
Urgencia. Depende del tiempo máximo de demora que acepte el usuario para la
resolución del incidente y/o del acuerdo de nivel de servicio - ANS definido. En el
cuadro 32 se describen los criterios de urgencia identificados para el Ministerio
mediante reuniones realizadas con los líderes o dueños de los procesos, quienes
son los responsables de los activos de la entidad.
90
Cuadro 33. Diagrama de prioridades
Medio: 25 - 48 horas: El incidente tiene una prioridad Media debido a que afecta
en forma parcial la continuidad de la entidad en caso de llegar a las 48 horas sin
solución.
91
Efectividad de la estrategia.
Duración de las medidas a tomar.
Criticidad de los sistemas afectados.
Características de los posibles atacantes.
Si el incidente es de conocimiento público.
Pérdida económica.
Posibles implicaciones legales.
7.6.4 Identificación de fuentes de ataque. Entre las posibles fuentes que se deben
tener identificadas se encuentran:
Empleados descontentos.
Baja concientización.
Crecimiento de redes.
Falta de previsión de contingencias.
Falta de políticas.
Desastres naturales.
7.6.5 Posibles ataques que pueden ser identificados. Entre los posibles ataques
que pueden ser identificados se encuentran:
92
Virus.
Caballos de Troya.
Explotación de vulnerabilidades, tanto a nivel de host, como de arquitectura de
red (vulnerabilidades de seguridad perimetral).
Falsificación de identificadores (biométricas, de autenticación o de encabezado
de paquetes).
Robo de Información confidencial.
Violación a la privacidad.
Ingeniería social.
Denegación de servicios.
7.6.6 Indicadores. Los indicadores son señales que advierten que un incidente
ocurrió o está ocurriendo en este momento.
93
Como parte del registro de incidentes de seguridad de la información, se debe
diligenciar la solución del incidente y la actividad que se aplicó al incidente de forma
inmediata.
94
Cuadro 34. Escalamiento de incidentes.
Origen de Ejecutan
Impacto del Responsable de Responsable Gestión del
notificación solución del
incidente acciones a tomar tratamiento del incidente
incidentes incidente
Usuario Jefe oficina TIC (notifica a * Proveedor de
Grupo de Infraestructura y
la alta dirección) – Líder servicios de
Alto Seguridad de la OTIC
Tercero de PCN, Responsable de conectividad
datos personales.
e-mail:
Contratista Coordinador del grupo de * Proveedor
grupoinfraestructuraysegurida
Infraestructura y servicios de
Medio d@minsalud.gov.co
Elementos de Seguridad de la OTIC. datacenter
detección de Jefe de la OTIC
Teléfonos: 3305000 ext.
incidentes Coordinador del grupo de * Grupo de
1618/1657/1668/1669/1674 y
Bajo Infraestructura y Soporte
1678
Administrador de TI Seguridad de la OTIC. Informático
Fuente: Los Autores.
7.8.2 Respuestas a los incidentes. Las respuestas que se pueden dar a los
incidentes en virtud de la gravedad, el cubrimiento y la categoría son las siguientes:
95
7.9 ACTIVIDADES POST-INCIDENTES
7.9.3 Retención de las evidencias. Las evidencias retenidas deben cumplir con un
control de seguridad que garantice la confidencialidad, integridad y disponibilidad
de la información. El almacenamiento físico seguro de las evidencias estará bajo
custodia del líder de seguridad de la información.
7.10 RESPONSABILIDADES
96
7.10.1 Incidente de impacto alto. Este tipo de incidente se notificará al jefe de la
oficina TIC o quien haga sus veces para que tome las decisiones correspondientes
y notifique a las altas directivas de la entidad. El grupo de infraestructura y seguridad
será el encargado de realizar el tratamiento y seguimiento del Incidente hasta su
cierre definitivo.
7.10.2 Incidente de impacto medio. Para este tipo de incidentes, la persona que
coordina el grupo de infraestructura y seguridad de la OTIC notificará al jefe de la
Oficina y será la responsable de coordinar y liderar las acciones necesarias para el
tratamiento del incidente.
7.10.3 Incidente de impacto bajo. Para este tipo de incidentes, la persona que
coordina el grupo de infraestructura y seguridad de la OTIC tendrá la potestad para
decidir sobre las acciones que se deban ejecutar para el tratamiento del incidente.
7.10.4.2 Líder de la OTIC. Adelantar las gestiones operativas necesarias para dar
cumplimiento a la gestión de incidentes.
97
de la información que se presente en la entidad.
Este capítulo tiene como objetivo brindar una orientación a la OTIC del Ministerio
sobre la forma como debería tratar aquellos incidentes de seguridad cuya ocurrencia
se identifique como reiterativa. El propósito es investigar y analizar este tipo de
incidentes con el fin de identificar sus causas y proponer soluciones que permitan
evitar su repetición.
Tomando como base la guía de gestión de servicios informáticos ITIL Versión 3.0,
los siguientes son los pasos que deben seguirse para afrontar los incidentes que
afecten la seguridad de la información que hayan ocurrido más de una vez y cuya
importancia sea significativa para la entidad:
Al igual que los incidentes, los problemas se deben clasificar según su impacto,
según la urgencia y de acuerdo a los recursos que se requieran, con el fin de
priorizar su solución.
Identificar posibles soluciones que eliminen las causas que dieron origen a este
tipo de incidentes.
98
implementadas hayan surtido los efectos esperados, sin crear problemas de
carácter secundario.
Determinar la causa del problema para implementar una solución que minimice
su probabilidad de ocurrencia.
g) Diagnóstico. Debe tenerse en cuenta que los orígenes de los problemas pueden
tener diferentes causas:
99
Pueden originarse en una incorrecta ejecución de los procedimientos
establecidos.
Pueden originarse en una documentación que no corresponde con las reglas del
negocio y por lo tanto puede inducir a errores.
100
comunicación (Web, Intranet, Correo, etc.).
Hacer que syslog envíe los registros por la red a un servidor dedicado, teniendo
los registros en una segunda ubicación.
101
persona o personas autorizadas para hacer los cambios de configuración.
¿Por qué se hacen los cambios? Los cambios de configuración se hacen porque
son requeridos para obtener un beneficio en el desempeño o interoperabilidad con
el entorno.
Tener instalados certificados de sitio web en cada una de las aplicaciones que
exponen servicios vía web.
102
7.12.5 Uso no previsto. Para disminuir la probabilidad de ocurrencia de este
incidente de seguridad o minimizar su impacto se recomienda:
Sensibilizar a los usuarios para que eviten abrir adjuntos de sus archivos cuya
procedencia resulte sospechosa.
103
Establecer un procedimiento de gestión de contraseñas para el MSPS y asegurar
que todos los sistemas de información y almacenamiento cuenten con un control de
ingreso.
Habilitar y hacer constante revisión de los logs de auditoría con el fin de identificar
eventos donde se haya alterado la información.
104
Habilitar la opción de logging (logs) para llevar un control adecuado de las
conexiones que existen con los routers.
Restringir el uso del ancho de banda para aquellos hosts que cometan
violaciones.
105
7.12.13 Ataque de ingeniería social. Para disminuir la probabilidad de ocurrencia
de este incidente de seguridad o minimizar su impacto se recomienda:
Tener instalados extintores en todos los pisos con la capacidad de carga al 100%
y en estado vigente.
Capacitar a los brigadistas de la entidad para llevar a cabo todas las actividades
de extinción del fuego y evacuación de los funcionarios y visitantes de la entidad.
7.12.15 Daños por agua. Inundaciones, lluvias, filtraciones de agua. Para disminuir
la probabilidad de ocurrencia de este incidente de seguridad o minimizar su impacto
se recomienda:
Hacer revisiones trimestrales del estado de los ductos de agua con el apoyo del
coordinador del Grupo de Administración Servicio de Apoyo Logístico y de personal
especializado en este tema.
106
Realizar adecuaciones al edificio que permitan evacuar fácilmente los excesos
de agua ocasionados por lluvias o inundaciones.
Impartir semestralmente charlas y talleres a los funcionarios que les permita tener
un mayor conocimiento de estos desastres naturales y de las mejores formas de
afrontarlos.
107
usuarios internos debe desplegar alguna advertencia.
Sincronizar todos los elementos de seguridad y de red y sus logs deben ser
enviados a un equipo centralizado de recolección de logs para su respectivo
análisis.
Instalar y configurar con las mejores prácticas del mercado los dispositivos de
Detección de intrusos IDS, con el fin de identificar posibles interceptaciones del
tráfico de la red de la entidad.
Evitar enviar información confidencial por canales que carezcan de todas las
características de seguridad que garanticen que esta no podrá ser interceptada por
posibles atacantes.
108
8. RESULTADOS Y APORTES
Con el desarrollo del proceso de gestión de incidentes se definió una guía para la
prevención, atención, respuesta y mejora continua de los incidentes que se
presenten en el Ministerio.
Si bien es real que los incidentes pueden ser difíciles de consolidar en grupos fijos,
se realiza una propuesta que cubra el esquema de tratamiento adecuado al
incidente y minimice los impactos en términos de seguridad de la información hacía
la entidad.
109
Cuadro 35. Categorización de incidentes.
Categorización de incidentes de seguridad
Tipo de incidente Descripción
Incidentes que por su impacto, comprometen la continuidad de los
Incidentes catastróficos
procesos vitales de la entidad.
Actividades maliciosas que afectan la disponibilidad de los servicios a
las terceras partes. La detección del no cumplimiento de políticas de
seguridad de la información definidas en la entidad, ejemplo: No realizar
el bloqueo del equipo al momento de abandonar el puesto de trabajo,
Incidentes lógicos
uso inapropiado de los activo, entre otros.
110
Descripción de las diferentes actividades:
a) Detección del incidente: Los usuarios o cualquier servidor público del MSPS
detecta anomalías que afectan la continuidad de la entidad.
b) Notificación del incidente: Los usuarios o servidor público del MSPS notifican
a los líderes de proceso mediante correo electrónico, llamadas telefónicas o de
forma presencial las anomalías detectadas y que pueden afectar la continuidad de
la entidad.
111
Figura 12. Guía tratamiento incidentes lógicos, físicos y exposición de datos
personales del MSPS.
112
c) Información sobre el incidente:
Fecha y hora de observación del incidente
Descripción del incidente
Uso no previsto
Análisis de tráfico
Interceptación de información (escucha)
113
afecta a los procesos de negocio, número de usuarios y/o activos de información
afectados, y la importancia de los mismos para la entidad, lo cual se muestra en el
cuadro 36:
Urgencia: Depende del tiempo máximo de demora que acepte el usuario para la
resolución del incidente y/o el nivel de servicio, lo cual se muestra en el cuadro 37:
114
Posibles implicaciones legales.
115
niveles de escalamiento del cuadro 34 Escalamiento de Incidentes de este
documento, numeral 7.7.2, y ante un incidente de seguridad de la información
relacionado con los conceptos de Ciberseguridad y Ciberdefensa establecidos por
el CONPES 3701 de 2011, se debe reportar en primera instancia a las siguientes
direcciones de correo: ponal.csirt@policia.gov.co (Centro de respuesta a incidentes
de seguridad informática de la Policía Nacional) y a incidentesseginf@mintic.gov.co
(equipo de coordinación de incidentes de seguridad de la información del Ministerio
de Tecnologías de la Información y las Comunicaciones) o comunicarse con el
siguiente número telefónico en Bogotá 3159090 (CSIRT de la Policía Nacional).
116
8.1.2.7 Lecciones aprendidas.
117
9. CONCLUSIONES
118
10. RECOMENDACIONES GENERALES
Hacer una revisión trimestral del proceso de identificación de incidentes con el fin
de determinar la posible existencia de nuevos tipos de eventos de seguridad de la
información.
Destinar los recursos y esfuerzos que sean necesarios para hacer una
identificación completa de los activos de la entidad en pro de lograr su adecuada
gestión y administración.
119
12. BIBLIOGRAFÍA
120
_ _ _ _ _ _ _ _.
Gestión de Incidentes de Seguridad de la Informacion, Bogotá: El
Ministerio, 2016.45 p.
121
_ _ _ _ _ _ _. Gestión del Riesgo. Principios y Directrices. NTC-ISO 31000.Bogotá:
ICONTEC, 2009. 93 p.
JARA, Héctor y PACHECO, Federico. Ethical Hacking 2.0. Bueno Aires: Fox Andina;
Dálaga SA, 2012. 385 p.
122
PASSWORD CONSULTING SERVICES S.A.S - MSPS, Alcance y Límites del SGSI
del Ministerio de Salud y Protección Social,Bogotá, 2014.111 p.
_ _ _ _ _ _ _ _,
Resultados de evaluación y diagnóstico MSPS. Bogotá : Ministerio de
Salud,2014.106 p.
123
ANEXOS
ANEXO A
124
ANEXO B
125
126
127
128
129
130
131
132
ANEXO C
133
134
ANEXO D
Área de restringida -
Sistema Jefe de Grupo de Externo
Administración Oficina del Grupo de
maestro de Administración de (Empresa
1 de Servicios de Software Combinado Administración de Alta 4 Alta 4 Muy Alta 5 Muy Alto 13
vigilancia servicios de Apoyo de
Apoyo Logístico Servicios de Apoyo
CCTV logístico vigilancia)
Logístico
Base de
Externo Oficina del Grupo de
datos de Administración
Información Supervisor de (Empresa Administración de
2 ingreso de de Servicios de Digital Alta 4 Alta 4 Media 3 Alto 11
Pura vigilancia de Servicios de Apoyo
personas al Apoyo Logístico
vigilancia) Logístico
MSPS
Grupo de
Base de
Jefe de Grupo de Administraci Oficina del Grupo de
datos de Administración
Información Administración de ón de Administración de
3 registro y de Servicios de Digital Media 3 Alta 4 Baja 2 Medio 9
Pura servicios de Apoyo servicios de Servicios de Apoyo
seguimiento Apoyo Logístico
logístico Apoyo Logístico
de servicios
logístico
Aplicativo
Jefe de Grupo de Oficina del Grupo de
EMS Administración Grupo de
Administración de Administración de
4 Panorama de Servicios de Software Soporte Digital Alta 4 Alta 4 Muy Alta 5 Muy Alto 13
servicios de Apoyo Servicios de Apoyo
(Ascensores Apoyo Logístico Informático
logístico Logístico
)
135
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
7 Aplicativo de Administración Software Jefe de Grupo de Grupo de Digital Oficina del Grupo de Alta 4 Alta 4 Muy Alta 5 Muy Alto 13
Gestión de de Servicios de Administración de Soporte Administración de
Tarjetas de Apoyo servicios de Apoyo Informático Servicios de Apoyo
proximidad Logístico logístico Logístico
8 Aplicativo Administración Software Jefe de Grupo de Grupo de Digital Oficina del Grupo de Alta 4 Alta 4 Muy Alta 5 Muy Alto 13
TECNIELECT de Servicios de Administración de Soporte Administración de
(Control de Apoyo servicios de Apoyo Informático Servicios de Apoyo
Iluminación) Logístico logístico Logístico
9 UPS 1 (Sótano Administración Hardware Jefe de Grupo de Grupo de Físico Sótano MSPS Media 3 Media 3 Muy Alta 5 Alto 11
a piso 10) de Servicios de Administración de Administraci
Apoyo servicios de Apoyo ón de
Logístico logístico servicios de
Apoyo
logístico
10 UPS 2 (Pisos Administración Hardware Jefe de Grupo de Grupo de Físico Sótano MSPS Media 3 Media 3 Muy Alta 5 Alto 11
10 a 24) de Servicios de Administración de Administraci
Apoyo servicios de Apoyo ón de
Logístico logístico servicios de
Apoyo
logístico
11 UPS centro de Administración Hardware Jefe de Grupo de Grupo de Físico Centro Cómputo Piso Media 3 Media 3 Muy Alta 5 Alto 11
cómputo de Servicios de Administración de Administraci 21 - Grupo Soporte
(Backup 30 Apoyo servicios de Apoyo ón de Informático
KVA) Logístico logístico servicios de
Apoyo
logístico
12 Equipo de Administración Hardware Jefe de Grupo de Grupo de Físico Centro Cómputo Piso Media 3 Media 3 Muy Alta 5 Alto 11
Recepción del de Servicios de Administración de Administraci 21 - Grupo Soporte
MSPS Apoyo servicios de Apoyo ón de Informático
Logístico logístico servicios de
Apoyo
logístico
13 Sistema de Administración Hardware Jefe de Grupo de Grupo de Físico Azotea MSPS Media 3 Media 3 Alta 4 Alto 10
comunicacione de Servicios de Administración de Administraci
s - Avantel , Apoyo servicios de Apoyo ón de
Central VHF Logístico logístico servicios de
Apoyo
logístico
14 Evaluación de Administración Información Jefe de Grupo de Grupo de Digital Oficina del Grupo de Media 3 Media 3 Baja 2 Medio 8
procesos de Servicios de Pura Administración de Administraci Administración de
contractuales Apoyo servicios de Apoyo ón de Servicios de Apoyo
Logístico logístico servicios de Logístico
Apoyo
logístico
15 Registro de Atención al Software Coordinadora del Grupo de Combinado Servidor de Archivos Baja 2 Muy Alta 5 Muy Alta 5 Alto 12
peticiones Ciudadano grupo de atención al Administraci Orfeo
quejas y ciudadano ón
reclamos (por Documental
la página, por
correos,
correspondenci
a, presencial)
136
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
16 Infoturnos Atención al Software Coordinadora del Tecnología Digital Primer Piso MSPS Baja 2 Baja 2 Baja 2 Bajo 6
(sistema de Ciudadano grupo de atención al de la
PQR) ciudadano información
y la
comunicació
n - TIC
17 Informe Atención al Información Coordinadora del Atención al Combinado Primer Piso MSPS Media 3 Alta 4 Baja 2 Medio 9
trimestral de Ciudadano Pura grupo de atención al ciudadano
PQR ciudadano
18 Carpeta Atención al Información Coordinadora del Atención al Digital Equipo gratnciudad Baja 2 Media 3 Muy Alta 5 Alto 10
compartida Ciudadano Pura grupo de atención al ciudadano GAC- MSPS
GAC Atención ciudadano
Ciudadano
19 Equipo Atención al Hardware Coordinadora del Atención al Físico Primer Piso MSPS Baja 2 Media 3 Muy Alta 5 Alto 10
gratnciudad - Ciudadano grupo de atención al ciudadano
705 ciudadano
20 Informe de Atención al Información Coordinadora del Atención al Físico Primer Piso MSPS Muy Baja 1 Media 3 Baja 2 Bajo 6
encuesta de Ciudadano Pura grupo de atención al ciudadano
satisfacción ciudadano
21 Sistema Subdirección Software Coordinadora de Grupo Combinado Centro Cómputo Piso Alta 4 Media 3 Muy Alta 5 Alto 12
información de Gestión de administración Soporte 21 - Grupo Soporte
Actybo Operaciones bienes recursos y Informático Informático
físicos y personas a
cargo
22 Plan de acción Subdirección Información Contratista Grupo Combinado Oficina de Subdirección Alta 4 Media 3 Muy Alta 5 Alto 12
y Plan de de Gestión de Pura profesional Soporte de Gestión de
adquisiciones Operaciones depende Informático Operaciones
Subdirección
23 Información Subdirección Información Grupo de gestión de Subdirección Combinado Oficina de Subdirección Alta 4 Media 3 Muy Alta 5 Alto 12
Contractual de Gestión de Pura insumos y de Gestión de Gestión de
Operaciones bienes recursos de Operaciones
físicos Operaciones
y Finalizar el
Contrato es
custodio del
área
Contractual
24 Información de Subdirección Información Subdirección de Grupo Combinado Oficina de Subdirección Media 3 Media 3 Muy Alta 5 Alto 11
Saneamiento de Gestión de Pura Gestión de Soporte de Gestión de
de bienes, Operaciones Operaciones Informático Operaciones
muebles e
inmuebles
25 Información de Subdirección Información Profesional Grupo Combinado Oficina de Subdirección Alta 4 Media 3 Muy Alta 5 Alto 12
histórico de de Gestión de Pura especializado Soporte de Gestión de
vehículos y Operaciones contratista externos Informático Operaciones
inmuebles al MSPS y
autorizado por la
subdirección de
Gestión de
Operaciones
26 Aplicativo Orfeo Gestión Software Jefe de Grupo de Grupo de Digital Servidor de Archivos Alta 4 Muy Alta 5 Muy Alta 5 Muy Alto 14
Documental administración Soporte Orfeo
documental Informático
137
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
27 Base de datos Gestión Software Jefe de Grupo de Grupo de Digital Archivo Central Media 3 Media 3 Media 3 Medio 9
de documentos Documental administración Administraci
en custodia documental ón
Documental
28 Consecutivo de Gestión Información Jefe de Grupo de Grupo de Físico Archivo Central Baja 2 Muy Alta 5 Baja 2 Medio 9
copia de Documental Pura administración Administraci
radicación de documental ón
salida Documental
29 Reporte por Gestión Información Jefe de Grupo de Grupo de Físico Archivo Central Baja 2 Muy Alta 5 Media 3 Alto 10
dependencias Documental Pura administración Administraci
documental ón
Documental
30 Planilla de Gestión Información Jefe de Grupo de Grupo de Físico Archivo Central Media 3 Media 3 Baja 2 Medio 8
entrega de Documental Pura administración Administraci
correspondenci documental ón
a de salida Documental
31 Correos: Gestión Información Jefe de Grupo de Grupo de Digital Servidor de Correos Media 3 Muy Alta 5 Muy Alta 5 Muy Alto 13
njudiciales@mi Documental Pura administración Administraci
nsalud.gov.co - documental ón
correo@minsal Documental
ud.gov.co
32 Documentos de Gestión Información Jefe de Grupo de Grupo de Combinado Archivo Central Baja 2 Muy Alta 5 Media 3 Alto 10
todas las Documental Pura administración Administraci
dependencias documental ón
Documental
33 Equipo Jefe Gestión Hardware Jefe de Grupo de Grupo de Físico Oficina Grupo de Alta 4 Alta 4 Alta 4 Alto 12
Administración Documental administración Administraci Administración
Documental documental ón Documental
Documental
34 Aplicativo Gestión Software Externo Externo ( Digital Externo Media 3 Muy Alta 5 Muy Alta 5 Muy Alto 13
SIPOST2 Documental envíos 4/72)
35 Información de Oficina Control Información Abogado Abogado Combinado Oficina Control de Alta 4 Muy Alta 5 Muy Alta 5 Muy Alto 14
138
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
los expedientes Interno Pura Comisionado comisionado Interno Disciplinario
de los procesos Disciplinario y luego pasa
disciplinarios a oficina de
control
Interno
Disciplinario
36 Registro de Oficina Control Software Jefe de la Oficina Grupo Digital Servidor de Archivos Baja 2 Media 3 Muy Alta 5 Alto 10
peticiones, Interno Control de Interno soporte Orfeo
quejas, Disciplinario Disciplinario Informático
reclamos y
citaciones de
los procesos
disciplinarios
37 Base de datos Oficina Control Información Jefe de la Oficina En la Oficina Digital Oficina Control de Alta 4 Muy Alta 5 Muy Alta 5 Muy Alto 14
de seguimiento Interno Pura Control de Interno Control de Interno Disciplinario
de los procesos Disciplinario Disciplinario Interno
disciplinarios Disciplinario
38 Libros de Oficina Control Información Jefe de la Oficina En la Oficina Físico Oficina Control de Alta 4 Muy Alta 5 Muy Alta 5 Muy Alto 14
registros Interno Pura Control de Interno Control de Interno Disciplinario
cuando se Disciplinario Disciplinario Interno
reciben Disciplinario
documentos de
los procesos
disciplinarios
39 Registro de Oficina Control Información Jefe de la Oficina En la Oficina Combinado Oficina Control de Alta 4 Muy Alta 5 Muy Alta 5 Muy Alto 14
sanciones Interno Pura Control de Interno Control de Interno Disciplinario
Disciplinario Disciplinario Interno
Disciplinario
40 Remisiones de Oficina Control Información Jefe de la Oficina Oficina Combinado Oficina Control de Alta 4 Muy Alta 5 Muy Alta 5 Muy Alto 14
la Procuraduría Interno Pura Control de Interno Control de Interno Disciplinario
Disciplinario Disciplinario Interno
Disciplinario
41 Información del Subdirección Información Coordinador Grupo Ministerio Combinado Sistema SIIF Alta 4 Media 3 Muy Alta 5 Alto 12
anteproyecto Financiera Pura presupuesto y/o Hacienda
del Técnico o (SIIF)
Presupuesto profesional del
Grupo del
presupuesto
42 Información de Subdirección Información Coordinador Grupo Ministerio Combinado Sistema SIIF Muy Baja 1 Media 3 Muy Alta 5 Medio 9
Presupuesto Financiera Pura presupuesto y/o Hacienda
Técnico o (SIIF)
profesional del
Grupo del
presupuesto
43 Información Subdirección Información Coordinador Grupo Contractual, Combinado Sistema SIIF, Alta 4 Media 3 Muy Alta 5 Alto 12
CDPS Financiera Pura presupuesto y/o Grupo Oficina Contractual,
(Certificado Técnico o Soporte SharePoint
Disponibilidad profesional del informático ,
Presupuestal) Grupo del Ministerio
presupuesto Hacienda
(SIIF)
44 Información de Subdirección Información Coordinador Grupo Ministerio Combinado Sistema SIIF Muy Baja 1 Media 3 Muy Alta 5 Medio 9
registro Financiera Pura presupuesto y/o Hacienda
presupuesta Técnico o (SIIF)
del compromiso profesional del
139
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
Grupo del
presupuesto
45 Obligaciones Subdirección Información Coordinador Grupo Ministerio Combinado Sistema SIIF, Alta 4 Media 3 Muy Alta 5 Alto 12
Financiera Pura Contabilidad y/o Hacienda SharePoint
Técnico o (SIIF), Grupo
profesional del de Soporte
Grupo de informático y
Contabilidad Tesorería
46 Cadena Subdirección Información Coordinador Grupo Ministerio Combinado Sistema SIIF Muy Baja 1 Media 3 Muy Alta 5 Medio 9
Presupuestal Financiera Pura Tesorería y/o Hacienda
Técnico o (SIIF)
profesional del
Grupo de Tesorería
47 Información Subdirección Información Coordinador Grupo Ministerio Combinado Sistema SIIF Alta 4 Media 3 Muy Alta 5 Alto 12
sobre Soportes Financiera Pura Tesorería y/o Hacienda
Técnico o (SIIF)
profesional del
Grupo de Tesorería
48 Estados Subdirección Información Coordinador Grupo Ministerio Combinado Sistema SIIF Muy Baja 1 Media 3 Muy Alta 5 Medio 9
financieros Financiera Pura Contabilidad y/o Hacienda
Técnico o (SIIF)
profesional del
Grupo de
Contabilidad
49 Reportes Subdirección Información Subdirector Ministerio Combinado Sistema SIIF Muy Baja 1 Media 3 Muy Alta 5 Medio 9
Financiera Pura Financiero Hacienda
(SIIF)
50 SISTEMA SIIF Subdirección Software Subdirector Ministerio Digital Sistema SIIF Alta 4 Media 3 Muy Alta 5 Alto 12
Financiera Financiero Hacienda
(SIIF)
51 SHAREPOINT Subdirección Software Subdirector Grupo Digital Centro Cómputo Piso Alta 4 Media 3 Muy Alta 5 Alto 12
Financiera Financiero Soporte 21 - Grupo Soporte
Informático Informático
52 Carpeta Subdirección Información Subdirector Grupo Digital Centro Cómputo Piso Alta 4 Muy Alta 5 Muy Alta 5 Muy Alto 14
Compartida - Financiera Pura Financiero Soporte 21 - Grupo Soporte
Subdirección Informático Informático
Financiera
53 Información Subdirección Información Profesional 20 Subdirección Combinado Subdirección Alta 4 Muy Alta 5 Muy Alta 5 Muy Alto 14
sobre Financiera Pura Financiera Financiera
desplazamiento
s comisiones,
tiquetes y
viáticos
54 Información de OTIC- Sistema Información Profesional, líder Profesional, Combinado Oficina del Profesional Media 3 Media 3 Alta 4 Alto 10
análisis a los de información Pura Sistema Información líder Sistema
documentos de del FOSYGA Fosyga Información
Proyectos de Fosyga
Resolución.
55 Informes del OTIC- Sistema Información Profesional, líder del Profesional, Digital Oficina del Profesional Media 3 Media 3 Alta 4 Alto 10
consorcio y la de información Pura Sistema Información líder Sistema
Firma del FOSYGA Fosyga Información
Interventora Fosyga
140
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
56 Información de OTIC- Sistema Información Profesional, líder del Grupo Combinado Servidor Archivos Orfeo Media 3 Media 3 Muy Alta 5 Alto 11
PQRS de información Pura Sistema Información Soporte
del FOSYGA Fosyga Informático
57 OTIC- Sistema Información Profesional, líder del Profesional, Físico Oficina del Profesional Media 3 Media 3 Muy Alta 5 Alto 11
Documentación de información Pura Sistema Información líder Sistema
Física de del FOSYGA Fosyga Información
Proyectos Fosyga
Resolución,
Informes e
información de
PQRS
58 Informes OTIC- líder Información Líder de supervisión Grupo líder Físico Oficina líder Media 3 Baja 2 Muy Alta 5 Alto 10
físicos Grupo de Pura del FOSYGA supervisión supervisión del Fosyga
entregados por Supervisor del del FOSYGA
la Interventoría FOSYGA
59 Dispositivos OTIC- líder Información Líder de supervisión Grupo líder Físico Oficina líder Media 3 Baja 2 Muy Alta 5 Alto 10
Ópticos (CDS), Grupo de Pura del FOSYGA supervisión supervisión del Fosyga
informes Supervisor del del FOSYGA
entregados por FOSYGA
la interventoría.
60 Programa de OTIC- líder Software Líder de supervisión Jefe líder Digital Oficina líder Alta 4 Alta 4 Muy Alta 5 Muy Alto 13
información en Grupo de del FOSYGA Supervisión supervisión del Fosyga
ACCESS Supervisor del del FOSYGA
(Registro de FOSYGA
información
General)
61 Servidor : OTIC- líder Hardware Líder de supervisión Grupo de Físico Centro Cómputo Piso Alta 4 Media 3 Muy Alta 5 Alto 12
Repositorio de Grupo de del FOSYGA Soporte 21 - Grupo Soporte
Documentos Supervisor del informático Informático
FOSYGA
62 Solicitudes y OTIC- líder Información Líder de supervisión Grupo de Combinado Servidor de Archivos Media 3 Media 3 Muy Alta 5 Alto 11
requerimientos Grupo de Pura del FOSYGA Soporte ORFEO
Supervisor del informático
FOSYGA
63 Bitácora de OTIC- líder Información Líder de supervisión Jefe líder Digital Oficina líder Alta 4 Alta 4 Media 3 Alto 11
control y Grupo de Pura del FOSYGA Supervisión supervisión del Fosyga
seguimiento Supervisor del del FOSYGA
FOSYGA
64 Equipo OTIC- líder Hardware Líder de supervisión Jefe líder Físico Oficina líder Alta 4 Alta 4 Alta 4 Alto 12
cómputo de la Grupo de del FOSYGA Supervisión supervisión del Fosyga
jefe líder Supervisor del del FOSYGA
supervisor del FOSYGA
Fosyga
65 Aplicativo/ OTIC - Información Jefe de OTIC Tercero ( Digital Centro Cómputo Piso Alta 4 Muy Alta 5 Baja 2 Alto 11
Base de datos BDUA/RIPS/PI Pura Consorcio 21 - Grupo Soporte
BDUA- LA SAYP 2011) Informático
(Respuesta a "Calle 32 n 13-76"
órganos
judiciales, EPS,
municipios y
titulares de la
información)
66 Información de OTIC - Información Jefe de OTIC FONADE Digital Centro de Datos Media 3 Media 3 Media 3 Medio 9
141
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
la base de BDUA/RIPS/PI Pura Externo
datos de PILA LA
67 Información de OTIC - Información Jefe de OTIC FONADE Digital Centro de Datos Media 3 Media 3 Media 3 Medio 9
la base de BDUA/RIPS/PI Pura Externo
datos RIPS ( LA
Registro
individual de
prestación de
servicios)
68 Correspondenc OTIC - Información Jefe de OTIC Administraci Digital Centro de Archivos de Media 3 Muy Alta 5 Muy Alta 5 Muy Alto 13
ia Judicial ( BDUA/RIPS/PI Pura ón ORFEO
Tutela, LA Documental
derechos de
petición)
69 Información de OTIC - Información Jefe de OTIC FONADE Digital Centro de Datos Media 3 Media 3 Media 3 Medio 9
la base de BDUA/RIPS/PI Pura Externo
datos RUAF ( LA
Registro único
de afiliados)
70 Información de OTIC - Información Jefe de OTIC FONADE Digital Centro de Datos Media 3 Media 3 Media 3 Medio 9
la base de BDUA/RIPS/PI Pura Externo
datos SISMED LA
(Sistema de
precio de
medicamentos)
71 Página web del OTIC - Gestión Software Profesional - Centro de Digital Centro de Datos Muy Baja 1 Muy Alta 5 Alta 4 Alto 10
RUAF de la Contratista del Datos del Externo
información del MSPS Estado
RUAF
72 Base de datos OTIC - Gestión Software Profesional - Centro de Digital Centro de Datos Media 3 Muy Alta 5 Alta 4 Alto 12
Consulta de la Contratista del Datos del Externo
Supervivencia información del MSPS Estado
– Escolaridad. RUAF
73 Base de datos OTIC - Gestión Software Profesional - Centro de Digital Centro de Datos Alta 4 Media 3 Muy Alta 5 Alto 12
Consolidación de la Contratista del Datos del Externo
del RUAF. información del MSPS Estado
RUAF
74 Equipo OTIC - Gestión Hardware Profesional - Profesional - Digital Oficina del Profesional Alta 4 Alta 4 Muy Alta 5 Muy Alto 13
cómputo del de la Contratista del Contratista
Profesional información del MSPS
contratista RUAF
75 Aplicativo OTIC - Grupo Software Responsable Grupo Centro de Digital Centro de Datos Alta 4 Muy Alta 5 Alta 4 Muy Alto 13
misional de desarrollo de desarrollo de datos del Externo
SISMED de Software Software OTIC estado
Synapsis
76 Sistema de OTIC - Grupo Software Responsable Grupo Centro de Digital Centro de Datos Alta 4 Media 3 Muy Alta 5 Alto 12
información de de desarrollo de desarrollo de datos del Externo
seguridad de de Software Software OTIC estado
aplicativos Synapsis
misionales del
SISPRO
77 Plataforma de OTIC - Grupo Software Responsable Grupo Centro de Digital Centro de Datos Alta 4 Alta 4 Baja 2 Alto 10
142
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
integración de desarrollo de desarrollo de datos del Externo
PISIS de Software Software OTIC estado
Synapsis
78 Saneamiento OTIC - Grupo Software Responsable Grupo Centro de Digital Centro de Datos Alta 4 Muy Alta 5 Alta 4 Muy Alto 13
de Cartera de desarrollo de desarrollo de datos del Externo
de Software Software OTIC estado
Synapsis
79 Sistema de giro OTIC - Grupo Software Responsable Grupo Centro de Digital Centro de Datos Alta 4 Muy Alta 5 Alta 4 Muy Alto 13
directo a IPS de desarrollo de desarrollo de datos del Externo
de Software Software OTIC estado
Synapsis
80 Sistema de OTIC - Grupo Software Responsable Grupo Centro de Digital Centro de Datos Alta 4 Muy Alta 5 Baja 2 Alto 11
cuentas de desarrollo de desarrollo de datos del Externo
maestras de Software Software OTIC estado
Synapsis
81 Sistema de OTIC - Grupo Software Responsable Grupo Centro de Digital Centro de Datos Alta 4 Muy Alta 5 Media 3 Alto 12
registro de de desarrollo de desarrollo de datos del Externo
actividades de de Software Software OTIC estado
protección Synapsis
específica y
detección
temprana
(Resolución
4505)
82 Sistema de OTIC - Grupo Software Responsable Grupo Centro de Digital Centro de Datos Alta 4 Muy Alta 5 Alta 4 Muy Alto 13
compra de de desarrollo de desarrollo de datos del Externo
cartera de Software Software OTIC estado
Synapsis
83 Sistema de OTIC - Grupo Software Responsable Grupo Centro de Digital Centro de Datos Alta 4 Muy Alta 5 Alta 4 Muy Alto 13
Talento de desarrollo de desarrollo de datos del Externo
Humano en de Software Software OTIC estado
Salud Synapsis
84 Sistema de OTIC - Grupo Software Responsable Grupo Centro de Digital Centro de Datos Alta 4 Muy Alta 5 Baja 2 Alto 11
deudas de desarrollo de desarrollo de datos del Externo
de Software Software OTIC estado
Synapsis
85 Repositorio de OTIC - Grupo Software Responsable Grupo Grupo de Digital Servidor Centro de Alta 4 Muy Alta 5 Muy Alta 5 Muy Alto 14
Código Fuente de desarrollo de desarrollo de desarrollo de cómputo del MSPS
de Software Software OTIC Software
OTIC
86 Repositorio OTIC - Grupo Información Responsable Grupo Grupo de Digital Servidor Centro de Alta 4 Alta 4 Alta 4 Alto 12
Documentación de desarrollo Pura de desarrollo de desarrollo de cómputo del MSPS
del grupo e de Software Software OTIC Software
desarrollo de OTIC
Software
87 Base de datos OTIC- Grupo Software Coordinador Y Centro datos Digital Centro de Datos Alta 4 Media 3 Muy Alta 5 Alto 12
Planilla Pila en Planilla Pila Grupo de Planilla del Estado Externo
SQL Server Pila
88 Solicitudes de OTIC- Grupo Información Coordinador Y Grupo de Combinado Centro Cómputo Piso Alta 4 Alta 4 Muy Alta 5 Muy Alto 13
información Planilla Pila Pura Grupo de Planilla Soporte 21 - Grupo Soporte
sobre Planilla Pila Informático Informático
Pila "Calle 32 n 13-76"
89 Documentación OTIC- Grupo Información Coordinador Y Grupo de Digital Oficina Coordinador Alta 4 Alta 4 Media 3 Alto 11
143
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
de informe, Planilla Pila Pura Grupo de Planilla Planilla Pila Grupo Planilla Pila
Estadísticas Pila
Generales
Operación Pila
90 Expedientes de Gestión de la Información Coordinadora del Gestión Combinado Archivo central primer Media 3 Muy Alta 5 Alta 4 Alto 12
contratación Contratación Pura grupo de gestión contractual piso MSPS/ Archivo
(físico, Sólo se contractual (2 últimos gestión contractual Piso
digitalizan años) / 7 MSPS
algunos y se gestión
publican en la documental
intranet)
91 Archivo físico Gestión de la Información Coordinadora del Gestión Físico Archivo gestión Media 3 Alta 4 Muy Alta 5 Alto 12
(expedientes y Contratación Pura grupo de gestión contractual contractual Piso 7
archivos de contractual MSPS
gestión)
92 Base de Datos Gestión de la Información Coordinadora del Gestión Digital Piso 7 gestión Media 3 Muy Alta 5 Muy Alta 5 Muy Alto 13
de contratos Contratación Pura grupo de gestión contractual contractual
(Excel) contractual
93 Base de Datos Gestión de la Información Coordinadora del Gestión Digital Piso 7 gestión Media 3 Muy Alta 5 Muy Alta 5 Muy Alto 13
de Procesos Contratación Pura grupo de gestión contractual contractual
(Excel ) contractual /Funcionario
94 Base de Datos Gestión de la Información Coordinadora del Gestión Digital Piso 7 Gestión Media 3 Muy Alta 5 Muy Alta 5 Muy Alto 13
de Contratación Pura grupo de gestión contractual Contractual MSPS
Liquidaciones contractual /Funcionario
(Excel)
95 Herramienta de Gestión de la Software Coordinadora del Subdirección Digital Subdirección Media 3 Muy Alta 5 Alta 4 Alto 12
gestión Contratación grupo de gestión administrativ Administrativa Piso 6
contractual contractual a
(subdirección)
96 Herramienta Gestión de la Software Coordinadora del Subdirección Digital Subdirección Baja 2 Muy Alta 5 Media 3 Alto 10
plan anual de Contratación grupo de gestión administrativ Administrativa Piso 6
adquisiciones contractual a
(Subdirección)
97 Herramienta de Gestión de la Software Coordinadora del OTIC Digital OTIC Baja 2 Muy Alta 5 Media 3 Alto 10
certificaciones Contratación grupo de gestión
en línea contractual
98 Intranet (link de Gestión de la Software Coordinadora del OTIC Digital OTIC Media 3 Muy Alta 5 Muy Alta 5 Muy Alto 13
contratos) (Uso Contratación grupo de gestión
interno) contractual
99 Equipo Edna Gestión de la Hardware Coordinadora del Gestión Físico Piso 7 Gestión Media 3 Muy Alta 5 Muy Alta 5 Muy Alto 13
Constanza Contratación grupo de gestión contractual Contractual MSPS
Urrea contractual /Funcionario
(Contratos BD)
100 Equipo Ingrid Gestión de la Hardware Coordinadora del Gestión Físico Piso 7 Gestión Media 3 Muy Alta 5 Muy Alta 5 Muy Alto 13
Córdoba Contratación grupo de gestión contractual Contractual MSPS
(Liquidaciones contractual /Funcionario
BD)
101 Equipo Jennifer Gestión de la Hardware Coordinadora del Gestión Físico Piso 7 Gestión Media 3 Muy Alta 5 Muy Alta 5 Muy Alto 13
Castañeda Contratación grupo de gestión contractual / Contractual MSPS
(Procesos BD) contractual Funcionario
144
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
102 Documentos Gestión de la Información Coordinadora del Gestión Digital Piso 7 Gestión Media 3 Media 3 Media 3 Medio 9
Word (minutas Contratación Pura grupo de gestión contractual Contractual MSPS
de contratos) contractual /Funcionario
103 Hoja de vida de Gestión del Información Subdirectora de SIGEP Digital Archivo Subdirección Baja 2 Muy Alta 5 Alta 4 Alto 11
los funcionarios Talento Pura Talento Humano Talento Humano - Piso
(Soportes) Humano - 7
Grupo de
nómina
104 SIGEP( Gestión del Software Subdirectora de Subdirección Digital Centro de Datos Media 3 Media 3 Muy Alta 5 Alto 11
Sistema de Talento Talento Humano talento Externo
Información de Humano - Humano
la gestión del Grupo de
empleo público) nómina
105 Documentos Gestión del Información Subdirectora de SIGEP Digital Archivo Subdirección Media 3 Muy Alta 5 Baja 2 Alto 10
soportes de Talento Pura Talento Humano Talento Humano - Piso
verificación de Humano - 7
requisitos Grupo de
nómina
106 Resolución de Gestión del Información Subdirectora de Subdirección Digital Carpeta Compartida Muy Baja 1 Muy Alta 5 Alta 4 Alto 10
vinculación/ Talento Pura Talento Humano talento
Retiro Humano - Humano
Grupo de
nómina
107 Archivos de Gestión del Información Subdirectora de SIGEP Digital SIGEP Media 3 Muy Alta 5 Alta 4 Alto 12
pago de Talento Pura Talento Humano
nómina/tercero Humano -
s/ entidades Grupo de
financieras nómina
108 Documentos de Gestión del Información Subdirectora de Subdirección Digital SIGEP Media 3 Muy Alta 5 Alta 4 Alto 12
novedad del Talento Pura Talento Humano talento
personal Humano - Humano
Grupo de
nómina
109 Reportes para Gestión del Información Coordinador del Digital Grupo Nómina Baja 2 Alta 4 Alta 4 Alto 10
organismos de Talento Pura grupo de nómina
control Humano -
Grupo de
nómina
110 Reportes para Gestión del Información Responsable de la Subdirección Digital Subdirección Talento Baja 2 Alta 4 Alta 4 Alto 10
el comité de Talento Pura Planeación la talento Humano
control interno ( Humano - subdirección de Humano
informe de Grupo de talento humano
novedades) nómina
111 Soportes de Gestión del Información Administrador SIGEP Digital SIGEP Media 3 Media 3 Muy Alta 5 Alto 11
pre-liquidación Talento Pura sistema de nómina
(autocontrol) Humano -
145
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
Grupo de
nómina
112 Correos con Gestión del Información Grupo Nómina OTICS Digital Servidor Correo Media 3 Media 3 Muy Alta 5 Alto 11
soportes de Talento Pura
trámite de la Humano -
novedad Grupo de
nómina
113 Base de datos Gestión del Información Coordinador del Grupo de Digital Equipo Coordinador del Media 3 Alta 4 Muy Alta 5 Alto 12
con las Talento Pura grupo de nómina nómina grupo de nómina
novedades Humano -
Grupo de
nómina
114 Plantillas para Gestión del Información Administrador Grupo de Digital Equipo del Alta 4 Alta 4 Muy Alta 5 Muy Alto 13
revisión de la Talento Pura sistema de nómina nómina administrador del
nómina Humano - Sistema de Nómina
Grupo de
nómina
115 Planillas de Gestión del Información Administrador Grupo de Digital Equipo del Media 3 Muy Alta 5 Muy Alta 5 Muy Alto 13
nómina, Talento Pura sistema de nómina nómina administrador del
Aportes a Humano - Sistema de Nómina
seguridad Grupo de
social/ Archivo nómina
de pila/Fondo
nacional del
ahorro/
Embargos
116 Recibo de Gestión del Información Administrador Grupo de Digital SIGEP Centro de Datos Baja 2 Muy Alta 5 Muy Alta 5 Alto 12
nomina, Talento Pura sistema de nómina nómina
ingreso y Humano -
retenciones Grupo de
nómina
117 Capacidad de Gestión del Información Coordinador del Grupo de Digital Tesorería Media 3 Muy Alta 5 Media 3 Alto 11
endeudamiento Talento Pura grupo de nómina nómina
Humano -
Grupo de
nómina
118 Resolución de Gestión del Información Coordinador del Grupo de Digital Archivo de la Media 3 Muy Alta 5 Alta 4 Alto 12
vacaciones, Talento Pura grupo de nómina nómina Subdirección de
horas extras, Humano - Talento Humano
prestaciones Grupo de
pagadas. nómina
119 Bases de OTIC - Información Coordinador Centro datos Digital Centro de Datos Media 3 Media 3 Media 3 Medio 9
datos de RIPs Administración Pura (Contratista) del Estado Externo
de la Base de
Datos de RIPS
120 Archivos de OTIC - Información Coordinador Coordinador Digital Oficina Coordinador Media 3 Media 3 Media 3 Medio 9
consultas de Administración Pura (Contratista) (Contratista) (Contratista)
SQL de la Base de
Datos de RIPS
121 Información de OTIC - Información Coordinador Coordinador Físico Oficina Coordinador Media 3 Alta 4 Media 3 Alto 10
consultas de Administración Pura (Contratista) (Contratista) (Contratista)
SQL de de la Base de
estudios Datos de RIPS
particulares y
copias de
respaldo de los
146
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
datos que se
maneja en el
área
122 Solicitudes de OTIC - Información Coordinador Grupo Combinado Sistema Archivos Media 3 Alta 4 Media 3 Alto 10
información Administración Pura (Contratista) Soporte ORFEO
respecto de de la Base de Informático
RIPS y EAPB Datos de RIPS
123 Carpeta OTIC - Información Coordinador Grupo Combinado Centro Cómputo Piso Media 3 Alta 4 Media 3 Alto 10
Compartida Administración Pura (Contratista) Soporte 21 - Grupo Soporte
maneja de la Base de Informático Informático
información Datos de RIPS
relevante para
el grupo
124 Los OTIC - Software Coordinador Coordinador Combinado Oficina Coordinador Baja 2 Baja 2 Media 3 Medio 7
validadores de Administración (Contratista) (Contratista) (Contratista)
EAPB Y IPS de la Base de
que son para Datos de RIPS
uso interno y se
puede
descargar de la
página del
Ministerio.
125 Programa de OTIC - Software Coordinador Coordinador Combinado Oficina Coordinador Media 3 Alta 4 Media 3 Alto 10
control de Administración (Contratista) (Contratista) (Contratista)
Gestión sobre de la Base de
las actividades Datos de RIPS
que se realizan
en el área.
126 Información de OTIC- Información Stella Sánchez Grupo Digital Servidor Archivos de Media 3 Media 3 Muy Alta 5 Alto 11
PQRS de Planeación y Pura Reyes- Contratista Soporte ORFEO
RUAF Y SAYP cumplimiento OTIC informático
de políticas
sobre la gestión
de la
información de
RIPS
127 Página web de OTIC- Software Stella Sánchez Centro de Digital Centro de Datos Muy Baja 1 Media 3 Muy Alta 5 Medio 9
RUAF Planeación y Reyes- Contratista Datos Externo
cumplimiento OTIC Estado
de políticas
128 Documentos OTIC- Información Stella Sánchez Stella Digital Oficina del Contratista - Media 3 Alta 4 Muy Alta 5 Alto 12
sobre informes, Planeación y Pura Reyes- Contratista Sánchez OTIC
estadísticas, y cumplimiento OTIC Reyes-
cruces del de políticas Contratista
Consorcio sobre la gestión OTIC
SAYP de la
información de
RIPS
129 Información OTIC- Información Stella Sánchez Stella Digital Oficina del Contratista - Media 3 Media 3 Muy Alta 5 Alto 11
PQRS físicos y Planeación y Pura Reyes- Contratista Sánchez OTIC
almacenada en cumplimiento OTIC Reyes-
dispositivos de políticas Contratista
Ópticos Como sobre la gestión OTIC
CDS. de la
información de
RIPS
147
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
130 Información de Grupo Soporte Información Auxiliar Grupo Auxiliar Digital Equipo de Auxiliar Alta 4 Media 3 Muy Alta 5 Alto 12
infraestructura Informático Pura Soporte Informático Grupo Grupo Soporte
tecnológica Soporte Informático
(hardware/soft Informático
ware) y de la
plataforma de
comunicacione
s del MSPS.
131 Cintas Grupo Soporte Información Auxiliar Grupo Coordinador Digital Oficina Coordinador Alta 4 Alta 4 Muy Alta 5 Muy Alto 13
magnéticas. Informático Pura Soporte Informático del Grupo Del Grupo Soporte
Soporte Informático
informático
132 Hojas de Grupo Soporte Información Auxiliar Grupo Coordinador Físico Oficina del coordinador Baja 2 Media 3 Muy Baja 1 Bajo 6
solicitud. Informático Pura Soporte Informático del Grupo de Soporte Informático
Soporte
informático
133 Sistema de Grupo Soporte Información Auxiliar Grupo Coordinador Combinado Servidor Centro de Alta 4 Media 3 Muy Alta 5 Alto 12
información Informático Pura Soporte Informático del Grupo Cómputo
registro de Soporte
solicitudes. informático
134 SERVIDOR Grupo Soporte Hardware UNE Coordinador Combinado Centro Cómputo Piso Media 3 Media 3 Media 3 Medio 9
PRESENTACI Informático del Grupo 21 - Grupo Soporte
ÓN - Soporte Informático
WEB- informático
SERVIDOR
INTRANET
SERVIDOR
BASES DE
DATOS -
INTRANET-
135 SEVIDOR Grupo Soporte Hardware UNE Coordinador Combinado Centro Cómputo Piso Media 3 Media 3 Media 3 Medio 9
CORREO Informático del Grupo 21 - Grupo Soporte
ELECTRONIC Soporte Informático
O informático
136 SERVIDOR DE Grupo Soporte Hardware UNE Coordinador Combinado Centro Cómputo Piso Media 3 Media 3 Media 3 Medio 9
DIRECTORIO Informático del Grupo 21 - Grupo Soporte
ACTIVO Soporte Informático
MINSALUD.LO informático
CAL
148
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
137 SEVIDOR Grupo Soporte Hardware UNE Coordinador Combinado Centro Cómputo Piso Media 3 Media 3 Media 3 Medio 9
DIRECTORIO Informático del Grupo 21 - Grupo Soporte
ACTIVO Soporte Informático
MINPROTECCI informático
ONSOCIAL.GO
V.CO
138 FLOTANTE DE Grupo Soporte Hardware UNE Coordinador Combinado Centro Cómputo Piso Media 3 Media 3 Media 3 Medio 9
APLICACIÓN Informático del Grupo 21 - Grupo Soporte
ORFEO y Soporte Informático
FLOTANTE DE informático
BASE DE
DATOS
ORFEO
139 FIREWALL Grupo Soporte Hardware GRUPO SOPORTE Coordinador Combinado Centro Cómputo Piso Alta 4 Muy Alta 5 Muy Alta 5 Muy Alto 14
MINSALUD Informático INFORMATICO - del Grupo 21 - Grupo Soporte
JPOVEDA Soporte Informático
informático
140 SERVIDOR DE Grupo Soporte Hardware GRUPO SOPORTE Coordinador Combinado Centro Cómputo Piso Media 3 Baja 2 Alta 4 Medio 9
IMPRESIÓN Informático INFORMATICO - del Grupo 21 - Grupo Soporte
JAPEVA Soporte Informático
informátic
141 SWITCH Grupo Soporte Hardware GRUPO SOPORTE Coordinador Combinado Centro Cómputo Piso Alta 4 Alta 4 Alta 4 Alto 12
149
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
BORDE Informático INFORMATICO - del Grupo 21 - Grupo Soporte
JPOVEDA Soporte Informático
informático
142 SERVIDOR DE Grupo Soporte Hardware UNE Coordinador Combinado Centro Cómputo Piso Media 3 Media 3 Media 3 Medio 9
TELEFONIA Informático del Grupo 21 - Grupo Soporte
Soporte Informático
informático
143 SERVIDOR DE Grupo Soporte Hardware OTIC - LCARDENAS Coordinador Combinado Centro Cómputo Piso Media 3 Media 3 Media 3 Medio 9
PRUEBAS Informático del Grupo 21 - Grupo Soporte
PRESENTACI Soporte Informático
ÓN -WEB- informático
PORTAL
MINISTERIO
144 SERVIDOR DE Grupo Soporte Hardware OTIC - LCARDENAS Coordinador Combinado Centro Cómputo Piso Media 3 Media 3 Muy Baja 1 Medio 7
PRUEBAS Informático del Grupo 21 - Grupo Soporte
BASE DE Soporte Informático
DATOS informático
PAGINA WEB
PRINCIPAL
145 GRANJA Grupo Soporte Hardware OTIC - LCARDENAS Coordinador Combinado Centro Cómputo Piso Media 3 Media 3 Muy Alta 5 Alto 11
SHAREPOINT Informático del Grupo 21 - Grupo Soporte
-WEB FRONT Soporte Informático
2- informático
150
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
146 GRANJA Grupo Soporte Hardware OTIC - LCARDENAS Coordinador Combinado Centro Cómputo Piso Alta 4 Muy Alta 5 Muy Alta 5 Muy Alto 14
SHAREPOINT Informático del Grupo 21 - Grupo Soporte
-SERVER Soporte Informático
DATA BASE 2- informático
147 GRANJA Grupo Soporte Hardware OTIC - LCARDENAS Coordinador Combinado Centro Cómputo Piso Alta 4 Muy Alta 5 Muy Alta 5 Muy Alto 14
SHAREPOINT Informático del Grupo 21 - Grupo Soporte
-SERVER Soporte Informático
DATA BASE 1- informático
148 SERVIDOR DE Grupo Soporte Hardware GRUPO SOPORTE Coordinador Combinado Centro Cómputo Piso Media 3 Media 3 Media 3 Medio 9
ARCHIVOS Informático INFORMATICO - del Grupo 21 - Grupo Soporte
JAPEVA Soporte Informático
informático
149 SITIOS Grupo Soporte Hardware OTIC - LCARDENAS Coordinador Combinado Centro Cómputo Piso Media 3 Media 3 Muy Baja 1 Medio 7
COLABORATI Informático del Grupo 21 - Grupo Soporte
VOS - Soporte Informático
SHAREPOINT informático
2010-
150 SERVIDOR Grupo Soporte Hardware OTIC - LGONZALEZ Coordinador Combinado Centro Cómputo Piso Alta 4 Muy Alta 5 Alta 4 Muy Alto 13
CRM Informático del Grupo 21 - Grupo Soporte
Soporte Informático
informático
151
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
151 SERVIDOR Grupo Soporte Hardware GRUPO SOPORTE Coordinador Combinado Centro Cómputo Piso Alta 4 Muy Alta 5 Alta 4 Muy Alto 13
FTPS Informático INFORMATICO - del Grupo 21 - Grupo Soporte
JAPEVA Soporte Informático
informático
152 SERVIDOR Grupo Soporte Hardware UNE Coordinador Combinado Centro Cómputo Piso Media 3 Media 3 Muy Baja 1 Medio 7
MOODLE - Informático del Grupo 21 - Grupo Soporte
CURSOS Soporte Informático
VIRTUALES- informático
153 ORFEO1- Grupo Soporte Hardware UNE Coordinador Combinado Centro Cómputo Piso Media 3 Media 3 Media 3 Medio 9
STORAGE Informático del Grupo 21 - Grupo Soporte
ORFEO1-DB Soporte Informático
ORFEO1- informático
WWW
154 FLOTANTE DE Grupo Soporte Hardware UNE Coordinador Combinado Centro Cómputo Piso Media 3 Media 3 Media 3 Medio 9
APLICACIÓN Informático del Grupo 21 - Grupo Soporte
ORFEO Soporte Informático
FLOTANTE DE informático
BASE DE
DATOS
ORFEO
155 ORFEO2- Grupo Soporte Hardware UNE Coordinador Combinado Centro Cómputo Piso Media 3 Media 3 Media 3 Medio 9
STORAGE Informático del Grupo 21 - Grupo Soporte
ORFEO2-DB Soporte Informático
ORFEO2- informático
WWW
152
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
156 ORFEO1-XEN Grupo Soporte Hardware UNE Coordinador Combinado Centro Cómputo Piso Media 3 Media 3 Media 3 Medio 9
ORFEO2-XEN Informático del Grupo 21 - Grupo Soporte
Soporte Informático
informátic
157 DISPONIBLE Grupo Soporte Hardware UNE Coordinador Combinado Centro Cómputo Piso Alta 4 Alta 4 Alta 4 Alto 12
ORFEO Informático del Grupo 21 - Grupo Soporte
Soporte Informático
informátic
158 SERVIDOR DE Grupo Soporte Hardware GRUPO SOPORTE Coordinador Combinado Centro Cómputo Piso Media 3 Muy Alta 5 Alta 4 Alto 12
SII Informático INFORMATICO - del Grupo 21 - Grupo Soporte
JGUATEQUE Soporte Informático
informático
159 Estaciones de Grupo Soporte Hardware Funcionarios Y Coordinador Combinado Centro Cómputo Piso Baja 2 Baja 2 Alta 4 Medio 8
Trabajo del Informático Contratistas del del Grupo 21 - Grupo Soporte
MSPS MSPS Soporte Informático
informático
160 Informes de la OTIC- Gestión Información Profesional - Dirección de Combinado Dirección de Media 3 Media 3 Muy Alta 5 Alto 11
administración de la Pura Especializado administraci administración de
de fondos y la información del ón de fondos fondos y oficinas de
firma FOSYGA y oficinas de TICS .
Interventora TICS .
sobre el
FOSYGA.
161 Carpeta OTIC- Gestión Información Profesional - Grupo Digital Centro Cómputo Piso Alta 4 Alta 4 Media 3 Alto 11
Compartida con de la Pura Especializado Soporte 21 - Grupo Soporte
información información del Informático Informático
que se maneja FOSYGA
en el área.
162 Información del OTIC- Gestión Información Profesional - Profesional - Digital Oficina del Personal Alta 4 Muy Alta 5 Media 3 Alto 12
FOSYGA que de la Pura Especializado Especializad Especializado
corresponde a información del o
la Fiscalía FOSYGA
General de la
Nación.
163 Información OTIC- Gestión Información Profesional - Profesional - Digital Oficina de la TIC Piso Alta 4 Muy Alta 5 Media 3 Alto 12
del FOSYGA de la Pura Especializado Especializad 16 del MSPS
que información del o
corresponde a FOSYGA
153
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
la Interventoría.
164 Información de OTIC- Gestión Información Profesional - Profesional - Digital Oficina del Personal Alta 4 Muy Alta 5 Media 3 Alto 12
informes y de la Pura Especializado Especializad Especializado
Metodologías información del o
de versiones FOSYGA
anteriores.
165 Solicitudes OTIC- Gestión Información Profesional - Grupo Digital Centro de Archivos de Media 3 Media 3 Muy Alta 5 Alto 11
sobre de la Pura Especializado Soporte ORFEO
información del información del Informático
FOSYGA. FOSYGA
166 Informe OTIC - Jefatura Información Dolly Esperanza Dolly Digital Oficina de la Jefe OTIC- Media 3 Media 3 Media 3 Medio 9
Gestión Pura Ovalle Carranza– Esperanza líderes de los procesos
(informe Jefe de OTIC Ovalle de OTIC
mensual Carranza–
avances OTIC) Jefe de OTIC
167 Informe de OTIC - Jefatura Información Dolly Esperanza Dolly Digital Oficina de la Jefe OTIC- Media 3 Media 3 Media 3 Medio 9
depuración de Pura Ovalle Carranza– Esperanza líderes de los procesos
datos. Jefe de OTIC Ovalle de OTIC
Carranza–
Jefe de OTIC
168 Información OTIC - Jefatura Información Dolly Esperanza Grupo Físico Centro Cómputo Piso Alta 4 Media 3 Muy Alta 5 Alto 12
del Correo Pura Ovalle Carranza– Soporte 21 - Grupo Soporte
Electrónico Jefe de OTIC Informático Informático
169 Información de OTIC- Gestión Información Profesional - Profesional - Combinado Oficina del Profesional Media 3 Alta 4 Muy Alta 5 Alto 12
las solicitudes de la Pura Contratista Contratista - Contratista
de infraestructura
infraestructura tecnológica del
tecnológica de MSPS
los
proveedores
internos y
externos del
MSPS.
170 Información OTIC- Gestión Información Profesional - Profesional - Digital Oficina del Profesional Media 3 Alta 4 Media 3 Alto 10
Contractual, de la Pura Contratista Contratista - Contratista
estudios infraestructura
previos, tecnológica del
informes, MSPS
análisis sobre
los proyectos
del OTIC.
171 Sistema de OTIC- Gestión Software Profesional - Profesional - Digital Oficina del Profesional Alta 4 Media 3 Muy Alta 5 Alto 12
información de la Contratista Contratista - Contratista
que se utiliza infraestructura
para creación tecnológica del
de credenciales MSPS
de las
aplicaciones y
soporte de los
servidores del
154
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
MSPS.
172 Solicitudes en OTIC- Gestión Información Profesional - Grupo Digital Centro Cómputo Piso Media 3 Media 3 Media 3 Medio 9
el sistema de la Pura Contratista Soporte 21 - Grupo Soporte
ORFEO. infraestructura Informático Informático
tecnológica del
MSPS
173 Información de OTIC- Apoyo Información Profesional - Grupo Combinado Sistema de archivos de Media 3 Media 3 Baja 2 Medio 8
recepción y de los procesos Pura Contratista Soporte ORFEO
envió de PQRS y Informático
procedimientos
tecnológicos
174 información del OTIC- Apoyo Información Profesional - Grupo Digital Centro Cómputo Piso Media 3 Media 3 Baja 2 Medio 8
Correo de los procesos Pura Contratista Soporte 21 - Grupo Soporte
Electrónico y Informático Informático
procedimientos
tecnológicos
175 Carpeta OTIC- Apoyo Información Profesional - Grupo Digital Centro Cómputo Piso Media 3 Media 3 Baja 2 Medio 8
compartida de los procesos Pura Contratista Soporte 21 - Grupo Soporte
MINPS y Informático Informático
15/TICS_Docs procedimientos
tecnológicos
176 Información de OTIC- Apoyo Información Profesional - Profesional - Digital Oficina del Profesional Media 3 Media 3 Muy Alta 5 Alto 11
procesos y de los procesos Pura Contratista Contratista - Contratista
procedimientos y
en proceso de procedimientos
publicación. tecnológico
177 Información de OTIC- Apoyo Información Profesional - Grupo Digital Centro Cómputo Piso Baja 2 Alta 4 Muy Alta 5 Alto 11
los procesos y de los procesos Pura Contratista Soporte 21 - Grupo Soporte
procedimientos y Informático Informático
publicados en procedimientos
el intranet del tecnológicos
MSPS.
178 Información OTIC - Gestión Información Profesional - Profesional - Combinado Oficina del Profesional Media 3 Alta 4 Muy Alta 5 Alto 12
sobre Gestión Contractual Pura Contratista Contratista - Contratista
de los sistemas
de información.
179 Resoluciones OTIC - Gestión Información Profesional - Profesional - Combinado Oficina del Profesional Media 3 Media 3 Media 3 Medio 9
en Contractual Pura Contratista Contratista - Contratista
construcción.
180 Información OTIC - Gestión Información Profesional - Oficina de Combinado Oficina de la TIC Piso Media 3 Media 3 Muy Alta 5 Alto 11
Contractual y Contractual Pura Contratista las TICS 16 del MSPS
técnica de los
proyectos de la
OTIC.
181 Conocimiento OTIC - Gestión Información Profesional - Profesional - Digital Oficina del Profesional Media 3 Alta 4 Muy Alta 5 Alto 12
del Personal - Contractual Pura Contratista Contratista - Contratista
contratos OTIC
182 Lineamientos OTIC - Equipo Información Jefe de OTIC Planeación Digital Oficina de Planeación Muy Baja 1 Alta 4 Baja 2 Medio 7
de Política para de planeación Pura
la OTIC
155
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
183 Informes de OTIC - Equipo Información Jefe de OTIC Planeación Digital Oficina de Planeación Muy Baja 1 Alta 4 Baja 2 Medio 7
rendición de de planeación Pura
cuentas para
OTIC
184 Repositorio OTIC - Equipo Información Responsable en el Equipo de Digital Centro Cómputo Piso Alta 4 Media 3 Baja 2 Medio 9
virtual de la de planeación Pura equipo de planeación 21 - Grupo Soporte
OTIC Planeación para para OTIC Informático
OTIC
185 Procesos y OTIC - Equipo Información Responsable en el Planeación Digital Oficina de Planeación Baja 2 Alta 4 Media 3 Medio 9
procedimientos de planeación Pura equipo de
para OTIC Planeación para
OTIC
186 Proyecto de OTIC - Equipo Software Responsable equipo DNP Digital DNP Alta 4 Alta 4 Baja 2 Alto 10
presupuesto de de planeación de Planeación para
inversión de la OTIC
OTIC -
Aplicativo
SUIFP
187 Aplicativo SPI OTIC - Equipo Software Responsable equipo DNP Digital DNP Media 3 Alta 4 Media 3 Alto 10
de planeación de Planeación para
OTIC
188 Informes de OTIC - Equipo Información Responsable equipo Equipo de Digital Oficina Equipo de Muy Baja 1 Alta 4 Baja 2 Medio 7
seguimiento a de planeación Pura de Planeación para planeación planeación OTIC
diferentes OTIC para OTIC
entidades y
dependencias
189 SUIT ( Sistema OTIC - Equipo Software Responsable equipo DAFP Digital DAFP Muy Baja 1 Alta 4 Baja 2 Medio 7
Único de de planeación de Planeación para
Información de OTIC
Trámite)
190 Procesos de OTIC - Grupo Información Responsable del Responsable Digital Oficina del Media 3 Alta 4 Baja 2 Medio 9
trámites y GEL Pura Grupo GEL del Grupo Responsable del Grupo
servicios del GEL GEL
MSPS
191 Aplicativos de OTIC - Grupo Software Responsable del Responsable Digital Oficina del Media 3 Alta 4 Alta 4 Alto 11
trámites y GEL Grupo GEL del Grupo Responsable del Grupo
servicios en GEL GEL
línea
192 Documentación OTIC - Grupo Información Responsable del Responsable Digital Oficina del Muy Baja 1 Muy Alta 5 Baja 2 Medio 8
técnica del GEL Pura Grupo GEL del Grupo Responsable del Grupo
trámite GEL GEL
dispuesto en
línea
193 Servidor OTIC - Grupo Hardware Responsable del Grupo de Digital Centro Cómputo Piso Alta 4 Alta 4 Alta 4 Alto 12
MINPS33 GEL Grupo GEL Soporte 21 - Grupo Soporte
Informático Informático
194 Portal Web del OTIC - Grupo Software Responsable del Grupo de Digital Centro Cómputo Piso Muy Baja 1 Muy Alta 5 Muy Alta 5 Alto 11
Ministerio GEL Grupo GEL Soporte 21 - Grupo Soporte
Informático Informático
195 SharePoint OTIC - Grupo Software Responsable del Responsable Digital Oficina del Media 3 Muy Alta 5 Muy Alta 5 Muy Alto 13
para el portal GEL Grupo GEL del Grupo Responsable del Grupo
web GEL GEL
196 Manuales de OTIC - Grupo Información Responsable del Ministerio de Digital Oficina del Muy Baja 1 Muy Alta 5 Baja 2 Medio 8
implementación GEL Pura Grupo GEL TICS Responsable del Grupo
de la estrategia GEL
de gobierno en
156
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
línea
197 Repositorio OTIC - Grupo Información Responsable del Grupo de Digital Centro Cómputo Piso Baja 2 Alta 4 Media 3 Medio 9
institucional GEL Pura Grupo GEL Soporte 21 - Grupo Soporte
digital Informático Informático
198 Base de datos OTIC - Grupo Información Responsable del Grupo de Digital Centro Cómputo Piso Alta 4 Alta 4 Media 3 Alto 11
del Repositorio GEL Pura Grupo GEL Soporte 21 - Grupo Soporte
Institucional Informático Informático
Digital
199 Base de datos: OTIC - Grupo Información Responsable del Grupo de Digital Centro Cómputo Piso Alta 4 Alta 4 Media 3 Alto 11
Grupos de GEL Pura Grupo GEL Soporte 21 - Grupo Soporte
Datos Abiertos Informático Informático
200 Inventario de OTIC - Grupo Información Responsable del Responsable Digital Oficina del Media 3 Media 3 Media 3 Medio 9
Aplicaciones GEL Pura Grupo GEL del Grupo Responsable del Grupo
GEL GEL
201 Aplicativo de OTIC - Grupo Información Responsable del Grupo de Digital Centro Cómputo Piso Alta 4 Media 3 Media 3 Alto 10
inventario de GEL Pura Grupo GEL Soporte 21 - Grupo Soporte
aplicaciones Informático Informático
202 Aplicación OTIC - Grupo Información Responsable del Grupo de Digital Centro Cómputo Piso Muy Baja 1 Alta 4 Alta 4 Medio 9
Móvil GEL Pura Grupo GEL Soporte 21 - Grupo Soporte
SaluDatos Informático Informático
203 Aplicación OTIC - Grupo Información Responsable del Grupo de Digital Centro Cómputo Piso Muy Baja 1 Alta 4 Alta 4 Medio 9
Autocuidate GEL Pura Grupo GEL Soporte 21 - Grupo Soporte
Informático Informático
204 Carpetas Gestión del Información Jefe Gestión del Gestión del Combinado Piso 6 MSPS/ Gestión Baja 2 Media 3 Media 3 Medio 8
Historias Talento Pura Talento Humano Talento del Talento Humano
Laborales Humano Humano
205 Certificaciones Gestión del Información Jefe Gestión del Gestión del Físico Piso 6 MSPS/ Gestión Alta 4 Alta 4 Baja 2 Alto 10
pensionales Talento Pura Talento Humano Talento del Talento Humano
Humano Humano /
Pensiones
206 Carpeta Gestión del Información Jefe Gestión del Gestión del Digital Piso 6 MSPS/ Gestión Media 3 Baja 2 Muy Baja 1 Bajo 6
compartida Talento Pura Talento Humano Talento del Talento Humano
Talento Humano Humano
Humano
207 Archivos de Gestión del Información Jefe Gestión del Gestión del Digital Piso 6 MSPS/ Gestión Muy Baja 1 Alta 4 Alta 4 Medio 9
capacitación Talento Pura Talento Humano Talento del Talento Humano
Humano - Humano
Bienestar
208 Historias Gestión del Información Jefe Gestión del Gestión del Físico Piso 6 MSPS/ Gestión Muy Alta 5 Muy Alta 5 Muy Alta 5 Muy Alto 15
clínicas Talento Pura Talento Humano Talento del Talento Humano
Humano - Humano
Bienestar
209 Archivo de Gestión del Información Jefe Gestión del Gestión del Físico Piso 6 MSPS/ Gestión Muy Alta 5 Muy Alta 5 Muy Alta 5 Muy Alto 15
seguridad y Talento Pura Talento Humano Talento del Talento Humano
salud en el Humano - Humano
trabajo Bienestar
210 Archivo con Gestión del Información Jefe Gestión del Gestión del Digital Piso 6 MSPS/ Gestión Alta 4 Baja 2 Baja 2 Medio 8
información del Talento Pura Talento Humano Talento del Talento Humano
servidor público Humano - Humano
y familiares Bienestar
211 Bodega de OTIC - Grupo Información Líder de Bodega de Centro de Digital Centro de Datos Alta 4 Alta 4 Muy Alta 5 Muy Alto 13
Datos de Sistemas de Pura Datos Datos del Externo
Gestión de Estado
Datos
157
Ítem Nombre del Proceso / Tipo de Cargo Custodio Medio de Ubicación PROPIEDADES DE SEGURIDAD DEL ACTIVO DE VALOR DEL
No. Activo Grupo Activo de Responsable almacenami INFORMACIÓN ACTIVO
información ento CONFIDENCIALIDA INTEGRIDAD DISPONIBILIDAD
D
NIVEL Valor NIVEL Valor NIVEL Valor NIVEL Valor
212 Servidores de OTIC - Grupo Hardware Líder de Bodega de Centro de Digital Centro de Datos Alta 4 Alta 4 Muy Alta 5 Muy Alto 13
Base de Datos de Sistemas de Datos Datos del Externo
Gestión de Estado
Datos
213 Servidor de OTIC - Grupo Hardware Líder de Bodega de Centro de Digital Centro de Datos Alta 4 Alta 4 Muy Alta 5 Muy Alto 13
Análisis Gestión de Datos Datos del Externo
Services Datos Estado
214 Servidor de OTIC - Grupo Hardware Líder de Bodega de Centro de Digital Centro de Datos Alta 4 Alta 4 Muy Alta 5 Muy Alto 13
Presentación Gestión de Datos Datos del Externo
SISPRO Datos Estado
215 Reportes OTIC - Grupo Información Líder de Bodega de Centro de Digital Centro de Datos Muy Baja 1 Muy Alta 5 Muy Alta 5 Alto 11
(mortalidad, Gestión de Pura Datos Datos del Externo
morbilidad, Datos Estado
etc..)
216 Portal de OTIC - Grupo Software Líder de Bodega de Grupo de Digital Centro de Datos Muy Baja 1 Alta 4 Muy Alta 5 Alto 10
SISPRO Gestión de Datos Gestión de Externo
Datos Datos
217 Análisis de OTIC - Grupo Información Líder de Bodega de Grupo de Digital Oficina del Grupo de Media 3 Alta 4 Baja 2 Medio 9
Fuentes y Gestión de Pura Datos Gestión de Sistemas de Gestión de
Perfilamiento Datos Datos Datos
de datos
218 Programa ETL OTIC - Grupo Software Líder de Bodega de Grupo de Digital Centro de Datos Alta 4 Alta 4 Muy Alta 5 Muy Alto 13
Gestión de Datos Gestión de Externo
Datos Datos
219 Modelos OTIC - Grupo Software Líder de Bodega de Grupo de Digital Centro de Datos Alta 4 Alta 4 Muy Alta 5 Muy Alto 13
Multidimension Gestión de Datos Gestión de Externo
ales Datos Datos
220 3 Servidores de OTIC - Grupo Hardware Líder de Bodega de Grupo de Digital Centro de Datos Alta 4 Alta 4 Muy Alta 5 Muy Alto 13
presentación Gestión de Datos Gestión de Externo
del Portal Datos Datos
SISPRO
158
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Jefe de Grupo
Base de datos de ingreso de personas Pérdida de la
Base de datos de
al MSPS, se almacena en un medio integridad y CONTINUIDA
de ingreso de Administració Integridad -
2 físico susceptible a las condiciones disponibilidad Físico D 2 Menor 4 Posible 88 Moderado
personas al n de servicios Disponibilidad
ambientales y errores en su de la OPERATIVA
MSPS de Apoyo
manipulación (CD - ROM) información
logístico
159
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
160
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Jefe de Grupo
UPS centro de No hay mecanismo para detectar de
Pérdida de la CONTINUIDA
cómputo eventuales anomalías sobre la UPS del Administració Catastrófic
11 continuidad del Lógico Disponibilidad D 5 4 Posible 220 Alto
(Backup 30 centro de cómputo, puesto que NO es n de servicios o
servicio OPERATIVA
KVA) monitoreada. de Apoyo
logístico
161
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
162
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
163
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
164
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
No se realiza una adecuada
capacitación al personal del grupo de
Jefe del grupo
Administración Documental sobre el Confidencialida CONTINUIDA
de
uso del SGD ORFEO, lo cual aumenta Reprocesos Lógico d - Integridad - D 3 Moderado 3 Moderada 126 Moderado
administració
la probabilidad de errores en la Disponibilidad OPERATIVA
n documental
ejecución de las actividades que realiza
el grupo
165
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Documentos de
32 todas las
dependencias
Los documentos de todas las
Pérdida de
dependencias, no se encuentran Jefe del grupo
integridad y/o CONTINUIDA
digitalizados 100%, es decir, no se de Integridad -
disponibilidad Físico D 4 Mayor 3 Moderada 120 Moderado
cuenta con un respaldo digital en caso administració Disponibilidad
de la OPERATIVA
de un eventual deterioro de los n documental
información
documentos físicos
166
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de la
Varios funcionarios del grupo
confidencialida Jefe del grupo
manipulan un único documento durante CONTINUIDA
d y de Integridad -
el proceso de radicación y entrega, la Físico D 4 Mayor 3 Moderada 120 Moderado
disponibilidad administració Disponibilidad
información se puede extraviar durante OPERATIVA
de la n documental
este proceso.
información
Pérdida de la
confidencialida Jefe del grupo
El acceso al archivo y a la oficina del Confidencialida CONTINUIDA
d, integridad y de Casi
grupo no es restringido, personal no Físico d - Integridad - D 4 Mayor 5 200 Alto
disponibilidad administració Certeza
autorizado puede ingresar a la oficina. Disponibilidad OPERATIVA
de la n documental
información
Pérdida de la
Las credenciales de inicio de sesión son confidencialida Jefe del grupo
Equipo Jefe Confidencialida CONTINUIDA
compartidas, perdiendo la capacidad de d, integridad y de Improbabl
33 Administración Físico d - Integridad - D 3 Moderado 2 72 Moderado
imputabilidad, en caso de un incidente disponibilidad administració e
Documental Disponibilidad OPERATIVA
de seguridad de la información de la n documental
información
167
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
El almacenamiento de información en
un estación de trabajo de uso operativo
Pérdida de Coordinador
constante, sin una copia de respaldo CONTINUIDA
disponibilidad del grupo de Improbabl
adecuada, lo cual puede ocasionar Lógico Disponibilidad D 2 Menor 2 56 Moderado
de la soporte e
pérdidas de información a causa de OPERATIVA
información informático
fallas en hardware o software en el
equipo
El almacenamiento de información en
Pérdida
una estación de trabajo de uso Responsable
Base de datos confidencialida
operativo constante, sin una copia de de la oficina Confidencialida
de seguimiento d, integridad y
37 respaldo adecuada, lo cual puede Legal de Control d - Integridad - LEGAL 3 Moderado 3 Moderada 126 Moderado
de los procesos disponibilidad
ocasionar pérdidas de información a Interno Disponibilidad
disciplinarios de la
causa de fallas en hardware o software Disciplinario
información
en el equipo
168
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Libros de
El sitio donde se ubica la oficina es de Pérdida
registros Responsable
libre acceso y no existe restricción, por confidencialida
cuando se de la oficina Confidencialida CONTINUIDA
tal motivo cualquier persona que d, integridad y
38 reciben Físico de Control d - Integridad - D 3 Moderado 3 Moderada 126 Moderado
ingrese en esta área puede, podría disponibilidad
documentos de Interno Disponibilidad OPERATIVA
tener acceso no autorizado a la de la
los procesos Disciplinario
información información
disciplinarios
El almacenamiento de información en
un estación de trabajo de uso operativo
Pérdida de Coordinador
constante, sin una copia de respaldo CONTINUIDA
Registro de disponibilidad del grupo de
39 adecuada, lo cual puede ocasionar Lógico Disponibilidad D 3 Moderado 3 Moderada 126 Moderado
sanciones de la soporte
pérdidas de información a causa de OPERATIVA
información informático
fallas en hardware o software en el
equipo
El almacenamiento de información en
un estación de trabajo de uso operativo
Pérdida de Coordinador
constante, sin una copia de respaldo CONTINUIDA
Remisiones de disponibilidad del grupo de Insignifican
40 adecuada, lo cual puede ocasionar Lógico Disponibilidad D 1 1 Raro 14 Bajo
la procuraduría de la soporte te
pérdidas de información a causa de OPERATIVA
información informático
fallas en hardware o software en el
equipo
169
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
170
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
171
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
Carpeta Confidencialida
No se cuenta con permisos definidos Confidencialida CONTINUIDA
Compartida - d, integridad y Subdirector
52 para administrar la carpeta compartida Lógico d - Integridad - D 4 Mayor 4 Posible 224 Alto
Subdirección disponibilidad Financiero
de la subdirección financiera Disponibilidad OPERATIVA
Financiera de la
información
El almacenamiento en un estación de
trabajo de uso operativo constante sin
Jefe de CONTINUIDA
una copia de respaldo adecuada puede Integridad - Improbabl
Reprocesos Lógico Soporte D 2 Menor 2 40 Bajo
ocasionar pérdidas de información a Disponibilidad e
Informático OPERATIVA
causa de fallas en hardware o software
en el equipo
Información de
análisis a los
54 documentos de El sitio donde se ubica la oficina es de
Pérdida de
Proyectos de libre acceso y no existe restricción, por Confidencialida CONTINUIDA
disponibilidad
Resolución. tal motivo cualquier persona que Lógico Jefe de OTIC d - Integridad - D 3 Moderado 3 Moderada 90 Moderado
de la
ingrese a esta área puede tener acceso Disponibilidad OPERATIVA
información
no autorizado a la información
172
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
El almacenamiento en un estación de
trabajo de uso operativo constante sin
Jefe de CONTINUIDA
una copia de respaldo adecuada puede Integridad - Improbabl
Reprocesos Lógico Soporte D 2 Menor 2 40 Bajo
ocasionar pérdidas de información a Disponibilidad e
Informático OPERATIVA
Informes del causa de fallas en hardware o software
consorcio y la en el equipo
55
Firma
Interventora
No existen controles de seguridad para
Pérdida
no extraer información por medios de CONTINUIDA
confidencialida Confidencialida
dispositivos ópticos como (CD) y Lógico Jefe de OTIC D 3 Moderado 3 Moderada 90 Moderado
d de la d
memorias USB en las estaciones de OPERATIVA
información
trabajo
Documentación
El sitio donde se ubica la oficina es de
Física de Pérdida de
libre acceso y no existe restricción, por Confidencialida
Proyectos disponibilidad
57 tal motivo cualquier persona que Físico Jefe de OTIC d - Integridad - LEGAL 4 Mayor 3 Moderada 132 Moderado
Resolución, de la
ingrese a esta área puede tener acceso Disponibilidad
Informes e información
no autorizado a la información
información de
PQRS
Pérdida de la
El sitio donde se ubica la oficina es de
Informes confidencialida
libre acceso y no existe restricción, por Jefe de Confidencialida
físicos d, integridad y Improbabl
58 tal motivo cualquier persona que Físico Soporte d - Integridad - LEGAL 4 Mayor 2 80 Moderado
entregados por disponibilidad e
ingrese a esta área puede tener acceso Informático Disponibilidad
la Interventoría de la
no autorizado a la información
información
Dispositivos
Almacenamiento en un medio físico Pérdida de la
Ópticos (CDS),
susceptible a las condiciones confidencialida Confidencialida Improbabl
59 informes Físico Jefe de OTIC LEGAL 2 Menor 2 40 Bajo
ambientales y errores en su d de la d e
entregados por
manipulación (CD - ROM) información
la interventoría.
173
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de la
El sitio donde se ubica la oficina es de
confidencialida
libre acceso y no existe restricción, por Confidencialida CONTINUIDA
d y
tal motivo cualquier persona que Lógico Jefe de OTIC d - D 3 Moderado 3 Moderada 90 Moderado
disponibilidad
ingrese a esta área puede tener acceso Disponibilidad OPERATIVA
de la
no autorizado a la información
información
La información es procesada,
manipulada y analizada desde un Pérdida de la
Jefe de CONTINUIDA
equipo de cómputo, y no desde un disponibilidad
Lógico Soporte Disponibilidad D 4 Mayor 3 Moderada 156 Alto
Programa de servidor, su disponibilidad se encuentra de la
Informático OPERATIVA
información en limitada a la del servidor público, información
ACCESS ( responsable del equipo
60
Registro de
información
General) No existen controles de seguridad para
Pérdida
no extraer información por medios de Jefe de CONTINUIDA
confidencialida Confidencialida
dispositivos ópticos como (CD) y Lógico Soporte D 4 Mayor 3 Moderada 156 Alto
d de la d
memorias USB en las estaciones de Informático OPERATIVA
información
trabajo
El almacenamiento de información en
un estación de trabajo de uso operativo
Bitácora de Jefe de CONTINUIDA
constante, sin una copia de respaldo Integridad -
63 control y Reprocesos Lógico Soporte D 2 Menor 3 Moderada 66 Moderado
adecuada puede ocasionar pérdidas de Disponibilidad
seguimiento Informático OPERATIVA
información a causa de fallas en
hardware o software en el equipo
174
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
El almacenamiento en un estación de
trabajo de uso operativo constante sin
Jefe de CONTINUIDA
una copia de respaldo adecuada puede Integridad -
Reprocesos Lógico Soporte D 4 Mayor 3 Moderada 144 Alto
ocasionar pérdidas de información a Disponibilidad
Informático OPERATIVA
causa de fallas en hardware o software
Equipo en el equipo
cómputo de la
64 jefe líder
supervisor del
Fosyga Pérdida
No existen controles de seguridad para
confidencialida
no extraer información por medios de Jefe de CONTINUIDA
d, integridad y Confidencialida
dispositivos ópticos como (CD) y Lógico Soporte D 2 Menor 3 Moderada 72 Moderado
disponibilidad d
memorias USB en las estaciones de Informático OPERATIVA
de la
trabajo
información
Aplicativo/
65 Base de datos
BDUA La información que se almacena en las
bases de datos y que es reportada por
todas las EPS (Entidad Promotora de
Salud) del territorio Colombiano
corresponde a la actualización del mes
inmediatamente anterior. El Ministerio Deterioro de la Catastrófic
Lógico Jefe de OTIC Integridad IMAGEN 5 3 Moderada 165 Alto
de Salud y Protección Social, podría Reputación o
tomar decisiones administrativas
equivocadas o tardías en caso de un
evento inesperado que requiera
acciones inmediatas por parte del
Ministerio.
175
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Información de
66 la base de
datos de PILA La información que se almacena en las
bases de datos es reportada por todas
las EPS (Entidad Promotora de Salud)
del territorio Colombiano, el Ministerio Deterioro de la
Lógico Jefe de OTIC Integridad IMAGEN 4 Mayor 4 Posible 144 Alto
de Salud y Protección Social, puede Reputación
tomar decisiones administrativas
equivocadas en caso que dicha
información no sea integra y veraz.
176
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
177
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
178
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
El almacenamiento en un estación de
Equipo
trabajo de uso operativo constante sin Pérdida de la
cómputo del Confidencialida CONTINUIDA
una copia de respaldo adecuada puede disponibilidad
74 Profesional Lógico Jefe de OTIC d - Integridad - D 2 Menor 1 Raro 26 Bajo
ocasionar pérdidas de información a de la
contratista - Disponibilidad OPERATIVA
causa de fallas en hardware o software información
MSPS
en el equipo
179
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
180
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
181
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
182
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
183
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
184
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
El Sistema de Orfeo retrasa el tiempo
disponibilidad Improbabl
de respuesta a las PQRS y pérdida de Lógico Jefe de OTIC Disponibilidad LEGAL 3 Moderado 2 78 Moderado
de la e
anexo de documentos.
información
Pérdida de la
Expedientes de
disponibilidad
contratación
La constante manipulación y traslado de la
(físico, Sólo se Confidencialida
de los expedientes puede ocasionar información
90 digitalizan Físico Jefe de OTIC d - Integridad - LEGAL 4 Mayor 4 Posible 192 Alto
que la información se vea afectada por Pérdida de la
algunos y se Disponibilidad
traslados no deseados confidencialida
publican en la
d de la
intranet)
información
185
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de la
disponibilidad Jefe de Grupo
Archivo físico las cámaras de baja definición o de la de
Confidencialida CONTINUIDA
(expedientes y ausencia de las mismas disminuyen el información Administració Casi
91 Físico d - Integridad - D 3 Moderado 5 180 Alto
archivos de control efectivo sobre la Pérdida de la n de servicios Certeza
Disponibilidad OPERATIVA
gestión) documentación. confidencialida de Apoyo
d de la logístico
información
Base de Datos
92 de contratos
(Excel) El almacenamiento en un estación de
Pérdida de la
trabajo de uso operativo constante sin Jefe Grupo de CONTINUIDA
disponibilidad
una copia de respaldo adecuada puede Lógico Soporte Disponibilidad D 3 Moderado 3 Moderada 117 Moderado
de la
ocasionar pérdidas de información a Informático OPERATIVA
información
causa de fallas en hardware o software.
Base de Datos
93 de Procesos
(Excel ) El almacenamiento en un estación de
trabajo de uso operativo constante sin Pérdida de la
Jefe Grupo de CONTINUIDA
una copia de respaldo adecuada puede disponibilidad
Lógico Soporte Disponibilidad D 3 Moderado 3 Moderada 117 Moderado
ocasionar pérdidas de información a de la
Informático OPERATIVA
causa de fallas en hardware o software información
en el equipo.
186
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
187
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
188
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
189
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de la
El aplicativo SIGEP tiene represamiento
confidencialida
en sus actualizaciones, lo cual puede Coordinador Confidencialida
d, integridad y
implicar que se omitan actualizaciones Lógico del grupo de d - Integridad - FINANCIERO 3 Moderado 4 Posible 132 Moderado
disponibilidad
de seguridad necesarias para el Nómina Disponibilidad
de la
funcionamiento seguro del sistema.
información
El MSPS no ha implementado la
totalidad de controles, difundido los Pérdida de la
procedimientos y políticas de seguridad confidencialida
Resolución de Confidencialida CONTINUIDA
de la información. hay un d, integridad
106 vinculación/ Lógico Jefe de OTIC d - Integridad - D 3 Moderado 3 Moderada 90 Moderado
desconocimiento general, lo cual disponibilidad
Retiro Disponibilidad OPERATIVA
implica divulgación o modificación o de la
eliminación no autorizada de la información
información
190
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
El MSPS no ha implementado la
totalidad de controles, difundido los Pérdida de la
procedimientos y políticas de seguridad confidencialida
Reportes para Confidencialida CONTINUIDA
de la información. hay un d, integridad
109 organismos de Lógico Jefe de OTIC d - Integridad - D 3 Moderado 3 Moderada 90 Moderado
desconocimiento general, lo cual disponibilidad
control Disponibilidad OPERATIVA
implica divulgación o modificación o de la
eliminación no autorizada de la información
información
191
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
192
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
El MSPS no ha implementado la
totalidad de controles, difundido los Pérdida de la
Recibo de procedimientos y políticas de seguridad confidencialida
Confidencialida CONTINUIDA
nómina, de la información. hay un d, integridad
116 Lógico Jefe de OTIC d - Integridad - D 3 Moderado 3 Moderada 108 Moderado
ingreso y desconocimiento general, lo cual disponibilidad
Disponibilidad OPERATIVA
retenciones implica divulgación o modificación o de la
eliminación no autorizada de la información
información
El MSPS no ha implementado la
totalidad de controles, difundido los Pérdida de la
procedimientos y políticas de seguridad confidencialida
Confidencialida CONTINUIDA
Capacidad de de la información. hay un d, integridad
117 Lógico Jefe de OTIC d - Integridad - D 3 Moderado 3 Moderada 99 Moderado
endeudamiento desconocimiento general, lo cual disponibilidad
Disponibilidad OPERATIVA
implica divulgación o modificación o de la
eliminación no autorizada de la información
información
El MSPS no ha implementado la
totalidad de controles, difundido los Pérdida de la
Resolución de
procedimientos y políticas de seguridad confidencialida
vacaciones, Confidencialida CONTINUIDA
de la información. hay un d, integridad
118 horas extras, Lógico Jefe de OTIC d - Integridad - D 3 Moderado 3 Moderada 108 Moderado
desconocimiento general, lo cual disponibilidad
prestaciones Disponibilidad OPERATIVA
implica divulgación o modificación o de la
pagadas.
eliminación no autorizada de la información
información
193
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Información de
consultas de
Las copias de respaldo de la
SQL de
información que se maneja en el equipo Pérdida
estudios
del profesional se realizan por medios integridad y Jefe de Grupo CONTINUIDA
particulares y Integridad -
121 de dispositivos ópticos (CD) que son disponibilidad Lógico de Soporte D 2 Menor 3 Moderada 60 Moderado
copias de Disponibilidad
vulnerables a la humedad y los daños de la informático OPERATIVA
respaldo de los
físicos, afectando la integridad de la información
datos que se
información.
maneja en el
área
194
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
195
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Retrasos en los
En ocasiones se presenta fallas en tiempos de
Jefe de Grupo
sistema y desactualización en la Hora Respuesta Integridad -
Lógico de Soporte LEGAL 4 Mayor 4 Posible 144 Alto
del sistema al responder las solicitudes Pérdida de Disponibilidad
informático
de PQRS Integridad de la
información
Información
Algunos documentos vienen
PQRS físicos y
almacenados en dispositivos ópticos CONTINUIDA
almacenada en Pérdida de Improbabl
129 como (CDS) que son vulnerables a la Lógico Jefe de OTIC Integridad D 2 Menor 2 44 Bajo
dispositivos integridad de la e
humedad y los daños físicos, afectando OPERATIVA
Ópticos Como información
la integridad de la información.
CDS.
196
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Cintas
131
magnéticas.
La información se ubica la oficina de la
Coordinadora Grupo Soporte
Informático, la cual es de libre de Pérdida de Jefe Grupo de CONTINUIDA
acceso sin restricción, cualquier disponibilidad Físico Soporte Disponibilidad D 3 Moderado 3 Moderada 117 Moderado
persona que ingrese a esta oficina de información Informático OPERATIVA
puede tener acceso no autorizado a la
información.
El Msps no ha implementado la
totalidad de controles, difundido los Pérdida de la
Sistema de procedimientos y políticas de seguridad confidencialida
Confidencialida CONTINUIDA
información de la información. hay un d, integridad
133 Lógico Jefe de OTIC d - Integridad - D 3 Moderado 3 Moderada 108 Moderado
registro de desconocimiento general, lo cual disponibilidad
Disponibilidad OPERATIVA
solicitudes. implica divulgación o modificación o de la
eliminación no autorizada de la información
información
Pérdida de
SERVIDOR
confidencialida
PRESENTACI No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
ÓN - acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
WEB- cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
SERVIDOR
134 información
INTRANET
SERVIDOR
BASES DE Se comparte credenciales en los
DATOS - Jefe Grupo de CONTINUIDA
usuarios para realizar soporte en las Confidencialida
INTRANET- No repudio Lógico Soporte D 3 Moderado 3 Moderada 81 Moderado
aplicaciones de los servidores del d
Informático OPERATIVA
MSPS
197
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
de credenciales para los servidores del disponibilidad
Informático Disponibilidad OPERATIVA
MSPS. de la
información
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 180 Alto
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
198
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 180 Alto
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
SERVIDOR DE establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
DIRECTORIO de credenciales para los servidores del disponibilidad
Informático Disponibilidad OPERATIVA
136 ACTIVO MSPS. de la
MINSALUD.LO información
CAL
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 180 Alto
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
SEVIDOR Pérdida de
DIRECTORIO confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
ACTIVO d, integridad y/o
137 acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
MINPROTECCI disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
ONSOCIAL.GO de la
V.CO información
199
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
de credenciales para los servidores del disponibilidad
Informático Disponibilidad OPERATIVA
MSPS. de la
información
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 180 Alto
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
información
FLOTANTE DE
APLICACIÓN
Se comparte credenciales en los
ORFEO y Jefe Grupo de CONTINUIDA
usuarios para realizar soporte en las Confidencialida
138 FLOTANTE DE No repudio Lógico Soporte D 3 Moderado 3 Moderada 81 Moderado
aplicaciones de los servidores del d
BASE DE Informático OPERATIVA
MSPS
DATOS
ORFEO
Pérdida de
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
de credenciales para los servidores del disponibilidad
Informático Disponibilidad OPERATIVA
MSPS. de la
información
200
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 180 Alto
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 224 Alto
disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 224 Alto
de credenciales para los servidores del disponibilidad
FIREWALL Informático Disponibilidad OPERATIVA
139 MSPS. de la
MINSALUD información
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 224 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 280 Extremo
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
201
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
de credenciales para los servidores del disponibilidad
SERVIDOR DE Informático Disponibilidad OPERATIVA
140 MSPS. de la
IMPRESIÓN información
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 180 Alto
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 192 Alto
disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
SWITCH
141 información
BORDE
202
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 192 Alto
de credenciales para los servidores del disponibilidad
Informático Disponibilidad OPERATIVA
MSPS. de la
información
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 192 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 240 Alto
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
información
SERVIDOR DE
142 Pérdida de
TELEFONIA
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
de credenciales para los servidores del disponibilidad
Informático Disponibilidad OPERATIVA
MSPS. de la
información
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
203
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 180 Alto
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce un procedimiento confidencialida
SERVIDOR DE Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
PRUEBAS Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
de credenciales para los servidores del disponibilidad
PRESENTACI Informático Disponibilidad OPERATIVA
143 MSPS. de la
ÓN -WEB- información
PORTAL
MINISTERIO
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 180 Alto
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
SERVIDOR DE Pérdida de
PRUEBAS confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
BASE DE d, integridad y/o
144 acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 112 Moderado
DATOS disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
PAGINA WEB de la
PRINCIPAL información
204
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 112 Moderado
de credenciales para los servidores del disponibilidad
Informático Disponibilidad OPERATIVA
MSPS. de la
información
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 112 Moderado
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 140 Moderado
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 176 Alto
disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 176 Alto
de credenciales para los servidores del disponibilidad
Informático Disponibilidad OPERATIVA
MSPS. de la
información
205
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 176 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 220 Alto
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 224 Alto
disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
GRANJA Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 224 Alto
de credenciales para los servidores del disponibilidad
SHAREPOINT Informático Disponibilidad OPERATIVA
146 MSPS. de la
-SERVER información
DATA BASE 2-
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 224 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 280 Extremo
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
206
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 224 Alto
disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
GRANJA Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 224 Alto
de credenciales para los servidores del disponibilidad
SHAREPOINT Informático Disponibilidad OPERATIVA
147 MSPS. de la
-SERVER información
DATA BASE 1-
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 224 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 280 Extremo
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
SERVIDOR DE
148 información
ARCHIVOS
207
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
de credenciales para los servidores del disponibilidad
Informático Disponibilidad OPERATIVA
MSPS. de la
información
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 180 Alto
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 112 Moderado
disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 112 Moderado
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
208
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 140 Moderado
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 208 Alto
disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 208 Alto
de credenciales para los servidores del disponibilidad
SERVIDOR Informático Disponibilidad OPERATIVA
150 MSPS. de la
CRM información
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 208 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 260 Alto
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
SERVIDOR d, integridad y/o
151 acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 208 Alto
FTPS disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
información
209
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 208 Alto
de credenciales para los servidores del disponibilidad
Informático Disponibilidad OPERATIVA
MSPS. de la
información
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 208 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 260 Alto
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 112 Moderado
disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 112 Moderado
de credenciales para los servidores del disponibilidad
Informático Disponibilidad OPERATIVA
MSPS. de la
información
210
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 112 Moderado
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 140 Moderado
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
ORFEO1- establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
STORAGE de credenciales para los servidores del disponibilidad
Informático Disponibilidad OPERATIVA
153 ORFEO1-DB MSPS. de la
ORFEO1- información
WWW
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 180 Alto
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
211
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
FLOTANTE DE No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
APLICACIÓN establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
ORFEO de credenciales para los servidores del disponibilidad
Informático Disponibilidad OPERATIVA
154 FLOTANTE DE MSPS. de la
BASE DE información
DATOS
ORFEO
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 180 Alto
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
ORFEO2- disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
STORAGE de la
155 ORFEO2-DB información
ORFEO2-
WWW
Se comparte credenciales en los
Jefe Grupo de CONTINUIDA
usuarios para realizar soporte en las Confidencialida
No repudio Lógico Soporte D 3 Moderado 3 Moderada 81 Moderado
aplicaciones de los servidores del d
Informático OPERATIVA
MSPS
212
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
de credenciales para los servidores del disponibilidad
Informático Disponibilidad OPERATIVA
MSPS. de la
información
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 180 Alto
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
información
ORFEO1-XEN
156 Pérdida de
ORFEO2-XEN
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
de credenciales para los servidores del disponibilidad
Informático Disponibilidad OPERATIVA
MSPS. de la
información
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 144 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
213
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 180 Alto
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 192 Alto
disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 192 Alto
de credenciales para los servidores del disponibilidad
DISPONIBLE Informático Disponibilidad OPERATIVA
157 MSPS. de la
ORFEO información
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 192 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 240 Alto
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
Pérdida de
confidencialida
No existe un control de niveles de Jefe Grupo de Confidencialida CONTINUIDA
SERVIDOR DE d, integridad y/o
158 acceso a los servidores del centro Físico Soporte d - Integridad - D 4 Mayor 4 Posible 192 Alto
SII disponibilidad
cómputo del MSPS. Informático Disponibilidad OPERATIVA
de la
información
214
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de
No se conoce un procedimiento confidencialida
Jefe Grupo de Confidencialida CONTINUIDA
establecido sobre la creación y cambios d, integridad y/o
Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 192 Alto
de credenciales para los servidores del disponibilidad
Informático Disponibilidad OPERATIVA
MSPS. de la
información
Pérdida de
confidencialida
No se conoce un procedimiento Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o
establecido sobre el mantenimiento que Lógico Soporte d - Integridad - D 4 Mayor 4 Posible 192 Alto
disponibilidad
se realiza a los servidores del MSPS. Informático Disponibilidad OPERATIVA
de la
información
Pérdida de
No se conoce el procedimiento
confidencialida
establecido sobre las actualizaciones Jefe Grupo de Confidencialida CONTINUIDA
d, integridad y/o Catastrófic
de hardware y software en los Lógico Soporte d - Integridad - D 5 4 Posible 240 Alto
disponibilidad o
servidores del centro cómputo del Informático Disponibilidad OPERATIVA
de la
MSPS
información
215
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Información del
Pérdida de la
FOSYGA que La información se almacena en un
integridad y CONTINUIDA
corresponde a medio físico susceptible a las
162 disponibilidad Lógico Jefe de OTIC Integridad D 3 Moderado 3 Moderada 108 Moderado
la Fiscalía condiciones ambientales y errores en
de la OPERATIVA
General de la su manipulación (CD)
información
Nación.
Información de Pérdida de la
La información se almacena en un
informes y integridad y CONTINUIDA
medio físico susceptible a las
164 Metodologías disponibilidad Lógico Jefe de OTIC Integridad D 3 Moderado 3 Moderada 108 Moderado
condiciones ambientales y errores en
de versiones de la OPERATIVA
su manipulación (CD)
anteriores. información
216
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
217
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
218
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
219
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
220
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
221
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
222
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
223
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
224
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
225
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
226
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
Pérdida de la
disponibilidad,
Jefe Gestión Confidencialida CONTINUIDA
Falta de gestión de permisos sobre la integridad y/o
Lógico del Talento d - Integridad - D 3 Moderado 3 Moderada 54 Moderado
carpeta confidencialida
Humano Disponibilidad OPERATIVA
Carpeta d de la
compartida información.
206
Talento
Humano
Afectación del equipo dónde se Pérdida de la
Jefe de CONTINUIDA
almacena la carpeta a nivel de software disponibilidad
Lógico Soporte Disponibilidad D 4 Mayor 3 Moderada 72 Moderado
o hardware, por fallas eléctricas, de la
Informático OPERATIVA
software malicioso, entre otras. información
Pérdida de la
Este archivo presenta un alto grado de Jefe Gestión
Historias disponibilidad Confidencialida Catastrófic Casi
208 confidencialidad por lo que se requiere Lógico del Talento LEGAL 5 5 375 Extremo
clínicas de la d o Certeza
exclusividad de almacenamiento, Humano
información
Archivo de Pérdida de la
Este archivo presenta un alto grado de Jefe Gestión
seguridad y confidencialida Confidencialida Catastrófic
209 confidencialidad por lo que se requiere Lógico del Talento LEGAL 5 3 Moderada 225 Alto
salud en el d de la d o
exclusividad de almacenamiento, Humano
trabajo información
227
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
La capacidad de procesamiento de la
Líder de
plataforma es limitada. Un continuo Pérdida de la CONTINUIDA
Bodega de Catastrófic
crecimiento en el volumen de registros, continuidad del Lógico Disponibilidad D 5 4 Posible 260 Alto
Datos / Jefe o
podría llegar a superar la máxima servicio OPERATIVA
de OTIC
capacidad soportada
La capacidad de procesamiento de la
Jefe de OTIC/
plataforma es limitada. Un continuo Pérdida de la CONTINUIDA
Líder de Catastrófic
crecimiento en el volumen de registros, continuidad del Lógico Disponibilidad D 5 4 Posible 260 Alto
Bodega de o
podría llegar a superar la máxima servicio OPERATIVA
Datos
capacidad soportada.
228
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
La administración de la plataforma
tecnológica del proceso es compleja, Pérdida de la Líder de CONTINUIDA
errores en la manipulación puede dar integridad de la Lógico Bodega de Disponibilidad D 3 Moderado 3 Moderada 117 Moderado
lugar a alteraciones accidentales en la información Datos OPERATIVA
información
Servidor de
214 Presentación El activo de información tiene por
SISPRO custodio al Centro de Datos del Estado,
la comunicación entre las partes, se Pérdida de la
Líder de CONTINUIDA
realiza a través de la Red de Alta disponibilidad
Lógico Bodega de Disponibilidad D 4 Mayor 3 Moderada 156 Alto
velocidad del Gobierno Colombiano - de la
Datos OPERATIVA
RAVEC. La no disponibilidad de dicha información
Red podría afectar la continuidad del
servicio.
229
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
La administración de la plataforma
tecnológica del proceso es compleja, Pérdida de la Líder de CONTINUIDA
218 Programa ETL errores en la manipulación puede dar integridad de la Lógico Bodega de Disponibilidad D 3 Moderado 3 Moderada 117 Moderado
lugar a alteraciones en la integridad de información Datos OPERATIVA
los datos
230
NIVEL
IDENTIFICACI RIESGO VALOR
Ítem Nombre del IDENTIFICACIÓN VULNERABILIDAD TIPO DE DUEÑO DEL TIPO DE VALOR NIVEL PROB. VALOR NIVEL DE
ÓN DEL ASOCIADO A PROB.
No. Activo Y AMENAZA (CAUSA) RIESGO RIESGO IMPACTO IMPACTO IMPACTO DELRIES RIESGO RIESGO
RIESGO C-I-D RIESGO
GO
231