Guía Metodológica para La Admon de Riesgos

GUÍA PARA LA ADMINISTRACIÓN DE RIESGOS EN SEGURIDAD DE LA INFORMACIÓN
Departamento Nacional de Planeación

Bogotá
2016
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 2 de 25 VERSIÓN: 1
Tabla de Contenido
1. Objetivo ................................................................................................................................................. 3
2. Alcance ................................................................................................................................................. 3
3. Referencias Normativas ........................................................................................................................ 3
4. Documentos Asociados ........................................................................................................................ 3
5. Metodología para administrar los riesgos – SGSI. ................................................................................ 3
5.1. Identificación de riesgos. .................................................................................................................... 3
5.1.1. Hoja Identificación del Activo ......................................................................................................... 4
5.1.1.1. Requerimientos de seguridad – Confidencialidad .............................................................. 5
5.1.1.2. Clasificación de la información según la Ley de Transparencia ......................................... 5
5.1.1.3. Clasificación de la información según Datos personales.................................................... 6
5.1.1.4. Clasificación de la información según Sentencia T-729 de 2002 Habeas Data ................. 6
5.1.1.5. Relación Clasificaciones de información. ........................................................................... 7
5.1.1.6. Requerimientos de seguridad – Integridad ......................................................................... 8
5.1.1.7. Requerimientos de seguridad- Disponibilidad .................................................................... 8
5.1.1.8. Identificación de Amenazas................................................................................................ 8
5.2. Valoración del riesgo antes de controles............................................................................................ 9
5.2.1. Probabilidad de ocurrencia ............................................................................................................ 9
5.2.2. Impacto si se materializa ..............................................................................................................10
5.2.3. Escala para el Cálculo del Riesgo Inherente (antes de controles) ................................................10
5.2.4. Zona de riesgo ..............................................................................................................................10
5.3. Determinación de controles...............................................................................................................12
5.3.1. Selección y ponderación de los controles .....................................................................................12
5.3.2. Nivel de madurez de los controles ................................................................................................13
5.4. Opciones de Tratamiento de los riesgos. ..........................................................................................15
5.4.1. Mapa de riesgos ...........................................................................................................................15
5.4.1.1. Mapa de riesgos del Activo ...............................................................................................15
5.4.1.2. Tratamiento de los Riesgos ...............................................................................................16
5.4.1.3. Política Institucional de Tratamiento de Riesgos Asociados .............................................17
5.4.1.4. Acciones para administrar los riesgos ...............................................................................17
5.4.1.5. Mecanismo de seguimiento al mapa de riesgos ................................................................17
5.4.1.6. Autocontrol ........................................................................................................................18
5.4.1.7. Evaluación Realizada por la Oficina de Control Interno ....................................................18
5.4.1.8. Aspectos a tener en cuenta durante el desarrollo de la Evaluación ..................................18
5.4.1.9. Revisión de la Eficacia de las Acciones formuladas a partir de los Mapas de Riesgos.....19
5.4.1.10. Cambio de versión en los documentos .............................................................................19
6. Glosario ................................................................................................................................................19
F-GP-23 (VERSIÓN 0) Grupo de Planeación DNP
CÓDIGO: SE-G02
1. Objetivo
Establecer los criterios para la identificación, análisis, valoración, definición de acciones de mitigación y
seguimiento a los riesgos generados sobre los activos de información del DNP para garantizar la
confidencialidad, disponibilidad e integridad de la información.
2. Alcance
Esta guía es aplicable por las dependencias del Departamento Nacional de Planeación, que tengan activos de
plataforma tecnológica ya sea ésta hardware o software.
3. Referencias Normativas
Ver Proceso de Gestión de la Seguridad de la Información – Componente Informático (requisitos legales y otros
documentos)
4. Documentos Asociados
Proceso: IN-SE Gestión de Seguridad de la Información

Manual y política de seguridad de la información SE-M01
Formato Mapa de riesgos de seguridad de la información F-OI-20
Normativa vigente
5. Metodología para administrar los riesgos – SGSI.
5.1. Identificación de riesgos.
Permite conocer los riesgos que pueden afectar confidencialidad, la integridad, y la disponibilidad de la
información en los activos de la información. El proceso de identificación del riesgo es iterativo y debe estar en
permanente revisión y actualización, de acuerdo con la dinámica del DNP. El formato tiene las siguientes hojas:
• Identificación del activo

• Identificación de Riesgos de Información
• Controles
• Mapas de Riesgos
• Glosario
CÓDIGO: SE-G02
5.1.1. Hoja Identificación del Activo
Se identificaron varios grupos de activos de información, como se ilustra a continuación:
En esta hoja los usuarios, deberán seleccionar los criterios que correspondan con el activo de información
CÓDIGO: SE-G02
5.1.1.1. Requerimientos de seguridad – Confidencialidad
La información debe estar debidamente protegida para que sea accedida por el usuario autorizado.
Calificación Explicación
Público Cualquier información no clasificada se considera como privada. La información pública,
será aquella cuya divulgación no afecte a la Entidad en términos de pérdida de imagen
y/o económica.
Uso interno Información que, sin ser privada ni confidencial, debe mantenerse dentro de la Entidad
y no debe estar disponible externamente, excepto para terceros involucrados en el tema.
En el caso de terceros, deberán comprometerse a no divulgar dicha información
firmando un acuerdo de confidencialidad.
Uso privado Información sensible, interna a áreas o proyectos a los que deben tener acceso
controlado otros grupos, pero no toda la Entidad debido a que se puede poner en riesgo
la seguridad e intereses de la Entidad, de sus clientes o asociados y empleados.
Confidencial Información de alta sensibilidad que debe ser protegida por su relevancia sobre
decisiones estratégicas, impacto financiero, oportunidad de negocio, potencial de fraude
o requisitos legales.
5.1.1.2. Clasificación de la información según la Ley de Transparencia
La información1 del DNP se encuentra almacenada en los sistemas de información y aplicativos, por lo tanto,
es importante determinar la clasificación de la misma teniendo en cuenta el artículo 6 de la Ley 1712 de 2014
por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional
Información Es toda información que un sujeto obligado genere, obtenga, adquiera, o controle en su
pública calidad de tal
Información Es aquella información que estando en poder o custodia de un sujeto obligado en su
pública calidad de tal, pertenece al ámbito propio, particular y privado o semiprivado de una
clasificada persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado, siempre
que se trate de las circunstancias legítimas y necesarias y los derechos particulares o
privados consagrados en el artículo 18 de la Ley 1712 de 2014
Información Es aquella información que estando en poder o custodia de un sujeto obligado en su
pública calidad de tal, es exceptuada de acceso a la ciudadanía por daño a intereses públicos
reservada y bajo cumplimiento de la totalidad de los requisitos consagrados en el artículo 19 de la
Ley 1712 de 2014.
1
Se refiere a un conjunto organizado de datos contenido en cualquier documento que los sujetos obligados generen, obtengan,
adquieran, transformen o controlen
CÓDIGO: SE-G02
5.1.1.3. Clasificación de la información según Datos personales
La información del DNP con datos personales2 se encuentra almacenada en los sistemas de información y
aplicativos, por lo tanto, es importante determinar la clasificación de la misma teniendo en cuenta los artículos
3,5,7 de la Ley 1581 de 2012 por medio de la cual se dictan disposiciones generales para la protección de datos
personales y el artículo 3 del Decreto 1377 de 2013.
Dato público Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos,
entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a
su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos
pueden estar contenidos, entre otros, en registros públicos, documentos públicos,
gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no
estén sometidas a reserva.
Datos Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso
sensibles indebido puede generar su discriminación, tales como aquellos que revelen el origen
racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la
pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que
promueva intereses de cualquier partido político o que garanticen los derechos y
garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la
vida sexual, y los datos biométricos
Datos Se proscribe el tratamiento de datos personales de menores de edad salvo aquellos

personales de datos que sean de naturaleza pública. La Corte Constitucional precisó que tal
menores prohibición debe interpretarse en el sentido de que los datos personales de los menores
de 18 años, pueden ser tratados, siempre y cuando no se ponga en riesgo la prevalencia
de sus derechos fundamentales e inequívocamente responda a la realización del
principio de su interés superior.
5.1.1.4. Clasificación de la información según Sentencia T-729 de 2002 Habeas Data3
En la sentencia la Sala de la corte encontró los siguientes tipos de información:
Pública o de Se obtiene y se ofrece sin reserva alguna. Ejemplo: Información del Estado Civil de
dominio público las personas. Circulación: Libre circulación
Semi-privada Información personal o impersonal que tiene un grado mínimo de limitación. Ejemplo:
Relación de usuarios con las entidades de Seguridad Social – datos del
comportamiento financiero. Circulación: A solicitud de autoridad administrativa –
Potestativo. Por orden de autoridad judicial - En materia penal Ley 906 de 2004
Privada Información personal de ámbito privado. Ejemplo: Libros de comercio, documentos
privados, historias clínicas, información tomada de la inspección del domicilio.
Circulación: Por orden de autoridad judicial en cumplimiento de sus funciones – En
materia penal Ley 906 de 2004
2
Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
3
http://www.corteconstitucional.gov.co/relatoria/2002/t-729-02.htm
CÓDIGO: SE-G02
Reservada o Relacionada con la intimidad, dignidad y libertad. Ejemplo: Datos sensibles, ideología,
secreta orientación sexual, hábitos de la persona, pertenencia a organizaciones sociales o
políticas. Circulación: No puede recolectarse, No puede circular
5.1.1.5. Relación Clasificaciones de información.
• Información pública
o Requerimientos de Confidencialidad
▪ Público
o Clasificación Datos personales
▪ Dato público
▪ Datos personales laborales (puesto, domicilio, correo electrónico y teléfono del
trabajo);
▪ Datos personales académicos (trayectoria educativa, título, número de cédula,
certificados, etc.);
o Clasificación según la Sentencia T-729 de 2002 Habeas Data
▪ Pública o de dominio público
• Información pública clasificada: Información exceptuada por daño de derechos a personas

naturales o jurídicas
▪ Uso interno
▪ Uso privado
o Clasificación según la Sentencia T-729 de 2002 Habeas Data
▪ Semi-privada
▪ Privada
▪ Reservada o secreta
o Clasificación Datos personales
▪ Datos sensibles
• Ideológicos: creencias religiosas, afiliación política y/o sindical,
pertenencia a organizaciones de la sociedad civil y/o asociaciones
religiosas.
• Sobre la vida y hábitos sexuales, origen (étnico y racial.)
• Características físicas: color de piel, iris y cabellos, señales
particulares, etc.
• Características como tipo de sangre, ADN, huella digital, etc.
• Salud: estado de salud, historial clínico, enfermedades, información
relacionada con cuestiones de carácter psicológico y/o psiquiátrico,
etc.
• Patrimoniales: información fiscal, historial crediticio, cuentas
bancarias, ingresos y egresos, etc.
• Identificación: nombre, domicilio, teléfono, correo electrónico, firma,
RFC, CURP, fecha de nacimiento, edad.
• Datos personales de menores
o De acuerdo a la Ley 1712 de 2014 y Decreto 103 de 2015
▪ Los secretos comerciales, industriales y profesionales
CÓDIGO: SE-G02
▪ El derecho de toda persona a la intimidad

▪ El derecho de toda persona a la vida, la salud o la seguridad
• Información pública reservada: Información exceptuada por daño a los intereses público
▪ Confidencial
o De acuerdo a la Ley 1712 de 2014 y el Decreto 103 de 2015 la información que pueda
afectar:
▪ La defensa y seguridad nacional
▪ La seguridad pública
▪ Las relaciones internacionales
▪ La prevención, investigación y persecución de los delitos y las faltas
disciplinarias
▪ El debido proceso y la igualdad de las partes en los procesos judiciales
▪ La administración efectiva de la justicia
▪ Los derechos de la infancia y la adolescencia
▪ La estabilidad macroeconómica y financiera del país
▪ La salud pública
5.1.1.6. Requerimientos de seguridad – Integridad
Para calificar los requerimientos de integridad (exactitud y completitud de la información) se definió la siguiente
escala:
Requerimientos de integridad
Baja Se requiere un bajo grado de exactitud y completitud de la información.
Mediana Se requiere un mediano grado de exactitud y completitud de la información.
Alta Se requiere un alto grado de exactitud y completitud de la información.
Muy Alta Se requiere un muy alto grado de exactitud y completitud de la información.
5.1.1.7. Requerimientos de seguridad- Disponibilidad
Para calificar los requerimientos de disponibilidad (consiste en garantizar que la información puede ser accedida
por quien la requiere y cuando lo requiere.) se definió la siguiente escala:
REQUERIMIENTOS DE DISPONIBILIDAD
5x8 El activo tiene que estar disponible en horario laboral entre semana
6x10 El activo tiene que estar disponible en horario laboral entre semana, e incluyendo los sábados
7x20 El activo tiene que estar disponible todos los días menos las primeras horas del día no laborales.
7x24 El activo tiene que estar disponible tiempo completo, todos los días y todas las horas.
5.1.1.8. Identificación de Amenazas
CÓDIGO: SE-G02
Las amenazas son eventos inesperados con el potencial para causar daños. Las amenazas explotan las
vulnerabilidades presentes en las tecnologías, las personas o los procesos. Las amenazas se conocen como
causas de riesgos, esto es, si la amenaza no explota una vulnerabilidad el riesgo no acontece.
En la hoja Identificación de riesgos de información, el usuario debe seleccionar la amenaza, su probabilidad e

impacto, de manera automática el formato le generará las descripciones correspondientes. Para facilidad del
usuario las amenazas están clasificadas de acuerdo al activo seleccionado y al escenario de riesgo, las cuales
aparecen de forma predeterminada.
5.2. Valoración del riesgo antes de controles
La valoración por escenario de riesgo se ve reflejado hacia el lado derecho del formato de la hoja del Excel y
se genera de forma automática de acuerdo a la probabilidad e impacto de las amenazas seleccionadas.
5.2.1. Probabilidad de ocurrencia
Se mide en términos de la factibilidad o frecuencia con que el riesgo se podría llegar a materializar, teniendo
en cuenta la presencia y exposición ante factores internos y externos. Se define una escala cualitativa que
establece las siguientes categorías4:
Probabilidad Calificación Descripción

La posibilidad de ocurrencia se da en todas las circunstancias.
5
FRECUENTE
OCASIONAL 4 Puede ocurrir algunas veces
PROBABLE 3 Podría ocurrir
POCO Podría ocurrir sólo bajo circunstancias muy excepcionales.
PROBABLE 2
4
Adaptación de la Norma Técnica Colombiana NTC 5254.
CÓDIGO: SE-G02
La eventualidad de ocurrencia es muy baja, casi nula

REMOTA 1
5.2.2. Impacto si se materializa
Son las consecuencias (magnitud de sus efectos) que puede ocasionar a la Entidad la materialización del
riesgo. Se definió una escala cualitativa que establece las siguientes categorías5:
MUY BAJO BAJO MEDIO ALTO MUY ALTO

1 2 3 4 5
Ante personal Ante entidades Ante el nivel Ante el nivel

que interactúa Ante áreas dedel nivel central central y nacional y/o
Sobre la imagen en el proceso la Entidad descentralizado internacional
Incremento Incremento de Incremento de
Sobre costos costos < 5% costos entre costos entre Incremento de
En lo económico insignificantes 5 – 10% 10 – 20% costos > 20%
En la disponibilidad de Entre 2 y 4 Entre 4 y 8 Entre 1 y 3 días

los servicios
< 2 horas horas horas > 3 días
Reproceso
(recuperación de Entre 1 y 2 Entre 3 y 5 días Entre 5 y 7 días
información) < 1 día días > 7 días
5.2.3. Escala para el Cálculo del Riesgo Inherente (antes de controles)
El riesgo inherente es el nivel de exposición presente en ausencia de controles, esto es, en la determinación
del riesgo inherente no se toman en cuenta los controles existentes en la Entidad. Para calcular el valor del
riesgo inherente, se combinan las calificaciones de probabilidad e impacto de acuerdo con la siguiente tabla:
Frecuente 2 3 3 4 4
Ocasional 2 2 3 3 4
PROBABILIDAD Probable 1 2 2 3 3
Poco
Probable 1 2 2 2 3
Remota 1 1 1 2 2
Muy
bajo Bajo Medio Alto Muy Alto
IMPACTO
5.2.4. Zona de riesgo
5
Adaptación de la Norma Técnica Colombiana NTC 5254.
CÓDIGO: SE-G02
Es el nivel de exposición generado por el riesgo inherente. La presente metodología indica las zonas de riesgo
las cuales se deben trabajar para mitigar el riesgo mediante controles plasmados en el plan de tratamiento del
riesgo:
Se requiere una acción inmediata:

Inaceptable Riesgo extremo, se requiere acción inmediata. Planes de Tratamiento requeridos,
implementados y reportados a la Alta Dirección.
Se requiere una pronta atención:
Importante Riesgo alto requiere atención de la Alta Dirección. Planes de Tratamiento requeridos,
implementados y reportados a los Líderes funcionales.
Se administra con procedimientos normales de control:
Tolerable Riesgo moderado, requiere atención del área involucrada, definición de procedimientos y
controles de mitigación.
Genera menores efectos que pueden ser fácilmente remediados:
Aceptable
Riesgo aceptable – Administrado con procedimientos normales de control.
La zona de riesgo del escenario se calcula automáticamente de acuerdo al promedio de la probabilidad y el

impacto de las amenazas seleccionadas.
CÓDIGO: SE-G02
5.3. Determinación de controles
Esta etapa busca determinar y evaluar las acciones que permiten reducir la probabilidad e impacto de la
materialización de los riesgos. Es un proceso iterativo desarrollado en primera instancia por el equipo de trabajo
que involucra el proceso y en segunda instancia por el equipo de administración de riesgos y debe estar en
permanente revisión y actualización, de acuerdo con la dinámica de los procesos y los activos de la Entidad.
Nota: es importante que los funcionarios responsables de suministrar la información, tengan conocimiento
previo del modelo de operación por procesos de la Entidad, y de la intervención de su dependencia en el
proceso.
5.3.1. Selección y ponderación de los controles
En la Hoja Controles el usuario debe:

• Seleccionar el control: el formato tiene hasta 3 controles propuestos y 2 que deben ser agregados dado
el conocimiento y manejo del activo de información.
• Tipo: Especificar si el control seleccionado afecta la probabilidad, o si afecta el impacto o ambos.
• Asignar una ponderación a los controles según el tipo seleccionado, ésta ponderación debe sumar 100
en probabilidad y 100 en impacto, y debe estar distribuida su calificación de acuerdo a la importancia
del control.
• Describir las políticas relacionadas con el control seleccionado, evidencia y nivel de madurez
• Describir las herramientas relacionadas con el control seleccionado, evidencia y nivel de madurez
• Describir las habilidades y experiencia relacionadas con el control seleccionado, evidencia y nivel de
madurez
• Describir los responsables del control seleccionado, evidencia y nivel de madurez
• Describir la medición del control seleccionado, evidencia y nivel de madurez
Todas las evidencias aportadas deben estar actualizadas y accesibles al año de la presentación del mapa de
riesgos de seguridad de la información.
CÓDIGO: SE-G02
5.3.2. Nivel de madurez de los controles
El nivel de madurez del control es calculado de forma automática. Aunque los niveles de madurez de los
controles se determinan de acuerdo con la siguiente tabla, en el formato F-01-20 en la medida que el
responsable del activo vaya calificando el nivel del control, al lado derecho de esta evaluación, se mostrará la
descripción del grado de madurez alcanzado.
Atributos Políticas, Herramientas

Habilidades y
estándares y/o y/o Responsabilidad Medición
Experiencia
procedimientos Automatización
Niveles
Existe confusión
El control no tiene
El control se El control no cuenta acerca de la El control no
definido políticas,
1 ejecuta de forma con un plan de responsabilidad tiene definido
estándares y/o
manual. entrenamiento. en la ejecución mediciones.
procedimientos.
del control.
Existe una
persona que
El control tiene asume la El control
El control basa en Existe
definido políticas, responsabilidad tiene
herramientas entrenamiento
2 estándares y/o frente ejecución establecida
estándar de informal sobre el
procedimientos de control, aun si algunas
escritorio. manejo del control.
manera informal. esto no está mediciones.
acordado de
modo formal.
El control tiene Existen definidas
El control
definido políticas, Existe plan responsabilidade
tiene
estándares y/o El control maneja entrenamiento s sobre la
mediciones
3 procedimientos de diversos sobre el manejo del ejecución del
de eficacia y
manera formal, aplicativos. control, pero no ha control, pero no
efectividad
pero no se han sido implementado. se han
ocasionales.
implementado. implementado.
El control
El control tiene
Se ha La tiene
definido políticas, El control cuenta
implementado un responsabilidad mediciones
estándares y/o con una
4 plan entrenamiento frente ejecución de eficacia y
procedimientos de herramienta
sobre el manejo del control están efectividad
manera formal específica.
control. implementadas. permanentes
implementadas.
.
Los responsables
Las políticas, Los controles Se toman
La capacitación y el de la ejecución
estándares y/o están integrados acciones de
entrenamiento dan del control tienen
5 procedimientos con otros mejora del
soporte a las la facultad de
definidos para el controles y/o desempeño
mejores prácticas. tomar decisiones
control están herramientas del control a
y medidas.
CÓDIGO: SE-G02
alineados con las para permitir un partir de su

mejores prácticas. soporte integral. medición.
CÓDIGO: SE-G02
5.4. Opciones de Tratamiento de los riesgos.
5.4.1. Mapa de riesgos
5.4.1.1. Mapa de riesgos del Activo
Contiene una síntesis de las etapas desarrolladas para la Administración de riesgos, presentando los mayores
riesgos a los cuales está expuesto un proceso, y la aplicación de la Política Institucional de Tratamiento de
Riesgos Asociados a los activos de información a través de las opciones de tratamiento definidas.
En la hoja Mapa de Riesgos se presenta el resultado de la calificación de las amenazas antes y después de
aplicar los controles
CÓDIGO: SE-G02
5.4.1.2. Tratamiento de los Riesgos
Teniendo en cuenta la valoración de riesgos después de controles, se determinan las siguientes opciones de
tratamiento para cada uno de los riesgos:
• Evitar el riesgo: tomar las medidas encaminadas para impedir su materialización. Es siempre la primera
alternativa a considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por
mejoramiento, rediseño o sustitución de actividades.
• Reducir el riesgo: implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de
prevención), como el impacto (medidas de protección), resultado de fortalecer o implementar controles.
• Compartir o transferir el riesgo: reduce su efecto a través del traspaso de las pérdidas a otras
organizaciones, como en el caso de los contratos de seguros u otros medios que permiten distribuir una
porción del riesgo con otra entidad, como en los contratos a riesgo compartido.
• Asumir un riesgo: cuando el riesgo es aceptable o tolerable puede quedar un riesgo residual que se
mantiene, en este caso el Líder del proceso acepta la pérdida residual.
OPCIONES DE
TRATAMIENTO DE RIESGOS
o transferir
Compartir
ZONA DE RIESGO COLOR

Reducir
Asumir
Evitar
Inaceptable X X X
Importante X X X
Tolerable X X X X
Aceptable X
CÓDIGO: SE-G02
Nota: cuando no se definen acciones para riesgos ubicados en zona tolerable, la opción de tratamiento es
asumir.
5.4.1.3. Política Institucional de Tratamiento de Riesgos Asociados
Para los riesgos de los activos de información, que después de la calificación de los controles se valoren como
importantes o inaceptables, deben determinarse las opciones de tratamiento independientes, interrelacionadas
o en conjunto, que permitan definir las acciones correspondientes a dichas opciones, realizando el respectivo
registro de las acciones ante el Grupo de Planeación.
Es necesario tener en cuenta la priorización de los riesgos que pueden generar mayor impacto en la Entidad y
que afecten los productos o servicios generados para el cumplimiento de la misión y objetivos institucionales
del DNP.
Para los riesgos valorados como tolerables o aceptables, es discrecional la formulación de acciones asociadas.
5.4.1.4. Acciones para administrar los riesgos
Teniendo en cuenta la valoración de riesgos obtenida y la Política Institucional de Tratamiento de Riesgos

Asociados a los activos de información, los responsables de los activos de información, formulan las acciones
asociadas a la(s) opción(es) de tratamiento de riesgos adoptados y a través del respectivo MECI, las registran
con el grupo de planeación, el número que el Grupo de Planeación asigne, deberá ser informado a la Oficina
de Informática junto con la entrega definitiva del mapa de riesgos de seguridad de la información en la vigencia
correspondiente si a ello hubiese lugar .
Las posibles acciones a emprender pueden ser analizadas bajo criterios jurídicos, técnicos, institucionales,
financieros y económicos.
Estas acciones se diligencian en el formato F-GP-14 “Solicitud de acciones preventivas, correctivas y de

mejora”, con la siguiente información para los demás campos de formato:
• Nombre del proceso: proceso asociado al mapa de riesgos.

• Origen de la acción: mapas de riesgos.
• Tipo de hallazgo: oportunidad de mejora.
• Descripción del hallazgo y/o situación: se determinó que la materialización del riesgo "Nombre
del riesgo" asociado a la actividad "Número y nombre de la actividad” del proceso, podría
ocasionar los siguientes efectos: “Efectos establecidos en el formato de identificación de
riesgos”.
• Análisis de causas: lista de causas contando las establecidas en el formato de identificación
de riesgos.
5.4.1.5. Mecanismo de seguimiento al mapa de riesgos
El seguimiento a la administración del riesgo se encuentra conformado por tres componentes: el primero
mediante el autocontrol realizado por los líderes funcionales o técnicos relacionados con el activo de
información, el segundo mediante la evaluación realizada por la Oficina de Informática y el tercero por la Oficina
de Control Interno.
CÓDIGO: SE-G02
5.4.1.6. Autocontrol
Es la actividad realizada por los líderes funcionales o técnicos y/o implicados con el activo de información,
donde se revisan y verifican los mapas de riesgos por lo menos una vez al año, teniendo en cuenta los
siguientes aspectos, entre otros:
• Utilización del último formato actualizado para la elaboración de las matrices de riesgos de los
respectivos activos de seguridad de la información F-OI-20.
• Identificación de actividades críticas por amenazas y/o vulnerabilidades relacionadas con el activo.
• Identificación de nuevas amenazas y/o vulnerabilidades o eliminación cuando no sean
significativos.
• Determinación de nuevas causas generadoras o efectos con la materialización de amenazas y/o
vulnerabilidades.
• Determinación de nuevos controles o ajuste en la evaluación de los mismos.
• Determinación de nuevas acciones de administración de amenazas y/o vulnerabilidades o ajuste a
las definidas.
• Implementación de las acciones definidas en el mapa de riesgos.
• Modificación del indicador de riesgos o herramienta de seguimiento.
La generación de la formulación de las matrices de riesgos de seguridad de la información estará apoyada por
el Grupo de Planeación, la inclusión de nuevas amenazas y/o vulnerabilidades o controles, estará a cargo de
la Oficina de Informática, previa solicitud del responsable del activo de información, la cual debe realizarse a
través de correo electrónico.
5.4.1.7. Evaluación Realizada por la Oficina de Control Interno
La evaluación adelantada por la Oficina de Control Interno a la administración de riesgos se realizaría de

acuerdo a lo dispuesto para tal fin y establecido en la guía de procesos del DNP. Esta evaluación permite
detectar nuevos eventos de amenazas y/o vulnerabilidades y oportunidades de mejora que permiten disminuir
la probabilidad e impacto de los posibles riesgos asociados a los diversos mapas de riesgos de los activos de
seguridad de la información, a través de la evaluación sobre efectividad del manejo de los riesgos, verificando
la vigencia de los mapas de riesgos documentados y la efectividad de las acciones de mejora originadas por
los responsables de cada activo de información.
5.4.1.8. Aspectos a tener en cuenta durante el desarrollo de la Evaluación
Para los principales activos informáticos, se realizará el mapa de riesgos con las evidencias que permitan
determinar la calificación de los controles y si el riesgo está siendo manejado adecuadamente.
A continuación, se relacionan algunos aspectos a tener en cuenta durante el desarrollo de esta evaluación:
CÓDIGO: SE-G02
• Verificar el correcto diligenciamiento de los diferentes campos del mapa de riesgos de seguridad de la
información.
• Verificar que los controles internos definidos para tratar las amenazas y/o vulnerabilidades para la seguridad
de la información existen, funcionan y son suficientes.
• Verificar la operatividad –ejecución- de los controles identificados en el mapa de riesgos de seguridad de
la información del respectivo activo.
• Verificar las evidencias de la revisión del mapa de riesgos de seguridad de la información.
5.4.1.9. Revisión de la Eficacia de las Acciones formuladas a partir de los Mapas de Riesgos
La Oficina de Control Interno realiza la revisión de la eficacia de las acciones de mejora con origen en la
administración de riesgos, enmarcada en los criterios establecidos en los “Lineamientos para el Seguimiento
de Acciones Preventivas, Correctivas y de Mejora y/o Planes de Mejoramiento” AP-L01 y en el proceso MC-AP
“Acciones Preventivas, Correctivas y de Mejora”, las cuales serán reportadas a través del diligenciamiento del
formato F-GP-14 y controladas desde el balance de acciones de mejora.
5.4.1.10. Cambio de versión en los documentos
El cambio de versión en un mapa de riesgos de activos de seguridad de la información, se realiza de acuerdo

con los “Lineamientos para la elaboración y control de documentos de los sistemas de gestión del DNP” DS-
L01.
6. Glosario
A continuación, se encuentran definidos los términos utilizados y/o relacionados en este documento, sin
embargo, en la hoja de glosario del formato F-OI-20, también se podrán consultar.
• Acceso a la red por usuario no autorizado: Acceso de un usuario no perteneciente al DNP.

• Acceso no autorizado: Un acceso no autorizado es producto de la explotación de una
vulnerabilidad en el sistema del servidor o en alguna de sus aplicaciones o la utilización de algún
otro método para subir privilegios como fuerza bruta, malware, sniffers o ingeniería social, entre
otros.
• Acción correctiva: medida de tipo reactivo orientada a eliminar la causa de una no conformidad
asociada a la implementación y operación del SGSI con el fin de prevenir su repetición.
• Acción preventiva: medida de tipo pro-activo orientada a prevenir potenciales no conformidades
asociadas a la implementación y operación del SGSI.
• Activación de atributos de seguridad en los archivos (lectura, escritura, borrado): Posibilidad
para acceder, modificar o eliminar archivos.
• Activos de Información: Es todo activo que contiene información, la cual posee un valor y es
necesaria para realizar los procesos misionales y de soporte del DNP.
• Alerta: Una notificación formal de que se ha producido un incidente relacionado con la seguridad
de la información que puede evolucionar hasta convertirse en desastre.
• Alteración de la aplicación: Modificación de una aplicación.
CÓDIGO: SE-G02
• Alteración de la información: Modificación de la información.

• Amenaza: Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual
puede causar el daño a un sistema o la organización.
• Análisis de riesgos: Según [ISO/IEC Guía 73:2002]: Uso sistemático de la información para
identificar fuentes y estimar el riesgo.
• Antivirus: Software que previene el contagio de virus informático en los servidores y estaciones
de trabajo que dañen o modifiquen la información.
• Ataques maliciosos: Tentativas de destruir, de exponer, de alterar, o de inhabilitar un sistema de
información y/o una información dentro de ella o de violar la política de seguridad.
• Autenticación: Proceso que tiene por objetivo asegurar la identificación de una persona o sistema.
• Autenticidad: Los activos de información solo pueden estar disponibles verificando la identidad de
un sujeto o recurso. Propiedad que garantiza que la identidad de un sujeto o recurso es la que
declara. Se aplica a entidades tales como usuarios, procesos, sistemas de información.
• Campañas de sensibilización: Concientizar a los usuarios sobre algo mediante la implementación
de mensajes por diferentes métodos.
• Computador seguro: Campaña de sensibilización para que los usuarios den adecuado uso a sus
estaciones de trabajo asegurando la información y evitando la piratería de software.
• Confiabilidad: Propiedad de tener comportamientos y resultados previstos consistentes.
• Confidencialidad: La información debe estar debidamente protegida para que sea accedida por el
usuario autorizado.
• Contaminación: Hace referencia a la contaminación originada por polvo, polen y esporas que
afectan o deterioran los medios de almacenaje.
• Control correctivo: Control que corrige un riesgo, error, omisión o acto deliberado antes de que
produzca pérdidas. Supone que la amenaza ya se ha materializado pero que se corrige.
• Control de acceso: Permitir que solo personal autorizado acceda a la información.
• Control de versiones: Una versión, revisión o edición de un producto, es el estado en el que se
encuentra dicho producto en un momento dado de su desarrollo o modificación. Se llama control
de versiones a la gestión de los diversos cambios que se realizan sobre los elementos de algún
producto o una configuración del mismo.
• Control detectivo: Control que detecta la aparición de un riesgo, error, omisión o acto deliberado.
Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige.
• Control preventivo: Control que evita que se produzca un riesgo, error, omisión o acto deliberado.
Impide que una amenaza llegue siquiera a materializarse.
• Control: Función o servicio de salvaguarda como la acción que reduce el Riesgo. Mecanismo
de salvaguarda como el procedimiento o dispositivo, físico o lógico que reduce el riesgo.
• Controles: Las políticas, los procedimientos, las prácticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo
asumido. (Nota: Control es también utilizado como sinónimo de salvaguarda).
• Copias de respaldo: Una copia de seguridad o backup en informática es un archivo digital, un
conjunto de archivos o la totalidad de los datos considerados lo suficientemente importantes para
ser conservados.
• Correos certificados: Un certificado digital es un documento digital mediante el cual un tercero
confiable (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o
entidad y su clave pública, validando que el correo enviado proviene del ente que lo emitió.
• Daño accidental: Hace referencia a los daños ocasionados por incendios, agua, suciedad, falla
del aire acondicionado, extremos de temperatura y humedad, contaminación química, roturas por
personal o equipo y campos magnéticos.
CÓDIGO: SE-G02
• Declaración de aplicabilidad: Documento que enumera los controles aplicados por el SGSI de la
organización -tras el resultado de los procesos de evaluación y tratamiento de riesgos- además de
la justificación tanto de su selección como de la exclusión de controles incluidos en el anexo A de
la norma.
• Desastre natural: Cualquier evento natural que interrumpe las operaciones o servicios habituales
de una organización durante el tiempo suficiente como para verse la misma afectada de manera
significativa.
• Desastre: Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones
o servicios habituales de una organización durante el tiempo suficiente como para verse la misma
afectada de manera significativa.
• Detección de intrusos: Identificación de un acceso desautorizado a un sistema, a una red o a un
usuario, la identificación se puede hacer usando patrones o comparando contra comportamiento
normales del sistema, la red o de los usuarios.
• Detrimento del patrimonio de la entidad: Pérdida o deterioro del conjunto de bienes, derechos y
obligaciones, pertenecientes a una empresa -como persona jurídica- que impiden cumplir sus
objetivos.
• Directiva: Según [ISO/IEC 13335-1:2004]: una descripción que clarifica qué debería ser hecho y
cómo, con el propósito de alcanzar los objetivos establecidos en las políticas.
• Disponibilidad: La información debe estar disponible en cualquier momento.
• Divulgación de información confidencial: Difundir información privada sin previo consentimiento.
• Documentación: Conjunto de escritos mediante los cuales se prueba o acredita algo.
• Efectos: Materialización de un incidente no deseado, daño a un sistema o la organización.
• Ejecución Pruebas: Realización de guiones de pruebas para verificar el cumplimiento de las
funciones de un sistema.
• Errores humanos: En general, se denomina error a todo juicio o valoración que contraviene el
criterio que se reconoce como válido, en el campo al que se refiere el juicio.
• Estudio de antecedentes: Verificación del ciclo de vida de algo.
• Evaluación de riesgos: Según [ISO/IEC Guía 73:2002]: proceso de comparar el riesgo estimado
contra un criterio de riesgo dado con el objeto de determinar la importancia del riesgo.
• Evento: Según [ISO/IEC TR 18044:2004]: Suceso identificado en un sistema, servicio o estado de
la red que indica una posible brecha en la política de seguridad de la información o fallo de las
salvaguardias, o una situación anterior desconocida que podría ser relevante para la seguridad.
• Evidencia objetiva: Información, registro o declaración de hechos, cualitativa o cuantitativa,
verificable y basada en observación, medida o test, sobre aspectos relacionados con la
confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e
implementación de un elemento del sistema de seguridad de la información.
• Existencias de políticas: Implementación de procedimientos orientados ideológicamente hacia la
toma de decisiones para la consecución de los objetivos propuestos.
• Fallas de comunicaciones: Fallas en los servicios de comunicación, o en la recepción de la
información.
• Fallas de hardware: Falla en uno a varios componentes que integran la parte material de una
computadora.
• Fallas de software: Falla en algún componente lógico de una computadora.
• Fallas de suministro de energía: Evento en donde la energía se suspende parcial o
temporalmente.
• Fallas en UPS: Evento que afecta el sistema de alimentación ininterrumpida (Uninterruptible Power
Supply).
CÓDIGO: SE-G02
• Fraude y malversación de fondos: El núcleo del tipo penal de estafa consiste en el engaño. Se
denomina fraude de ley o fraude a la ley al método de incumplimiento indirecto del Derecho
(objetivo) en el sentido de que supone la obtención de un resultado contrario al conjunto del orden
jurídico determinado alcanzado a través de la puntual observancia de lo dispuesto en la norma
jurídica.
• Frustración de usuarios: Reacción malintencionada por parte de un usuario.
• Gestión de claves: Controles referidos a la gestión de claves criptográficas.
• Gestión de riesgos: Proceso de identificación, control y minimización o eliminación, a un coste
aceptable, de los riesgos que afecten a la información de la organización. Incluye la valoración de
riesgos y el tratamiento de riesgos. Según [ISO/IEC Guía 73:2002]: actividades coordinadas para
dirigir y controlar una organización con respecto al riesgo.
• Gusanos: Es un programa de computador que tiene la capacidad de duplicarse a sí mismo. A
diferencia del virus, no precisa alterar los archivos de programas, sino que reside en la memoria y
se duplica a sí mismo. Siempre dañan la red (aunque sea simplemente consumiendo ancho de
banda).
• Impacto: El Impacto en un Activo es la consecuencia sobre éste de la materialización de una
Amenaza.
• Incidente: Según [ISO/IEC TR 18044:2004]: Evento único o serie de eventos de seguridad de la
información inesperados o no deseados que poseen una probabilidad significativa de comprometer
las operaciones del negocio y amenazar la seguridad de la información.
• Incumplimiento de tipo legal o contractual: No cumplimiento de deberes previamente
concertados legalmente.
• Indisponibilidad colateral de otros servicios: No disponibilidad de servicios secundarios
adscritos a un servicio principal.
• Información: La información constituye un importante activo, esencial para las actividades de una
organización y, en consecuencia, necesita una protección adecuada. La información puede existir
de muchas maneras. Puede estar impresa o escrita en papel, puede estar almacenada
electrónicamente, ser transmitida por correo o por medios electrónicos, se la puede mostrar en
videos, o exponer oralmente en conversaciones.
• Ingeniería Social: En el campo de la seguridad informática, es la práctica de obtener información
confidencial a través de la manipulación de usuarios legítimos ganando su confianza muchas
veces. Es una técnica que pueden utilizar investigadores privados, criminales, delincuentes
computacionales (conocidos como cracker) para obtener información, acceso o privilegios en
sistemas de información que les permiten realizar algún acto que perjudique o exponga a la persona
o entidad a riesgos o abusos.
• Ingeniería social: Práctica de obtener información confidencial a través de la manipulación de
usuarios legítimos ganando su confianza muchas veces.
• Integridad: La información debe estar adecuadamente protegida para asegurar que no sea
alterada.
• Interrupción del servicio o del negocio: No disponibilidad de un servicio o sistema en un
momento determinado sin previo aviso.
• Inventario de activos: Lista de todos aquellos recursos (físicos, de información, software,
documentos, servicios, personas, reputación de la organización, etc.) dentro del alcance del SGSI,
que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos.
• Logs de Auditorias: Procedimiento por el cual se deja rasgo de quien, como, cuando, donde fue
modificada la información.
• Mal uso de servicios de correo electrónico: Mal uso del correo electrónico (correo, calendario,
contactos, tareas, configuraciones, etc.).
CÓDIGO: SE-G02
• Mantenimiento a sistemas de información/aplicativos: Proceso mediante el cual se asegura el

funcionamiento de los sistemas de información/aplicativos a través del tiempo.
• Metodología para ciclo de vida de los aplicativos: Fases por los cuales pasan los aplicativos,
desde su concepción hasta su obsolescencia.
• Módulos de seguridad: Sistema para asegurar el acceso a la información.
• Monitoreo de servicios: Seguimiento y control a un servicio prestado para garantizar su debido
funcionamiento.
• No conformidad grave: Ausencia o fallo de uno o varios requerimientos de la ISO 27001 que,
basada en evidencias objetivas, permita dudar seriamente de la adecuación de las medidas para
preservar la confidencialidad, integridad o disponibilidad de información sensible, o representa un
riesgo inaceptable.
• No conformidad: Situación aislada que, basada en evidencias objetivas, demuestra el
incumplimiento de algún aspecto de un requerimiento de control que permita dudar de la
adecuación de las medidas para preservar la confidencialidad, integridad o disponibilidad de
información sensible, o representa un riesgo menor.
• No disponibilidad de respaldo: Información sin copia de respaldo.
• No repudio: Los activos de información deben tener la capacidad para probar que una acción o un
evento han tenido lugar, de modo que tal evento o acción no pueda ser negado posteriormente.
• Peculado: Peculado es un delito consistente en la apropiación indebida del dinero perteneciente
al erario por parte de las personas que se encargan de su control y custodia.
• Pérdida de competitividad o volumen del negocio: Disminución de la capacidad por parte una
persona o entidad para producir bienes y/o servicios en forma eficiente (con costes declinantes y
calidad creciente), haciendo que sus productos no sean atractivos. Incapacidad para lograr niveles
elevados de productividad que permitan aumentar la rentabilidad y generar ingresos crecientes.
• Pérdida de confidencialidad de los datos del cliente: Acceso no autorizado a la información
exclusiva de un Cliente.
• Pérdida de imagen / credibilidad: Incapacidad de generar confianza y grado de conocimiento por
parte de una persona o entidad.
• Pérdida de productividad de los empleados: Disminución de la capacidad por parte una persona
o entidad para producir bienes y/o servicios en forma eficiente, haciendo que sus productos no
sean atractivos. Incapacidad para lograr niveles elevados de productividad que permitan aumentar
la rentabilidad y generar ingresos crecientes.
• Pérdida económica: Perdida de dinero.
• Perjudicar las relaciones de la entidad con otros organismos: Detrimento de las relaciones de
la entidad con otros organismos.
• Plan de continuidad del negocio (Bussines Continuity Plan): Plan orientado a permitir la
continuación de las principales funciones del negocio en el caso de un evento imprevisto que las
ponga en peligro.
• Plan de tratamiento de riesgos (Risk treatment plan). Documento de gestión que define las
acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la información
inaceptables e implantar los controles necesarios para proteger la misma.
• Planes de contingencia: o plan de continuidad del negocio, orientado a permitir la continuación
de las principales funciones del negocio en el caso de un evento imprevisto que las ponga en
peligro.
• Política de escritorio despejado: La política de la empresa que indica a los empleados que deben
dejar su escritorio libre de cualquier tipo de informaciones susceptibles de mal uso al finalizar el
día.
CÓDIGO: SE-G02
• Política de seguridad: Documento que establece el compromiso de la Dirección y el enfoque de

la organización en la gestión de la seguridad de la información. Según [ISO/IEC 27002:2005]:
intención y dirección general expresada formalmente por la Dirección.
• Probabilidad de ocurrencia: se mide en términos de la factibilidad o frecuencia con que el riesgo
se podría llegar a materializar, teniendo en cuenta la presencia y exposición ante factores internos
y externos
• Protocolos de seguridad: Los protocolos de seguridad son un conjunto de reglas que gobiernan
dentro de la transmisión de datos entre la comunicación de dispositivos para ejercer una
confidencialidad, integridad, autenticación y el no repudio de la información.
• Redes privadas virtuales (VPN): una tecnología de red que permite extender la red local sobre
una red pública relativamente hablando
• Restricción de acceso al centro de cómputo: Solo personal autorizado puede acceder al Centro
de Cómputo.
• Riesgo Residual: Según [ISO/IEC Guía 73:2002] El riesgo que permanece tras el tratamiento del
riesgo.
• Riesgo: El riesgo es la posibilidad de la materialización de una Amenaza en un Activo, Dominio
o en toda la Organización.
• Robo: El robo es un delito contra el patrimonio, consistente en el apoderamiento de bienes ajenos,
con intención de lucrarse, empleando para ello fuerza en las cosas o bien violencia o intimidación
en la persona. Son precisamente estas dos modalidades de ejecución de la conducta las que la
diferencia del hurto, que exige únicamente el acto de apoderamiento
• Seguridad de la información: Preservación de la confidencialidad, la integridad, y la disponibilidad
de la información. [NTC-ISO/IEC 27001].
• Selección de controles: Proceso de elección de los controles que aseguren la reducción de los
riesgos a un nivel aceptable.
• Separación de ambientes: Usualmente un sistema de información reside en dos sitios diferentes,
uno para realizar todo tipo de pruebas y otro de producción utilizado por los usuarios finales; se
actualiza en producción, cuando ha pasado exitosamente por todas las fases de prueba.
• SGSI Sistema de Gestión de la Seguridad de la Información: Sistema de Gestión de la
Seguridad de la Información, Norma ISO 27001
• Spam: Se denomina: correo basura, a los mensajes no solicitados, habitualmente de tipo
publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias
maneras al receptor. La vía más usada es el correo electrónico.
• Suplantación de usuarios: Tomar el perfil de un usuario para acceder a la información sin previo
consentimiento.
• Tecnologías de encripción: Sistemas para enmascarar las representaciones caligráficas de una
lengua, de forma discreta. Si bien, el área de estudio científico que se encarga de ello es la
criptología.
• Tokens: Un token de seguridad (también token de autenticación o token criptográfico) es un
dispositivo electrónico que se le da a un usuario autorizado de un servicio computarizado para
facilitar el proceso de autenticación.
• Uso de contraseñas encriptados: Frases cifradas utilizadas en los sistemas de
información/aplicativos para ser accedidos, previa decodificación y validación de los mismos.
• Uso de Software no autorizado: Utilización de un software sin licencia previa.
• Valoración de riesgos: Según [ISO/IEC Guía 73:2002]: Proceso completo de análisis y evaluación
de riesgos.
• Virus: Tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o
conocimiento del usuario.
CÓDIGO: SE-G02
• Vulnerabilidad: Vulnerabilidad de un Activo. Es la potencialidad o posibilidad de ocurrencia de la

materialización de una Amenaza sobre dicho Activo
FECHA DE APROBACIÓN: septiembre 23 de 2016
Revisó_________________
Claudia angélica Benamy Páez
Asesor Oficina de Informática
Aprobó_____________________
Diego Alexander González Florez
Jefe Oficina de Informática

Guía Metodológica para La Admon de Riesgos

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guía Metodológica para La Admon de Riesgos

Cargado por

Copyright:

Formatos disponibles

GUÍA PARA LA ADMINISTRACIÓN DE RIESGOS EN SEGURIDAD DE LA INFORMACIÓN

Departamento Nacional de Planeación

F-GP-23 (VERSIÓN 0) Grupo de Planeación DNP

Proceso: IN-SE Gestión de Seguridad de la Información

5. Metodología para administrar los riesgos – SGSI.

5.1. Identificación de riesgos.

• Identificación del activo

F-GP-23 (VERSIÓN 0) Grupo de Planeación DNP

5.1.1. Hoja Identificación del Activo

Se identificaron varios grupos de activos de información, como se ilustra a continuación:

5.1.1.1. Requerimientos de seguridad – Confidencialidad

5.1.1.2. Clasificación de la información según la Ley de Transparencia

5.1.1.3. Clasificación de la información según Datos personales

Datos Se proscribe el tratamiento de datos personales de menores de edad salvo aquellos

5.1.1.4. Clasificación de la información según Sentencia T-729 de 2002 Habeas Data3

En la sentencia la Sala de la corte encontró los siguientes tipos de información:

5.1.1.5. Relación Clasificaciones de información.

• Información pública clasificada: Información exceptuada por daño de derechos a personas

▪ El derecho de toda persona a la intimidad

5.1.1.6. Requerimientos de seguridad – Integridad

5.1.1.7. Requerimientos de seguridad- Disponibilidad

5.1.1.8. Identificación de Amenazas

F-GP-23 (VERSIÓN 0) Grupo de Planeación DNP

En la hoja Identificación de riesgos de información, el usuario debe seleccionar la amenaza, su probabilidad e

5.2. Valoración del riesgo antes de controles

5.2.1. Probabilidad de ocurrencia

Probabilidad Calificación Descripción

La eventualidad de ocurrencia es muy baja, casi nula

5.2.2. Impacto si se materializa

MUY BAJO BAJO MEDIO ALTO MUY ALTO

Ante personal Ante entidades Ante el nivel Ante el nivel

En la disponibilidad de Entre 2 y 4 Entre 4 y 8 Entre 1 y 3 días

5.2.3. Escala para el Cálculo del Riesgo Inherente (antes de controles)

5.2.4. Zona de riesgo

Se requiere una acción inmediata:

La zona de riesgo del escenario se calcula automáticamente de acuerdo al promedio de la probabilidad y el

F-GP-23 (VERSIÓN 0) Grupo de Planeación DNP

5.3. Determinación de controles

5.3.1. Selección y ponderación de los controles

En la Hoja Controles el usuario debe:

F-GP-23 (VERSIÓN 0) Grupo de Planeación DNP

5.3.2. Nivel de madurez de los controles

Atributos Políticas, Herramientas

alineados con las para permitir un partir de su

F-GP-23 (VERSIÓN 0) Grupo de Planeación DNP

5.4. Opciones de Tratamiento de los riesgos.

5.4.1. Mapa de riesgos

5.4.1.1. Mapa de riesgos del Activo

F-GP-23 (VERSIÓN 0) Grupo de Planeación DNP

5.4.1.2. Tratamiento de los Riesgos

ZONA DE RIESGO COLOR

F-GP-23 (VERSIÓN 0) Grupo de Planeación DNP

5.4.1.3. Política Institucional de Tratamiento de Riesgos Asociados

5.4.1.4. Acciones para administrar los riesgos

Teniendo en cuenta la valoración de riesgos obtenida y la Política Institucional de Tratamiento de Riesgos

Estas acciones se diligencian en el formato F-GP-14 “Solicitud de acciones preventivas, correctivas y de

• Nombre del proceso: proceso asociado al mapa de riesgos.

5.4.1.5. Mecanismo de seguimiento al mapa de riesgos

F-GP-23 (VERSIÓN 0) Grupo de Planeación DNP

5.4.1.7. Evaluación Realizada por la Oficina de Control Interno

La evaluación adelantada por la Oficina de Control Interno a la administración de riesgos se realizaría de

5.4.1.8. Aspectos a tener en cuenta durante el desarrollo de la Evaluación