Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 2 de 25 VERSIÓN: 1
Tabla de Contenido
1. Objetivo ................................................................................................................................................. 3
2. Alcance ................................................................................................................................................. 3
3. Referencias Normativas ........................................................................................................................ 3
4. Documentos Asociados ........................................................................................................................ 3
5. Metodología para administrar los riesgos – SGSI. ................................................................................ 3
5.1. Identificación de riesgos. .................................................................................................................... 3
5.1.1. Hoja Identificación del Activo ......................................................................................................... 4
5.1.1.1. Requerimientos de seguridad – Confidencialidad .............................................................. 5
5.1.1.2. Clasificación de la información según la Ley de Transparencia ......................................... 5
5.1.1.3. Clasificación de la información según Datos personales.................................................... 6
5.1.1.4. Clasificación de la información según Sentencia T-729 de 2002 Habeas Data ................. 6
5.1.1.5. Relación Clasificaciones de información. ........................................................................... 7
5.1.1.6. Requerimientos de seguridad – Integridad ......................................................................... 8
5.1.1.7. Requerimientos de seguridad- Disponibilidad .................................................................... 8
5.1.1.8. Identificación de Amenazas................................................................................................ 8
5.2. Valoración del riesgo antes de controles............................................................................................ 9
5.2.1. Probabilidad de ocurrencia ............................................................................................................ 9
5.2.2. Impacto si se materializa ..............................................................................................................10
5.2.3. Escala para el Cálculo del Riesgo Inherente (antes de controles) ................................................10
5.2.4. Zona de riesgo ..............................................................................................................................10
5.3. Determinación de controles...............................................................................................................12
5.3.1. Selección y ponderación de los controles .....................................................................................12
5.3.2. Nivel de madurez de los controles ................................................................................................13
5.4. Opciones de Tratamiento de los riesgos. ..........................................................................................15
5.4.1. Mapa de riesgos ...........................................................................................................................15
5.4.1.1. Mapa de riesgos del Activo ...............................................................................................15
5.4.1.2. Tratamiento de los Riesgos ...............................................................................................16
5.4.1.3. Política Institucional de Tratamiento de Riesgos Asociados .............................................17
5.4.1.4. Acciones para administrar los riesgos ...............................................................................17
5.4.1.5. Mecanismo de seguimiento al mapa de riesgos ................................................................17
5.4.1.6. Autocontrol ........................................................................................................................18
5.4.1.7. Evaluación Realizada por la Oficina de Control Interno ....................................................18
5.4.1.8. Aspectos a tener en cuenta durante el desarrollo de la Evaluación ..................................18
5.4.1.9. Revisión de la Eficacia de las Acciones formuladas a partir de los Mapas de Riesgos.....19
5.4.1.10. Cambio de versión en los documentos .............................................................................19
6. Glosario ................................................................................................................................................19
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 3 de 25 VERSIÓN: 1
1. Objetivo
Establecer los criterios para la identificación, análisis, valoración, definición de acciones de mitigación y
seguimiento a los riesgos generados sobre los activos de información del DNP para garantizar la
confidencialidad, disponibilidad e integridad de la información.
2. Alcance
Esta guía es aplicable por las dependencias del Departamento Nacional de Planeación, que tengan activos de
plataforma tecnológica ya sea ésta hardware o software.
3. Referencias Normativas
Ver Proceso de Gestión de la Seguridad de la Información – Componente Informático (requisitos legales y otros
documentos)
4. Documentos Asociados
Permite conocer los riesgos que pueden afectar confidencialidad, la integridad, y la disponibilidad de la
información en los activos de la información. El proceso de identificación del riesgo es iterativo y debe estar en
permanente revisión y actualización, de acuerdo con la dinámica del DNP. El formato tiene las siguientes hojas:
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 4 de 25 VERSIÓN: 1
En esta hoja los usuarios, deberán seleccionar los criterios que correspondan con el activo de información
F-GP-23 (VERSIÓN 0) Grupo de Planeación DNP
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 5 de 25 VERSIÓN: 1
La información debe estar debidamente protegida para que sea accedida por el usuario autorizado.
Calificación Explicación
Público Cualquier información no clasificada se considera como privada. La información pública,
será aquella cuya divulgación no afecte a la Entidad en términos de pérdida de imagen
y/o económica.
Uso interno Información que, sin ser privada ni confidencial, debe mantenerse dentro de la Entidad
y no debe estar disponible externamente, excepto para terceros involucrados en el tema.
En el caso de terceros, deberán comprometerse a no divulgar dicha información
firmando un acuerdo de confidencialidad.
Uso privado Información sensible, interna a áreas o proyectos a los que deben tener acceso
controlado otros grupos, pero no toda la Entidad debido a que se puede poner en riesgo
la seguridad e intereses de la Entidad, de sus clientes o asociados y empleados.
Confidencial Información de alta sensibilidad que debe ser protegida por su relevancia sobre
decisiones estratégicas, impacto financiero, oportunidad de negocio, potencial de fraude
o requisitos legales.
La información1 del DNP se encuentra almacenada en los sistemas de información y aplicativos, por lo tanto,
es importante determinar la clasificación de la misma teniendo en cuenta el artículo 6 de la Ley 1712 de 2014
por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional
Calificación Explicación
Información Es toda información que un sujeto obligado genere, obtenga, adquiera, o controle en su
pública calidad de tal
Información Es aquella información que estando en poder o custodia de un sujeto obligado en su
pública calidad de tal, pertenece al ámbito propio, particular y privado o semiprivado de una
clasificada persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado, siempre
que se trate de las circunstancias legítimas y necesarias y los derechos particulares o
privados consagrados en el artículo 18 de la Ley 1712 de 2014
Información Es aquella información que estando en poder o custodia de un sujeto obligado en su
pública calidad de tal, es exceptuada de acceso a la ciudadanía por daño a intereses públicos
reservada y bajo cumplimiento de la totalidad de los requisitos consagrados en el artículo 19 de la
Ley 1712 de 2014.
1
Se refiere a un conjunto organizado de datos contenido en cualquier documento que los sujetos obligados generen, obtengan,
adquieran, transformen o controlen
F-GP-23 (VERSIÓN 0) Grupo de Planeación DNP
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 6 de 25 VERSIÓN: 1
La información del DNP con datos personales2 se encuentra almacenada en los sistemas de información y
aplicativos, por lo tanto, es importante determinar la clasificación de la misma teniendo en cuenta los artículos
3,5,7 de la Ley 1581 de 2012 por medio de la cual se dictan disposiciones generales para la protección de datos
personales y el artículo 3 del Decreto 1377 de 2013.
Calificación Explicación
Dato público Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos,
entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a
su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos
pueden estar contenidos, entre otros, en registros públicos, documentos públicos,
gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no
estén sometidas a reserva.
Datos Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso
sensibles indebido puede generar su discriminación, tales como aquellos que revelen el origen
racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la
pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que
promueva intereses de cualquier partido político o que garanticen los derechos y
garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la
vida sexual, y los datos biométricos
Calificación Explicación
Pública o de Se obtiene y se ofrece sin reserva alguna. Ejemplo: Información del Estado Civil de
dominio público las personas. Circulación: Libre circulación
Semi-privada Información personal o impersonal que tiene un grado mínimo de limitación. Ejemplo:
Relación de usuarios con las entidades de Seguridad Social – datos del
comportamiento financiero. Circulación: A solicitud de autoridad administrativa –
Potestativo. Por orden de autoridad judicial - En materia penal Ley 906 de 2004
Privada Información personal de ámbito privado. Ejemplo: Libros de comercio, documentos
privados, historias clínicas, información tomada de la inspección del domicilio.
Circulación: Por orden de autoridad judicial en cumplimiento de sus funciones – En
materia penal Ley 906 de 2004
2
Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
3
http://www.corteconstitucional.gov.co/relatoria/2002/t-729-02.htm
F-GP-23 (VERSIÓN 0) Grupo de Planeación DNP
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 7 de 25 VERSIÓN: 1
Calificación Explicación
Reservada o Relacionada con la intimidad, dignidad y libertad. Ejemplo: Datos sensibles, ideología,
secreta orientación sexual, hábitos de la persona, pertenencia a organizaciones sociales o
políticas. Circulación: No puede recolectarse, No puede circular
• Información pública
o Requerimientos de Confidencialidad
▪ Público
o Clasificación Datos personales
▪ Dato público
▪ Datos personales laborales (puesto, domicilio, correo electrónico y teléfono del
trabajo);
▪ Datos personales académicos (trayectoria educativa, título, número de cédula,
certificados, etc.);
o Clasificación según la Sentencia T-729 de 2002 Habeas Data
▪ Pública o de dominio público
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 8 de 25 VERSIÓN: 1
• Información pública reservada: Información exceptuada por daño a los intereses público
o Requerimientos de Confidencialidad
▪ Confidencial
o De acuerdo a la Ley 1712 de 2014 y el Decreto 103 de 2015 la información que pueda
afectar:
▪ La defensa y seguridad nacional
▪ La seguridad pública
▪ Las relaciones internacionales
▪ La prevención, investigación y persecución de los delitos y las faltas
disciplinarias
▪ El debido proceso y la igualdad de las partes en los procesos judiciales
▪ La administración efectiva de la justicia
▪ Los derechos de la infancia y la adolescencia
▪ La estabilidad macroeconómica y financiera del país
▪ La salud pública
Para calificar los requerimientos de integridad (exactitud y completitud de la información) se definió la siguiente
escala:
Requerimientos de integridad
Calificación Explicación
Baja Se requiere un bajo grado de exactitud y completitud de la información.
Mediana Se requiere un mediano grado de exactitud y completitud de la información.
Alta Se requiere un alto grado de exactitud y completitud de la información.
Muy Alta Se requiere un muy alto grado de exactitud y completitud de la información.
Para calificar los requerimientos de disponibilidad (consiste en garantizar que la información puede ser accedida
por quien la requiere y cuando lo requiere.) se definió la siguiente escala:
REQUERIMIENTOS DE DISPONIBILIDAD
Calificación Explicación
5x8 El activo tiene que estar disponible en horario laboral entre semana
6x10 El activo tiene que estar disponible en horario laboral entre semana, e incluyendo los sábados
7x20 El activo tiene que estar disponible todos los días menos las primeras horas del día no laborales.
7x24 El activo tiene que estar disponible tiempo completo, todos los días y todas las horas.
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 9 de 25 VERSIÓN: 1
Las amenazas son eventos inesperados con el potencial para causar daños. Las amenazas explotan las
vulnerabilidades presentes en las tecnologías, las personas o los procesos. Las amenazas se conocen como
causas de riesgos, esto es, si la amenaza no explota una vulnerabilidad el riesgo no acontece.
La valoración por escenario de riesgo se ve reflejado hacia el lado derecho del formato de la hoja del Excel y
se genera de forma automática de acuerdo a la probabilidad e impacto de las amenazas seleccionadas.
Se mide en términos de la factibilidad o frecuencia con que el riesgo se podría llegar a materializar, teniendo
en cuenta la presencia y exposición ante factores internos y externos. Se define una escala cualitativa que
establece las siguientes categorías4:
4
Adaptación de la Norma Técnica Colombiana NTC 5254.
F-GP-23 (VERSIÓN 0) Grupo de Planeación DNP
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 10 de 25 VERSIÓN: 1
Son las consecuencias (magnitud de sus efectos) que puede ocasionar a la Entidad la materialización del
riesgo. Se definió una escala cualitativa que establece las siguientes categorías5:
El riesgo inherente es el nivel de exposición presente en ausencia de controles, esto es, en la determinación
del riesgo inherente no se toman en cuenta los controles existentes en la Entidad. Para calcular el valor del
riesgo inherente, se combinan las calificaciones de probabilidad e impacto de acuerdo con la siguiente tabla:
Frecuente 2 3 3 4 4
Ocasional 2 2 3 3 4
PROBABILIDAD Probable 1 2 2 3 3
Poco
Probable 1 2 2 2 3
Remota 1 1 1 2 2
Muy
bajo Bajo Medio Alto Muy Alto
IMPACTO
5
Adaptación de la Norma Técnica Colombiana NTC 5254.
F-GP-23 (VERSIÓN 0) Grupo de Planeación DNP
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 11 de 25 VERSIÓN: 1
Es el nivel de exposición generado por el riesgo inherente. La presente metodología indica las zonas de riesgo
las cuales se deben trabajar para mitigar el riesgo mediante controles plasmados en el plan de tratamiento del
riesgo:
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 12 de 25 VERSIÓN: 1
Esta etapa busca determinar y evaluar las acciones que permiten reducir la probabilidad e impacto de la
materialización de los riesgos. Es un proceso iterativo desarrollado en primera instancia por el equipo de trabajo
que involucra el proceso y en segunda instancia por el equipo de administración de riesgos y debe estar en
permanente revisión y actualización, de acuerdo con la dinámica de los procesos y los activos de la Entidad.
Nota: es importante que los funcionarios responsables de suministrar la información, tengan conocimiento
previo del modelo de operación por procesos de la Entidad, y de la intervención de su dependencia en el
proceso.
• Describir las políticas relacionadas con el control seleccionado, evidencia y nivel de madurez
• Describir las herramientas relacionadas con el control seleccionado, evidencia y nivel de madurez
• Describir las habilidades y experiencia relacionadas con el control seleccionado, evidencia y nivel de
madurez
• Describir los responsables del control seleccionado, evidencia y nivel de madurez
• Describir la medición del control seleccionado, evidencia y nivel de madurez
Todas las evidencias aportadas deben estar actualizadas y accesibles al año de la presentación del mapa de
riesgos de seguridad de la información.
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 13 de 25 VERSIÓN: 1
El nivel de madurez del control es calculado de forma automática. Aunque los niveles de madurez de los
controles se determinan de acuerdo con la siguiente tabla, en el formato F-01-20 en la medida que el
responsable del activo vaya calificando el nivel del control, al lado derecho de esta evaluación, se mostrará la
descripción del grado de madurez alcanzado.
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 14 de 25 VERSIÓN: 1
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 15 de 25 VERSIÓN: 1
Contiene una síntesis de las etapas desarrolladas para la Administración de riesgos, presentando los mayores
riesgos a los cuales está expuesto un proceso, y la aplicación de la Política Institucional de Tratamiento de
Riesgos Asociados a los activos de información a través de las opciones de tratamiento definidas.
En la hoja Mapa de Riesgos se presenta el resultado de la calificación de las amenazas antes y después de
aplicar los controles
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 16 de 25 VERSIÓN: 1
Teniendo en cuenta la valoración de riesgos después de controles, se determinan las siguientes opciones de
tratamiento para cada uno de los riesgos:
• Evitar el riesgo: tomar las medidas encaminadas para impedir su materialización. Es siempre la primera
alternativa a considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por
mejoramiento, rediseño o sustitución de actividades.
• Reducir el riesgo: implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de
prevención), como el impacto (medidas de protección), resultado de fortalecer o implementar controles.
• Compartir o transferir el riesgo: reduce su efecto a través del traspaso de las pérdidas a otras
organizaciones, como en el caso de los contratos de seguros u otros medios que permiten distribuir una
porción del riesgo con otra entidad, como en los contratos a riesgo compartido.
• Asumir un riesgo: cuando el riesgo es aceptable o tolerable puede quedar un riesgo residual que se
mantiene, en este caso el Líder del proceso acepta la pérdida residual.
OPCIONES DE
TRATAMIENTO DE RIESGOS
o transferir
Compartir
Asumir
Evitar
Inaceptable X X X
Importante X X X
Tolerable X X X X
Aceptable X
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 17 de 25 VERSIÓN: 1
Nota: cuando no se definen acciones para riesgos ubicados en zona tolerable, la opción de tratamiento es
asumir.
Para los riesgos de los activos de información, que después de la calificación de los controles se valoren como
importantes o inaceptables, deben determinarse las opciones de tratamiento independientes, interrelacionadas
o en conjunto, que permitan definir las acciones correspondientes a dichas opciones, realizando el respectivo
registro de las acciones ante el Grupo de Planeación.
Es necesario tener en cuenta la priorización de los riesgos que pueden generar mayor impacto en la Entidad y
que afecten los productos o servicios generados para el cumplimiento de la misión y objetivos institucionales
del DNP.
Para los riesgos valorados como tolerables o aceptables, es discrecional la formulación de acciones asociadas.
Las posibles acciones a emprender pueden ser analizadas bajo criterios jurídicos, técnicos, institucionales,
financieros y económicos.
El seguimiento a la administración del riesgo se encuentra conformado por tres componentes: el primero
mediante el autocontrol realizado por los líderes funcionales o técnicos relacionados con el activo de
información, el segundo mediante la evaluación realizada por la Oficina de Informática y el tercero por la Oficina
de Control Interno.
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 18 de 25 VERSIÓN: 1
5.4.1.6. Autocontrol
Es la actividad realizada por los líderes funcionales o técnicos y/o implicados con el activo de información,
donde se revisan y verifican los mapas de riesgos por lo menos una vez al año, teniendo en cuenta los
siguientes aspectos, entre otros:
• Utilización del último formato actualizado para la elaboración de las matrices de riesgos de los
respectivos activos de seguridad de la información F-OI-20.
• Identificación de actividades críticas por amenazas y/o vulnerabilidades relacionadas con el activo.
• Identificación de nuevas amenazas y/o vulnerabilidades o eliminación cuando no sean
significativos.
• Determinación de nuevas causas generadoras o efectos con la materialización de amenazas y/o
vulnerabilidades.
• Determinación de nuevos controles o ajuste en la evaluación de los mismos.
• Determinación de nuevas acciones de administración de amenazas y/o vulnerabilidades o ajuste a
las definidas.
• Implementación de las acciones definidas en el mapa de riesgos.
• Modificación del indicador de riesgos o herramienta de seguimiento.
La generación de la formulación de las matrices de riesgos de seguridad de la información estará apoyada por
el Grupo de Planeación, la inclusión de nuevas amenazas y/o vulnerabilidades o controles, estará a cargo de
la Oficina de Informática, previa solicitud del responsable del activo de información, la cual debe realizarse a
través de correo electrónico.
Para los principales activos informáticos, se realizará el mapa de riesgos con las evidencias que permitan
determinar la calificación de los controles y si el riesgo está siendo manejado adecuadamente.
A continuación, se relacionan algunos aspectos a tener en cuenta durante el desarrollo de esta evaluación:
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 19 de 25 VERSIÓN: 1
• Verificar el correcto diligenciamiento de los diferentes campos del mapa de riesgos de seguridad de la
información.
• Verificar que los controles internos definidos para tratar las amenazas y/o vulnerabilidades para la seguridad
de la información existen, funcionan y son suficientes.
• Verificar la operatividad –ejecución- de los controles identificados en el mapa de riesgos de seguridad de
la información del respectivo activo.
• Verificar las evidencias de la revisión del mapa de riesgos de seguridad de la información.
5.4.1.9. Revisión de la Eficacia de las Acciones formuladas a partir de los Mapas de Riesgos
La Oficina de Control Interno realiza la revisión de la eficacia de las acciones de mejora con origen en la
administración de riesgos, enmarcada en los criterios establecidos en los “Lineamientos para el Seguimiento
de Acciones Preventivas, Correctivas y de Mejora y/o Planes de Mejoramiento” AP-L01 y en el proceso MC-AP
“Acciones Preventivas, Correctivas y de Mejora”, las cuales serán reportadas a través del diligenciamiento del
formato F-GP-14 y controladas desde el balance de acciones de mejora.
6. Glosario
A continuación, se encuentran definidos los términos utilizados y/o relacionados en este documento, sin
embargo, en la hoja de glosario del formato F-OI-20, también se podrán consultar.
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 20 de 25 VERSIÓN: 1
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 21 de 25 VERSIÓN: 1
• Declaración de aplicabilidad: Documento que enumera los controles aplicados por el SGSI de la
organización -tras el resultado de los procesos de evaluación y tratamiento de riesgos- además de
la justificación tanto de su selección como de la exclusión de controles incluidos en el anexo A de
la norma.
• Desastre natural: Cualquier evento natural que interrumpe las operaciones o servicios habituales
de una organización durante el tiempo suficiente como para verse la misma afectada de manera
significativa.
• Desastre: Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones
o servicios habituales de una organización durante el tiempo suficiente como para verse la misma
afectada de manera significativa.
• Detección de intrusos: Identificación de un acceso desautorizado a un sistema, a una red o a un
usuario, la identificación se puede hacer usando patrones o comparando contra comportamiento
normales del sistema, la red o de los usuarios.
• Detrimento del patrimonio de la entidad: Pérdida o deterioro del conjunto de bienes, derechos y
obligaciones, pertenecientes a una empresa -como persona jurídica- que impiden cumplir sus
objetivos.
• Directiva: Según [ISO/IEC 13335-1:2004]: una descripción que clarifica qué debería ser hecho y
cómo, con el propósito de alcanzar los objetivos establecidos en las políticas.
• Disponibilidad: La información debe estar disponible en cualquier momento.
• Divulgación de información confidencial: Difundir información privada sin previo consentimiento.
• Documentación: Conjunto de escritos mediante los cuales se prueba o acredita algo.
• Efectos: Materialización de un incidente no deseado, daño a un sistema o la organización.
• Ejecución Pruebas: Realización de guiones de pruebas para verificar el cumplimiento de las
funciones de un sistema.
• Errores humanos: En general, se denomina error a todo juicio o valoración que contraviene el
criterio que se reconoce como válido, en el campo al que se refiere el juicio.
• Estudio de antecedentes: Verificación del ciclo de vida de algo.
• Evaluación de riesgos: Según [ISO/IEC Guía 73:2002]: proceso de comparar el riesgo estimado
contra un criterio de riesgo dado con el objeto de determinar la importancia del riesgo.
• Evento: Según [ISO/IEC TR 18044:2004]: Suceso identificado en un sistema, servicio o estado de
la red que indica una posible brecha en la política de seguridad de la información o fallo de las
salvaguardias, o una situación anterior desconocida que podría ser relevante para la seguridad.
• Evidencia objetiva: Información, registro o declaración de hechos, cualitativa o cuantitativa,
verificable y basada en observación, medida o test, sobre aspectos relacionados con la
confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e
implementación de un elemento del sistema de seguridad de la información.
• Existencias de políticas: Implementación de procedimientos orientados ideológicamente hacia la
toma de decisiones para la consecución de los objetivos propuestos.
• Fallas de comunicaciones: Fallas en los servicios de comunicación, o en la recepción de la
información.
• Fallas de hardware: Falla en uno a varios componentes que integran la parte material de una
computadora.
• Fallas de software: Falla en algún componente lógico de una computadora.
• Fallas de suministro de energía: Evento en donde la energía se suspende parcial o
temporalmente.
• Fallas en UPS: Evento que afecta el sistema de alimentación ininterrumpida (Uninterruptible Power
Supply).
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 22 de 25 VERSIÓN: 1
• Fraude y malversación de fondos: El núcleo del tipo penal de estafa consiste en el engaño. Se
denomina fraude de ley o fraude a la ley al método de incumplimiento indirecto del Derecho
(objetivo) en el sentido de que supone la obtención de un resultado contrario al conjunto del orden
jurídico determinado alcanzado a través de la puntual observancia de lo dispuesto en la norma
jurídica.
• Frustración de usuarios: Reacción malintencionada por parte de un usuario.
• Gestión de claves: Controles referidos a la gestión de claves criptográficas.
• Gestión de riesgos: Proceso de identificación, control y minimización o eliminación, a un coste
aceptable, de los riesgos que afecten a la información de la organización. Incluye la valoración de
riesgos y el tratamiento de riesgos. Según [ISO/IEC Guía 73:2002]: actividades coordinadas para
dirigir y controlar una organización con respecto al riesgo.
• Gusanos: Es un programa de computador que tiene la capacidad de duplicarse a sí mismo. A
diferencia del virus, no precisa alterar los archivos de programas, sino que reside en la memoria y
se duplica a sí mismo. Siempre dañan la red (aunque sea simplemente consumiendo ancho de
banda).
• Impacto: El Impacto en un Activo es la consecuencia sobre éste de la materialización de una
Amenaza.
• Incidente: Según [ISO/IEC TR 18044:2004]: Evento único o serie de eventos de seguridad de la
información inesperados o no deseados que poseen una probabilidad significativa de comprometer
las operaciones del negocio y amenazar la seguridad de la información.
• Incumplimiento de tipo legal o contractual: No cumplimiento de deberes previamente
concertados legalmente.
• Indisponibilidad colateral de otros servicios: No disponibilidad de servicios secundarios
adscritos a un servicio principal.
• Información: La información constituye un importante activo, esencial para las actividades de una
organización y, en consecuencia, necesita una protección adecuada. La información puede existir
de muchas maneras. Puede estar impresa o escrita en papel, puede estar almacenada
electrónicamente, ser transmitida por correo o por medios electrónicos, se la puede mostrar en
videos, o exponer oralmente en conversaciones.
• Ingeniería Social: En el campo de la seguridad informática, es la práctica de obtener información
confidencial a través de la manipulación de usuarios legítimos ganando su confianza muchas
veces. Es una técnica que pueden utilizar investigadores privados, criminales, delincuentes
computacionales (conocidos como cracker) para obtener información, acceso o privilegios en
sistemas de información que les permiten realizar algún acto que perjudique o exponga a la persona
o entidad a riesgos o abusos.
• Ingeniería social: Práctica de obtener información confidencial a través de la manipulación de
usuarios legítimos ganando su confianza muchas veces.
• Integridad: La información debe estar adecuadamente protegida para asegurar que no sea
alterada.
• Interrupción del servicio o del negocio: No disponibilidad de un servicio o sistema en un
momento determinado sin previo aviso.
• Inventario de activos: Lista de todos aquellos recursos (físicos, de información, software,
documentos, servicios, personas, reputación de la organización, etc.) dentro del alcance del SGSI,
que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos.
• Logs de Auditorias: Procedimiento por el cual se deja rasgo de quien, como, cuando, donde fue
modificada la información.
• Mal uso de servicios de correo electrónico: Mal uso del correo electrónico (correo, calendario,
contactos, tareas, configuraciones, etc.).
F-GP-23 (VERSIÓN 0) Grupo de Planeación DNP
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 23 de 25 VERSIÓN: 1
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 24 de 25 VERSIÓN: 1
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.
CÓDIGO: SE-G02
GUÍA METODOLÓGICA PARA LA ADMINISTRACIÓN DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN PAGINA: 25 de 25 VERSIÓN: 1
Revisó_________________
Claudia angélica Benamy Páez
Asesor Oficina de Informática
Aprobó_____________________
Diego Alexander González Florez
Jefe Oficina de Informática
Este documento es fiel copia del original que reposa en el Grupo de Planeación del DNP. Su impresión se considera copia no controlada.