Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Primer A. Autor, Segundo B. Autor, Jr, y Tercer C. Autor, miembro del IEEE
Preparación de los documentos para IEEE
TRANSACTIONS AND JOURNALS (marzo
de 2004)
una persona, o un sistema de información.
1. OBJETIVO Confidencialidad: Propiedad que determina que la
información no esté disponible ni sea revelada a
Gestionar todos los incidentes y/o eventos de individuos, entidades o procesos no autorizados.
seguridad de la información y ciberseguridad que se Integridad: Propiedad de salvaguardar la exactitud y estado
presenten con los activos de información de Servicios completo de los activos.
Postales Nacionales 472, que atenten contra sus Activo de Información: Conocimiento o datos que tienen
características de Integridad, confidencialidad y valor para la organización o el individuo.
disponibilidad
CSIRT (Computer Security Incident Response Team):
OBJETIVOS ESPECÍFICOS Equipo responsable del desarrollo de medidas
preventivas y de respuesta ante incidentes
Brindar orientación metodológica para la informáticos.
ejecución, gestión y seguimiento de los Riesgos Ciberseguridad: Es el conjunto de recursos, políticas,
de Seguridad y privacidad de la información y conceptos de seguridad, salvaguardas de seguridad,
ciberseguridad en SERVICIOS POSTALES directrices, métodos de gestión del riesgo,
NACIONALES S.A. acciones, investigación y desarrollo, formación,
Estandarizar el proceso de gestión de riesgos de prácticas idóneas, seguros y tecnologías que
seguridad y privacidad de la información y
pueden utilizarse buscando la disponibilidad,
ciberseguridad, en SERVICIOS POSTALES
NACIONALES S.A. integridad, autenticación, confidencialidad y no
Generar mecanismos para que en SERVICIOS repudio, con el fin de proteger a los usuarios y los
POSTALES NACIONALES S.A. se puedan activos de la organización en el ciberespacio.
establecer los elementos para identificar, (CONPES 3854, pág. 87).
analizar, valorar y tratar los riesgos, amenazas Ciberespacio: Es el ambiente tanto físico como virtual
y vulnerabilidades de seguridad y privacidad de compuesto por computadores, sistemas
la información y ciberseguridad. computacionales, programas computacionales
(software), redes de telecomunicaciones, datos e
Proponer estrategias para la ejecución de información que es utilizado para la interacción
planes de acción para mitigar los riesgos entre usuarios. (Resolución CRC 2258 de 2009).
generados de seguridad y privacidad de la
información y ciberseguridad Evento: Presencia o cambio de un conjunto particular de
circunstancias. (NTC ISO 31000:2011)
Incidente digital: Evento intencionado o no intencionado
2. ALCANCE que puede cambiar el curso esperado de una
actividad en el medio digital y que genera impactos
Todos los reportes de eventos e incidentes de sobre los objetivos. (CONPES 3854, pág. 87).
seguridad de la información y ciberseguridad, que se Incidente de seguridad y privacidad de la información
presenten en Servicios Postales Nacionales 472. y ciberseguridad: Uno o múltiples eventos de
seguridad y privacidad de la información y
ciberseguridad, relacionados e identificados que
pueden dañar los activos de información de la
DEFINICIONES Y ABREVIATURAS organización o comprometer sus operaciones.
(ISO/IEC 27035:2016).
Monitoreo: Verificación, supervisión, observación crítica
Disponibilidad: Hace referencia a que la información sea
o determinación continúa del Estado con el fin de
accesible y utilizable por solicitud de una entidad,
identificar cambios con respecto al nivel de
desempeño exigido o esperado. (NTC ISO
Reemplazar esta línea con su número de documento de identificación (hacer doble clic aquí para editar) < 2
31000:2011).
Vulnerabilidad: Es una debilidad, atributo o falta de
control que permitiría o facilitaría la actuación de
una amenaza contra información clasificada, los
servicios y recursos que la soportan. (CONPES
3854, pág. 87).
ABREVIATURAS
POLÍTICA INTEGRAL DEL RIESGO EN SERVICIOS POSTALES Los planes de acción o mejoramiento para
NACIONALES S.A. mitigar los riesgos identificados en un nivel de
exposición no tolerado deben ser definidos y
Servicios Postales Nacionales S.A. implementa Sistemas de liderados por los responsables de los procesos,
Administración de Riesgos, diseñados conforme a su siendo este objeto de seguimiento mensual por
estructura, tamaño, objeto y dimensión y los ha las áreas de control y el área de Seguridad de la
adecuado a la normatividad que le ha resultado información y ciberseguridad.
aplicable. Para cada uno de los Sistemas de
Administración se han establecido las políticas, El monitoreo de los riesgos, los planes de
metodologías y herramientas para identificar, medir, acción o mejoramiento y los indicadores de
controlar y monitorear los riesgos a los que se ve SERVICIOS POSTALES NACIONALES
expuesta la entidad en razón de su actividad S.A., deben ser realizados por: Los
responsables de los procesos, Seguridad de la
En 4-72 estamos comprometidos con el logro de información y Ciberseguridad y la Oficina
objetivos y metas estratégicas, a través del Asesora de Control Interno.
establecimiento
El proceso de Seguridad de la información y
Ciberseguridad, debe realizar un análisis de los
Reemplazar esta línea con su número de documento de identificación (hacer doble clic aquí para editar) < 4
✔ Empleados, contratistas.
ESTABLECIMIENTO DEL CONTEXTO EXTERNO ✔ Objetivos estratégicos y la forma de alcanzarlos.
✔ La misión, visión, valores y cultura de la
Para determinar el contexto externo, SERVICIOS organización.
POSTALES NACIONALES S.A. considerara sin limitarse,
✔ Sus políticas, procesos y procedimientos.
los siguientes factores relacionados:
✔ Sistemas de gestión (calidad,
seguridad en el trabajo, seguridad y
privacidad de la información y
I. CONTEXTO EXTERNO ciberseguridad, riesgos, entre otros).
Clientes, proveedores de servicios y empresas ✔ Toda la estructura organizacional.
que sean competencia directa y/o se relacionen ✔ Roles y responsabilidades.
con la misión de SERVICIOS POSTALES ✔ Sistemas de información o servicios.
NACIONALES S.A.
Normativas o aspectos jurídicos que apliquen III. PARA LOS PROCESOS:
directa o indirectamente a SERVICIOS
POSTALES NACIONALES S.A.
Entorno cultural. ✔ Identificación de los procesos y su respectiva
Cualquier otro factor externo de tipo internacional, caracterización.
nacional (gobierno), regional o local. ✔ Detalle de las actividades que se llevan a cabo en
Cantidad de ciudadanos a los cuales el proceso.
SERVICIOS POSTALES NACIONALES S.A. ✔ Flujos de información.
brinda servicios a través del entorno digital ✔ Identificación y actualización de
como trámites a través de páginas web. los activos en la cadena de valor de
Aspectos externos que pueden verse afectados SERVICIOS POSTALES
con los riesgos de seguridad y privacidad de la NACIONALES S.A.
información y ciberseguridad, y ciberseguridad, ✔ Recursos.
tales como el ambiente social y económico que
✔ Alcance del proceso.
tengan alguna relación con las operaciones
✔ Relaciones con otros procesos de SERVICIOS
asociadas a SERVICIOS POSTALES
NACIONALES S.A. POSTALES NACIONALES S.A.
✔ Cantidad de ciudadanos afectados por el proceso.
✔ Procesos de gestión de riesgos que se tienen
ESTABLECIMIENTO DEL CONTEXTO INTERNO actualmente implementados.
✔ Personal involucrado en la toma de decisiones.
El contexto interno considera factores que impactan
directamente a: Nota: Para consulta de los procesos, flujos, relaciones
con otros procesos, políticas, factores y otros
SERVICIOS POSTALES NACIONALES S.A. en general, documentos, se encuentra en el sistema de información
sistemas de información o servicios reglamentación interna, ISOLUCION, así mismo entre otros tipos de
número de sedes, empleados, entre otros aspectos. documentos relacionados en el mapa de procesos.
Sobre los riesgos que, una vez aplicados los controles, análisis de riesgo realizado).
permanecen en los niveles de severidad “Extremo” y
“Alto”, los responsables de los procesos deben
implementar planes de acción y/o planes de tratamiento
de riesgos para fortalecer sus controles y mitigar los
riesgos. RECURSOS PARA LOS ASPECTOS DE MEJORA CONTINUA,
MONITOREO Y AUDITORÍAS LA FRECUENCIA SE AGRUPA EN
Los riesgos ubicados en niveles “Moderado” y “Bajo”, CINCO NIVELES:
deben ser objeto de monitoreo y seguimiento mensual
dentro de la gestión normal del proceso y/o subproceso, Frecuente, Moderada, Ocasional, Mínima y Remota, los
con el fin de determinar si es requerido implementar cuales reciben una calificación de uno a cinco como se
planes de acción y/o plan de tratamiento de riesgos para observa en la siguiente tabla:
fortalecer sus controles.
➔ Pérdida de la confidencialidad.
MAPA DE RIESGOS
➔ Pérdida de la integridad.
➔ Pérdida de la disponibilidad.
IDENTIFICACIÓN DE AMENAZAS:
MONITOREO Y REVISIÓN
Valoración de los Riesgos de Seguridad y Privacidad de SERVICIOS POSTALES NACIONALES S.A., a través
la Información y Ciberseguridad. de las “Tres Líneas de defensa” debe hacer un
seguimiento a los planes de acción o tratamiento para
Para cada tipo de activo o grupo de activos pueden determinar su efectividad.
existir una serie de riesgos, los cuales los responsables
y/o dueños de los procesos en SERVICIOS POSTALES El Oficial de Seguridad de la Información y
NACIONALES S.A. debe identificar, valorar y Ciberseguridad, Informa a la línea estratégica (Alta
posteriormente tratar si el nivel de dicho riesgo lo dirección y Comité Institucional de Coordinación de
amerita según lo estipulado en el apetito del riesgo. Control Interno) y a las partes interesadas, sobre
cualquier variación importante en los niveles o
Adicionalmente, se debe identificar el dueño del riesgo, valoraciones de los riesgos de Seguridad de la
es decir, “quien tiene que rendir cuentas sobre el riesgo Información y Ciberseguridad.
o quien tiene la autoridad para gestionar el riesgo”.
El Oficial de Seguridad de la Información y
La identificación de riesgos, amenazas y Ciberseguridad asesora y acompaña a la primera línea
vulnerabilidades puede ser realizada a través de de defensa (dueños o líderes de los procesos), en la
diferentes metodologías. Como ejemplo, se citan las identificación, análisis, medición, seguimiento y gestión
siguientes: de riesgos de seguridad de la información y
ciberseguridad, de igual manera en la recomendación de
controles para mitigar los riesgos.
Lluvia de ideas: Mediante esta opción se busca animar a
los participantes a que indiquen qué situaciones El Oficial de Seguridad de la Información y
adversas asociadas al manejo de la información Ciberseguridad hace parte de la segunda línea de
digital y los activos de información se pueden defensa, la cual posee responsabilidades directas en la
presentar o casos ocurridos que los participantes supervisión y evaluación de los controles para la gestión
conozcan que se hayan dado en SERVICIOS del tratamiento de los riesgos ejecutados por la primera
POSTALES NACIONALES S.A. o en el sector. línea de defensa.
Deben existir un orden de la sesión,
La tercera línea de defensa (Unidades de Control
EJECUCIÓN Interno) para la gestión de riesgos de seguridad y
privacidad de la información y ciberseguridad,
Esta fase se centra en la implementación de los planes proporciona un aseguramiento basado en el más alto
de acción o tratamiento de riesgos definidos en la fase nivel de independencia y objetividad; y es realizado en
anterior, en esencia es seguir la ruta crítica definida y el marco de las auditorías internas que realiza la
llevar a cabo todo lo planeado en la Fase 1. organización y las auditorías externas.
MEJORAMIENTO CONTINUO DE LA GESTIÓN DEL
La Línea Estratégica: Es decir, la Alta Dirección debe RIESGO DE SEGURIDAD Y PRIVACIDAD DE LA
Reemplazar esta línea con su número de documento de identificación (hacer doble clic aquí para editar) < 9
SALIDAS
REGISTRO DE INFORMACIÓN DE
RIESGOS - MATRIZ DE IDENTIFICACIÓN
Y EVALUACIÓN DE RIESGOS.
(diligenciado)
Actas de reunión o soportes sobre seguimiento,
evaluación y calificación de riesgos y controles.
Presentaciones y/o Informes de la gestión de
riesgos a la Alta Dirección y/o Junta Directiva.
SOA (Declaración de Aplicabilidad Actualizado).
Registro y Gestión de Incidentes de Seguridad de
la Información y Ciberseguridad.