Reemplazar esta línea con su número de documento de identificación (hacer doble clic aquí para editar) <
Primer A. Autor, Segundo B. Autor, Jr, y Tercer C. Autor, miembro del IEEE
Preparación de los documentos para IEEE
TRANSACTIONS AND JOURNALS (marzo
de 2004)

1. OBJETIVO
Gestionar todos los incidentes y/o eventos de
seguridad de la información y ciberseguridad que se
presenten con los activos de información de Servicios
Postales Nacionales 472, que atenten contra sus
características de Integridad, confidencialidad y
disponibilidad
OBJETIVOS ESPECÍFICOS
 Brindar orientación metodológica para la
ejecución, gestión y seguimiento de los Riesgos
de Seguridad y privacidad de la información y
ciberseguridad en SERVICIOS POSTALES
NACIONALES S.A.
 Estandarizar el proceso de gestión de riesgos de
seguridad y privacidad de la información y
ciberseguridad, en SERVICIOS POSTALES
NACIONALES S.A.
 Generar mecanismos para que en SERVICIOS
POSTALES NACIONALES S.A. se puedan
establecer los elementos para identificar,
analizar, valorar y tratar los riesgos, amenazas
y vulnerabilidades de seguridad y privacidad de
la información y ciberseguridad.
 Proponer estrategias para la ejecución de
planes de acción para mitigar los riesgos
generados de seguridad y privacidad de la
información y ciberseguridad
2. ALCANCE
Todos los reportes de eventos e incidentes de
seguridad de la información y ciberseguridad, que se
presenten en Servicios Postales Nacionales 472.
DEFINICIONES Y ABREVIATURAS
Disponibilidad: Hace referencia a que la información sea
accesible y utilizable por solicitud de una entidad,

1
una persona, o un sistema de información.
Confidencialidad: Propiedad que determina que la
información no esté disponible ni sea revelada a
individuos, entidades o procesos no autorizados.
Integridad: Propiedad de salvaguardar la exactitud y estado
completo de los activos.
Activo de Información: Conocimiento o datos que tienen
valor para la organización o el individuo.
CSIRT (Computer Security Incident Response Team):
Equipo responsable del desarrollo de medidas
preventivas y de respuesta ante incidentes
informáticos.
Ciberseguridad: Es el conjunto de recursos, políticas,
conceptos de seguridad, salvaguardas de seguridad,
directrices, métodos de gestión del riesgo,
acciones, investigación y desarrollo, formación,
prácticas idóneas, seguros y tecnologías que
pueden utilizarse buscando la disponibilidad,
integridad, autenticación, confidencialidad y no
repudio, con el fin de proteger a los usuarios y los
activos de la organización en el ciberespacio.
(CONPES 3854, pág. 87).
Ciberespacio: Es el ambiente tanto físico como virtual
compuesto por computadores, sistemas
computacionales, programas computacionales
(software), redes de telecomunicaciones, datos e
información que es utilizado para la interacción
entre usuarios. (Resolución CRC 2258 de 2009).
Evento: Presencia o cambio de un conjunto particular de
circunstancias. (NTC ISO 31000:2011)
Incidente digital: Evento intencionado o no intencionado
que puede cambiar el curso esperado de una
actividad en el medio digital y que genera impactos
sobre los objetivos. (CONPES 3854, pág. 87).
Incidente de seguridad y privacidad de la información
y ciberseguridad: Uno o múltiples eventos de
seguridad y privacidad de la información y
ciberseguridad, relacionados e identificados que
pueden dañar los activos de información de la
organización o comprometer sus operaciones.
(ISO/IEC 27035:2016).
Monitoreo: Verificación, supervisión, observación crítica
o determinación continúa del Estado con el fin de
identificar cambios con respecto al nivel de
desempeño exigido o esperado. (NTC ISO
 Reemplazar esta línea con su número de documento de identificación (hacer doble clic aquí para editar) < 2

31000:2011).
Vulnerabilidad: Es una debilidad, atributo o falta de
control que permitiría o facilitaría la actuación de
una amenaza contra información clasificada, los
servicios y recursos que la soportan. (CONPES
3854, pág. 87).

ABREVIATURAS

 TI: Tecnologías de Información

 CSIRT: Computer Security Incident
Response Team : Equipo de respuesta
ante incidentes de seguridad
informática
CONDICIONES GENERALES

El presente documento describe las actividades ejecutadas

por seguridad de la información para la adecuada gestión
de incidentes en Servicios Postales Nacionales 4-72 para a
aplicación de este se deberá realizar bajo los lineamientos
del Manual de registro y gestión de incidentes de
seguridad de la información y ciberseguridad.

Ejemplos de ello son:

alertas de las plataformas de TI, caídas del sistema,
reportes de usuario, registros de las herramientas
administrativas, consolas SIEM, consolas de
antivirus, alertas herramienta de monitoreo de
infraestructura, Alerta proveedores, alerta Firewall,
entre otros.

Dentro de la planeación para la atención del incidente y/o

evento de ciberseguridad, deberá tener en cuenta
los tiempos, así como aquellas necesidades de
recursos logísticos, humanos, áreas que deben
involucrarse, entre otros aspectos.
 Reemplazar esta línea con su número de documento de identificación (hacer doble clic aquí para editar) <
DIAGRAMA DE FLUJO
POLÍTICA INTEGRAL DEL RIESGO EN SERVICIOS POSTALES
NACIONALES S.A.
Servicios Postales Nacionales S.A. implementa Sistemas de
Administración de Riesgos, diseñados conforme a su
estructura, tamaño, objeto y dimensión y los ha
adecuado a la normatividad que le ha resultado
aplicable. Para cada uno de los Sistemas de
Administración se han establecido las políticas,
metodologías y herramientas para identificar, medir,
controlar y monitorear los riesgos a los que se ve
expuesta la entidad en razón de su actividad
En 4-72 estamos comprometidos con el logro de
objetivos y metas estratégicas, a través del
establecimiento
3
 Los riesgos identificados por los órganos y
áreas de control en el desarrollo de sus
actividades y los riesgos materializados
reportados en las herramientas establecidas por
la organización para tal fin deben ser valorados
entre el responsable y/o dueño del proceso y el
área encargada de la administración del riesgo,
para ser considerados en la actualización de la
matriz de riesgos.
 La identificación de los riesgos debe ser
realizada por los responsables y/o dueños de los
procesos de acuerdo con la metodología
establecida en el presente manual, considerando
las diferentesPara la medición de los riesgos se
deben emplear mediciones cualitativas o
cuantitativas, con base en la información
estadísticas obtenida y acorde con la
metodología establecida en el presente manual.
 Los responsables y/o dueños de los procesos
deben diseñar y documentar los controles para
mitigar los riesgos identificados en los procesos
y valorar su efectividad, de acuerdo con la
metodología establecida en el presente manual.
 El control de los riesgos se debe efectuar
mediante la verificación del cumplimiento de
los límites aprobados por la Alta dirección y/o
Junta Directiva, los cuales mantienen los
niveles de exposición dentro de intervalos
tolerables según lo definido por SERVICIOS
POSTALES NACIONALES S.A.
 El proceso de Seguridad de la información y
Ciberseguridad, es el responsable de verificar el
cumplimiento de los límites que han sido
formulados para el control de los riesgos y de
reportar oportunamente cualquier
incumplimiento.
 Los planes de acción o mejoramiento para
mitigar los riesgos identificados en un nivel de
exposición no tolerado deben ser definidos y
liderados por los responsables de los procesos,
siendo este objeto de seguimiento mensual por
las áreas de control y el área de Seguridad de la
información y ciberseguridad.
 El monitoreo de los riesgos, los planes de
acción o mejoramiento y los indicadores de
SERVICIOS POSTALES NACIONALES
S.A., deben ser realizados por: Los
responsables de los procesos, Seguridad de la
información y Ciberseguridad y la Oficina
Asesora de Control Interno.
 El proceso de Seguridad de la información y
Ciberseguridad, debe realizar un análisis de los
 Reemplazar esta línea con su número de documento de identificación (hacer doble clic aquí para editar) <
eventos de riesgo registrados en las
herramientas o formatos establecidos por la
organización para tal fin. Estos análisis podrán
ser empleados como insumos para la toma de
decisiones en la mejora de los procesos.
 Durante las sesiones de trabajo con los
responsables de los procesos o sus delegados,
se debe realizar seguimiento a la evolución del
perfil de riesgo del proceso y los riesgos
asociados.
 El proceso de Seguridad de la información y
Ciberseguridad, debe elaborar reportes
periódicos sobre el monitoreo de riesgos
realizado.
 La Oficina Asesora de Control Interno, como
parte de sus funciones de auditoría, debe
realizar pruebas independientes, relacionadas
con el diseño, implementación y efectividad de
los controles identificados para la mitigación de
los riesgos.
 El proceso de Seguridad de la información y
Ciberseguridad, debe establecer la metodología
para evaluar la efectividad de los controles.
 SERVICIOS POSTALES NACIONALES S.A.
debe contar con los mecanismos necesarios
tales como: herramientas informáticas,
formatos, políticas y procedimientos para el
monitoreo de los cambios en los tipologías de
riesgos para la seguridad y privacidad de la
información y ciberseguridad, financiero,
social, y ambiental si aplica, u otra tipología de
riesgo definida por el área de administración
del riesgo.
REFERENCIA NORMATIVA
● Ley 1273 del 2009: Hace referencia a la
protección de la información y de los datos,
como de sus penalidades ante los delitos
informáticos en Colombia.
● Ley 1581 del 2012: Hace referencia a la
protección de datos personales la cual estará
supervisada por la Superintendencia de
Industria y Comercio SIC.
● MSPI según Norma ISO 27001:2013 y
NIST:. Sistema de gestión de seguridad y
privacidad de la información y ciberseguridad,
con base al Modelo de Seguridad y Privacidad
de la Información que dispuso Mintic en el
marco de la estrategia de gobierno digital.
● Decreto 1008 de 2018: Política de Gobierno
Digital que dispuso Mintic, señala la
4
implementación del Modelo de Seguridad y
Privacidad de la Información en todas las
entidades de estado.
ADMINISTRACIÓN Y GESTIÓN DE RIESGOS
DE SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Y CIBERSEGURIDAD
Entradas
 Identificación, Clasificación y Valoración de
los activos de información y ciberseguridad,
con base al formato establecido por la entidad.
 Reuniones para la Identificación, análisis,
medición, evaluación y tratamiento de los
riesgos asociados que poseen relación con los
activos de información de los procesos
 Análisis de riesgos de otros sistemas de
administración del riesgo como SARO (Sistema
de Administración del Riesgo Operativo).
FASE 1. PLANIFICACIÓN
 Definición del contexto externo, interno y
alcance de los procesos para la gestión y
tratamiento del riesgo en SERVICIOS
POSTALES NACIONALES S.A.
 Definición de la política de administración y/o
apetito del riesgo.
 Designación de roles y responsabilidades.
 Definición de Recursos para la Gestión de
Riesgos de Seguridad y Privacidad de la
Información y Ciberseguridad.
 Definición de criterios de probabilidad, impacto y
zonas de riesgo aceptable.
 Identificación de activos de información.
 Identificación de riesgos.
 Valoración de riesgos.
 Definición del tratamiento de los riesgos
Fuente: Respecto a las actividades, el presente
documento busca profundizar en lo concerniente para la
gestión de riesgos de seguridad y privacidad de la
información y ciberseguridad en SERVICIOS
POSTALES NACIONALES S.A., una metodología que
diseño y adapto el Departamento administrativo de la
Función Pública (DAFP) para las entidades de gobierno
(púbicas) y/o privadas, siendo el documento referente y
base metodológico principal para adoptar la gestión de
riesgos de seguridad y privacidad de la información y
ciberseguridad, al interior de la Organización.
 Reemplazar esta línea con su número de documento de identificación (hacer doble clic aquí para editar) <
ESTABLECIMIENTO DEL CONTEXTO EXTERNO
Para determinar el contexto externo, SERVICIOS
POSTALES NACIONALES S.A. considerara sin limitarse,
los siguientes factores relacionados:
I. CONTEXTO EXTERNO
 Clientes, proveedores de servicios y empresas
que sean competencia directa y/o se relacionen
con la misión de SERVICIOS POSTALES
NACIONALES S.A.
 Normativas o aspectos jurídicos que apliquen
directa o indirectamente a SERVICIOS
POSTALES NACIONALES S.A.
 Entorno cultural.
 Cualquier otro factor externo de tipo internacional,
nacional (gobierno), regional o local.
 Cantidad de ciudadanos a los cuales
SERVICIOS POSTALES NACIONALES S.A.
brinda servicios a través del entorno digital
como trámites a través de páginas web.
 Aspectos externos que pueden verse afectados
con los riesgos de seguridad y privacidad de la
información y ciberseguridad, y ciberseguridad,
tales como el ambiente social y económico que
tengan alguna relación con las operaciones
asociadas a SERVICIOS POSTALES
NACIONALES S.A.
ESTABLECIMIENTO DEL CONTEXTO INTERNO
El contexto interno considera factores que impactan
directamente a:
SERVICIOS POSTALES NACIONALES S.A. en general,
sistemas de información o servicios reglamentación interna,
número de sedes, empleados, entre otros aspectos.
Cada uno de los procesos sobre los cuales están soportadas
sus operaciones.
Para determinar los factores de SERVICIOS
POSTALES NACIONALES S.A. y los procesos se debe
considerar, sin limitarse, los siguientes factores
relacionados con seguridad y privacidad de la
información y ciberseguridad, son:
II. PARA SERVICIOS POSTALES NACIONALES S.A.
✔ Recursos económicos, sociales, ambientales,
físicos, tecnológicos, financieros, jurídicos, entre otros.
✔ Flujos de información y los procesos de toma de
decisiones.
5
✔ Empleados, contratistas.
✔ Objetivos estratégicos y la forma de alcanzarlos.
✔ La misión, visión, valores y cultura de la
organización.
✔ Sus políticas, procesos y procedimientos.
✔ Sistemas de gestión (calidad,
seguridad en el trabajo, seguridad y
privacidad de la información y
ciberseguridad, riesgos, entre otros).
✔ Toda la estructura organizacional.
✔ Roles y responsabilidades.
✔ Sistemas de información o servicios.
III. PARA LOS PROCESOS:
✔ Identificación de los procesos y su respectiva
caracterización.
✔ Detalle de las actividades que se llevan a cabo en
el proceso.
✔ Flujos de información.
✔ Identificación y actualización de
los activos en la cadena de valor de
SERVICIOS POSTALES
NACIONALES S.A.
✔ Recursos.
✔ Alcance del proceso.
✔ Relaciones con otros procesos de SERVICIOS
POSTALES NACIONALES S.A.
✔ Cantidad de ciudadanos afectados por el proceso.
✔ Procesos de gestión de riesgos que se tienen
actualmente implementados.
✔ Personal involucrado en la toma de decisiones.
Nota: Para consulta de los procesos, flujos, relaciones
con otros procesos, políticas, factores y otros
documentos, se encuentra en el sistema de información
ISOLUCION, así mismo entre otros tipos de
documentos relacionados en el mapa de procesos.
POLÍTICA INTEGRAL DEL RIESGO EN SERVICIOS POSTALES
NACIONALES S.A.
Servicios Postales Nacionales S.A. implementa Sistemas
de Administración de Riesgos, diseñados conforme a su
estructura, tamaño, objeto y dimensión y los ha
adecuado a la normatividad que le ha resultado
aplicable. Para cada uno de los Sistemas de
Administración se han establecido las políticas,
metodologías y herramientas para identificar, medir,
controlar y monitorear los riesgos a los que se ve
expuesta la entidad en razón de su actividad.
En 4-72 estamos comprometidos con el logro de objetivos
y metas estratégicas, a través del establecimiento,
 Reemplazar esta línea con su número de documento de identificación (hacer doble clic aquí para editar) < 6

Sobre los riesgos que, una vez aplicados los controles, análisis de riesgo realizado).
permanecen en los niveles de severidad “Extremo” y
“Alto”, los responsables de los procesos deben
implementar planes de acción y/o planes de tratamiento
de riesgos para fortalecer sus controles y mitigar los
riesgos. RECURSOS PARA LOS ASPECTOS DE MEJORA CONTINUA,
MONITOREO Y AUDITORÍAS LA FRECUENCIA SE AGRUPA EN
Los riesgos ubicados en niveles “Moderado” y “Bajo”, CINCO NIVELES:
deben ser objeto de monitoreo y seguimiento mensual
dentro de la gestión normal del proceso y/o subproceso, Frecuente, Moderada, Ocasional, Mínima y Remota, los
con el fin de determinar si es requerido implementar cuales reciben una calificación de uno a cinco como se
planes de acción y/o plan de tratamiento de riesgos para observa en la siguiente tabla:
fortalecer sus controles.

DEFINICIÓN DE ROLES Y RESPONSABILIDADES.

El Oficial de seguridad de la información y

ciberseguridad, gestiona los riesgos de acuerdo con lo
establecido por la Alta Dirección y según lo indicado en
el presente documento, entre algunas funciones esta:

➔ Definir el instructivo o procedimiento para la

Identificación y valoración de activos de
información y de ciberseguridad.
➔ Adoptar o adecuar el manual, metodología y/o
procedimiento formal para la gestión de riesgos
de seguridad y privacidad de la información y
ciberseguridad, (Identificación, Análisis,
Evaluación y Tratamiento).
CRITERIOS DE IMPACTO PARA LOS RIESGOS DE
➔ Apoyar en el seguimiento a los planes de
SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN Y
tratamiento de riesgos definidos. CIBERSEGURIDAD.
➔ Informar a la alta dirección sobre cualquier
variación importante en los niveles o
valoraciones de los riesgos de seguridad y El impacto se debe analizar y calificar a partir de las
privacidad de la información y ciberseguridad. consecuencias identificadas durante el proceso de
identificación y descripción del riesgo de seguridad y
DEFINICIÓN DE RECURSOS PARA LA GESTIÓN DE privacidad de la información y ciberseguridad, de tal
RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA forma que se deben conocer los criterios de impacto
INFORMACIÓN Y CIBERSEGURIDAD. cuantitativos y cualitativos (población, presupuestal y
ambiental) y de probabilidad o frecuencia para una
correcta calificación del riesgo.
SERVICIOS POSTALES NACIONALES S.A. dispone
de los recursos suficientes para el desarrollo de la Por lo tanto, con base al análisis de la información que
gestión de riesgos de seguridad y privacidad de la se realizó desde el área de seguridad de la información y
información y ciberseguridad, (capital, tiempo, personal, ciberseguridad con los responsables de los procesos
procesos, sistemas y tecnologías), con el fin de apoyar a involucrados para establecer y definir los criterios de
los responsables en la implementación de controles y impacto a nivel cuantitativo, se concluye:
seguimiento de los riesgos de seguridad y privacidad de
la información y ciberseguridad.
Impacto Ambiental: La Oficina Asesora de Planeación
a través del Profesional con (Rol Ambiental) se
La alta dirección asigna entre otros, recursos tales como:
establecen los criterios de impacto ambiental
cuantitativo basado en días, semanas, meses y
 Personal capacitado e idóneo para la años.
gestión del riesgo de seguridad y
privacidad de la información y
Impacto de Población estimada en Clientes: La
ciberseguridad.
Vicepresidencia Comercial con su equipo
 Recursos económicos para la
directivo, se establecen los criterios de impacto de
implementación de controles de
población estimada en clientes a nivel cuantitativo
mitigación de riesgos (con base al
 Reemplazar esta línea con su número de documento de identificación (hacer doble clic aquí para editar) <
basado en los segmentos público, privado y
filatelia
Impacto Presupuestal: El área de Seguridad de la
Información y ciberseguridad establece los
criterios de impacto presupuestales a nivel
cuantitativo basado en el plan anual de
adquisiciones versión (2) con vigencia 2020,
buscando definir que el impacto económico o
presupuestal ante la materialización de algún
riesgo de seguridad de la información y
ciberseguridad se encuentre en niveles de
tolerancia para la organización y exista un
equilibrio económico para la toma de decisiones
inmediatas a nivel de inversión en materia de
seguridad de la información o ciberseguridad con
el fin de prevenir y no afectar gravemente las
operaciones del negocio, permitiendo brindar
continuidad y operatividad de los activos de
información que se hayan afectado y fortaleciendo
los controles para su aseguramiento y protección
MAPA DE RIESGOS
El mapa de riesgos formulado de 5x5, permite visualizar
las mediciones de la matriz de riesgos (Riesgo Inherente
y Residual), esta a su vez es el soporte documental de la
información de administración y gestión para los riesgos
de seguridad y privacidad de la información y
ciberseguridad, por lo tanto, se constituye en una
herramienta gerencial para toma de decisiones.
RECOMENDACIONES ADICIONALES PARA LA
IDENTIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN Y DE
7
CIBERSEGURIDAD:
Para identificar los activos de Información y de
ciberseguridad (seguridad digital), los dueños y
responsables de los procesos en SERVICIOS
POSTALES NACIONALES S.A., pueden emplear los
siguientes métodos:
➔ Revisión de los flujos o diagramas del área o
proceso.
➔ Revisión de inventarios de activos previos o de
otras áreas.
➔ Entrevistas o lluvia de ideas dentro de cada área o
proceso.
Identificar los Riesgos Inherentes de Seguridad y
Privacidad de la Información y Ciberseguridad.
Para cada riesgo, se deben asociar el grupo de activos o
activos de información específicos del área o proceso, y
conjuntamente analizar las posibles amenazas y
vulnerabilidades que podrían causar su materialización.
Se podrán identificar como mínimo los siguientes tres
(3) riesgos inherentes de seguridad y privacidad de la
información y ciberseguridad, así:
➔ Pérdida de la confidencialidad.
➔ Pérdida de la integridad.
➔ Pérdida de la disponibilidad.
También se podrán incluir nuevos riesgos de seguridad y
privacidad de la información y ciberseguridad, si el
dueño y/o responsable del proceso lo amerita, no
obstante, en el formato establecido para realizar el
análisis de los riesgos de Seguridad y privacidad de la
información y ciberseguridad, deben incluir la
asociación para cada activo o los grupos de activos
identificados, si afecta la perdida de Confidencialidad,
Integridad y Disponibilidad.
IDENTIFICACIÓN DE AMENAZAS:
Se plantea la siguiente lista de amenazas, que representan
situaciones o fuentes que pueden hacer daño a los activos y
materializar los riesgos.
A manera de ejemplo se citan las siguientes amenazas:
 Reemplazar esta línea con su número de documento de identificación (hacer doble clic aquí para editar) < 8

cumplir con el compromiso de brindar los recursos

necesarios para iniciar el tratamiento de los riesgos.
Deliberadas (D), fortuito (F) o ambientales (A).
El Oficial de Seguridad de la Información asesora y
acompaña a la primera línea de defensa (dueños o
líderes de los procesos), en la identificación, análisis,
medición y gestión de riesgos de seguridad y privacidad
de la información y ciberseguridad, para supervisar y
brindar las recomendaciones de controles para mitigar
los riesgos inherentes y de los riesgos residuales que no
hayan mitigado el riesgo.
El Oficial de Seguridad de la Información y
Ciberseguridad deberá supervisar y acompañar el proceso
de implementación de los planes de tratamiento,
verificando que los responsables de los planes (Dueño del
proceso, directores y/o jefes) ejecuten las tareas en los
tiempos pactados y que los recursos se estén ejecutando de
acuerdo con lo planeado.

MONITOREO Y REVISIÓN

Valoración de los Riesgos de Seguridad y Privacidad de
la Información y Ciberseguridad.
Para cada tipo de activo o grupo de activos pueden
existir una serie de riesgos, los cuales los responsables
y/o dueños de los procesos en SERVICIOS POSTALES
NACIONALES S.A. debe identificar, valorar y
posteriormente tratar si el nivel de dicho riesgo lo
amerita según lo estipulado en el apetito del riesgo.
Adicionalmente, se debe identificar el dueño del riesgo,
es decir, “quien tiene que rendir cuentas sobre el riesgo
o quien tiene la autoridad para gestionar el riesgo”.
La identificación de riesgos, amenazas y Ciberseguridad asesora y acompaña a la primera línea
vulnerabilidades puede ser realizada a través de
diferentes metodologías. Como ejemplo, se citan las
siguientes:
Lluvia de ideas: Mediante esta opción se busca animar a
los participantes a que indiquen qué situaciones
adversas asociadas al manejo de la información
digital y los activos de información se pueden
presentar o casos ocurridos que los participantes
conozcan que se hayan dado en SERVICIOS
POSTALES NACIONALES S.A. o en el sector.
Deben existir un orden de la sesión,
EJECUCIÓN
Esta fase se centra en la implementación de los planes
de acción o tratamiento de riesgos definidos en la fase
anterior, en esencia es seguir la ruta crítica definida y
llevar a cabo todo lo planeado en la Fase 1.
La Línea Estratégica: Es decir, la Alta Dirección debe
SERVICIOS POSTALES NACIONALES S.A., a través
de las “Tres Líneas de defensa” debe hacer un
seguimiento a los planes de acción o tratamiento para
determinar su efectividad.
El Oficial de Seguridad de la Información y
Ciberseguridad, Informa a la línea estratégica (Alta
dirección y Comité Institucional de Coordinación de
Control Interno) y a las partes interesadas, sobre
cualquier variación importante en los niveles o
valoraciones de los riesgos de Seguridad de la
Información y Ciberseguridad.
El Oficial de Seguridad de la Información y
de defensa (dueños o líderes de los procesos), en la
identificación, análisis, medición, seguimiento y gestión
de riesgos de seguridad de la información y
ciberseguridad, de igual manera en la recomendación de
controles para mitigar los riesgos.
El Oficial de Seguridad de la Información y
Ciberseguridad hace parte de la segunda línea de
defensa, la cual posee responsabilidades directas en la
supervisión y evaluación de los controles para la gestión
del tratamiento de los riesgos ejecutados por la primera
línea de defensa.
La tercera línea de defensa (Unidades de Control
Interno) para la gestión de riesgos de seguridad y
privacidad de la información y ciberseguridad,
proporciona un aseguramiento basado en el más alto
nivel de independencia y objetividad; y es realizado en
el marco de las auditorías internas que realiza la
organización y las auditorías externas.
MEJORAMIENTO CONTINUO DE LA GESTIÓN DEL
RIESGO DE SEGURIDAD Y PRIVACIDAD DE LA
 Reemplazar esta línea con su número de documento de identificación (hacer doble clic aquí para editar) < 9

INFORMACIÓN Y CIBERSEGURIDAD. con el alcance de aplicabilidad de los controles definidos

en el sistema de gestión de seguridad de la información.
SERVICIOS POSTALES NACIONALES S.A., en pro
de la mejora continua de la gestión de riesgos de
seguridad de la información y ciberseguridad, establece Ver Controles ISO 27001 a través del siguiente Link
que cuando existan hallazgos, falencias o incidentes de Web del DAFP: Anexo 4 Lineamientos para la Gestión
seguridad de la información y ciberseguridad, se debe de Riesgos de Seguridad Digital en Entidades Públicas
mitigar el impacto de su existencia y tomar acciones
para controlarlos y prevenirlos.
Las acciones para mejorar continuamente la gestión de
riesgos de seguridad y privacidad de la información y
ciberseguridad, son:

 Revisar y evaluar los hallazgos

encontrados en las auditorías internas, otras
auditorías e informes de los entes de
control realizadas.
 Establecer las posibles causas y consecuencias
del hallazgo.
 Determinar si existen otros hallazgos
similares para establecer acciones
correctivas y evitar así que se lleguen a
materializar.
 Emprender acciones de revisión continua,
que permitan gestionar el riesgo a tiempo,
disminuir el impacto y la probabilidad de
ocurrencia del riesgo detectado, así como
la aparición de nuevos riesgos que puedan
afectar el desempeño en la entidad o de los
servicios que se prestan a los clientes.

SALIDAS

 REGISTRO DE INFORMACIÓN DE
RIESGOS - MATRIZ DE IDENTIFICACIÓN
Y EVALUACIÓN DE RIESGOS.
(diligenciado)
 Actas de reunión o soportes sobre seguimiento,
evaluación y calificación de riesgos y controles.
 Presentaciones y/o Informes de la gestión de
riesgos a la Alta Dirección y/o Junta Directiva.
 SOA (Declaración de Aplicabilidad Actualizado).
 Registro y Gestión de Incidentes de Seguridad de
la Información y Ciberseguridad.

CONTROLES DE REFERENCIA PARA LA MITIGACIÓN

DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN Y SEGURIDAD DIGITAL
(CIBERSEGURIDAD).

SERVICIOS POSTALES NACIONALES S.A.,

establece que para (mitigar/tratar) los riesgos de
seguridad y privacidad de la información y
ciberseguridad se emplean los controles, tomados del
Anexo A del estándar Norma ISO 27001:2013 y los
dominios a los que pertenecen, así mismo de acuerdo