TABLAS DE CONTROL DE ACCESO

DERECHOS Y RESTRICCIONES DE ACCESO Y SEGURIDAD

APLICABLES A LOS DOCUMENTOS ELECTRONICOS

Jhon A. Gonzalez F.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 1 | 47
 Tabla de contenido

Tabla de contenido .................................................................................................................... 2

EL AUTOR ................................................................................................................................. 3
CREDITOS ................................................................................................................................. 4
1. INTRODUCCIÓN ................................................................................................................. 5
2. ALCANCE ........................................................................................................................... 7
3. A QUIEN ESTÁ DIRIGIDO...................................................................................................... 8
4. OBJETIVOS ........................................................................................................................ 9
4.1. Objetivo General.......................................................................................... 9
4.2. Objetivos Específicos .................................................................................. 9
5. ESTRUCTURA DEL DOCUMENTO ........................................................................................ 10
6. DEFINICIONES .................................................................................................................. 11
7. QUE ES EL CONTROL DE ACCESO Y SEGURIDAD PARA LOS ARCHIVOS Y DOCUMENTOS ............ 12
7.1. Beneficios del Control de Acceso y Seguridad........................................... 13
8. REQUERIMIENTOS PREVIOS PARA EL CONTROL DE ACCESO .................................................. 15
9. ECOSISTEMA DEL CONTROL DE ACCESO .............................................................................. 18
9.1. Plan Institucional de Archivos de la Entidad – PINAR ................................ 20
9.2. Normograma Orientado a los Procesos de la Organización ....................... 23
9.3. Análisis de las Actividades del Negocio ..................................................... 26
9.4. Análisis de los Activos de Información ....................................................... 27
9.5. Evaluación de Riesgos .............................................................................. 30
9.6. Análisis de Usuarios .................................................................................. 35
9.7. Seguimiento y Mejora ................................................................................ 37
10. TABLA DE CONTROL DE ACCESO ..................................................................................... 40
10.1. Clasificación de Acceso y Restricciones ................................................ 40
10.2. Permisos sobre los Archivos y Documentos........................................... 42
10.3. Formato de Tabla de Control de Acceso ................................................ 43
11. BIBLIOGRAFÍA .............................................................................................................. 46

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 2 | 47
EL AUTOR

Jhon Gonzalez
Co-fundador infoesfera.com

Desde 2001 trabajo para la web, mi interés y pasión por la accesibilidad a contenidos
en la web y la estrategia digital me permitió escribir los libros “Accesibilidad Web para
Bibliotecas Públicas” y Servicios de referencia en línea. Directrices para una estrategia
digital. Soy especialista en Arquitectura de Información de la Universidad de Buenos
Aires, Estándares Web, Usabilidad, Accesibilidad, especialista en Gestión Documental
de la Universidad de la Salle y en Educación y Nuevas Tecnologías de la Facultad
Latinoamericana de Ciencias Sociales, Master en Bibliotecas y Servicios de Información
Digital de la Universidad Carlos III Madrid. Hasta 2015 trabajé en el Archivo General de
la Nación como Subdirector de Tecnologías de información y Documento Electrónico.
En la Actualidad curso mis estudios de Doctorado en Industrias de la Comunicación y
Culturales en la Universidad Politécnica de Valencia y trabajo como Director de la
Maestría en Gestión Documental y Administración de Archivos de la Universidad de la
Salle

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 3 | 47
CREDITOS

ISBN: 978-958-48-1788-4

Grupo IB Consuting SAS

Bogotá Trade Center
Cra. 10 # 97 - 13 Torre B, Of. 202
(57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

Las publicaciones de Grupo IB Consuting SAS están protegidas por lo dispuesto en la

Ley 23 de 1982. Podrán reproducirse extractos sin autorización previa, indicando la
fuente

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 4 | 47
 1. INTRODUCCIÓN
El Archivo General de la Nación en desarrollo del Artículo 2.8.2.5.6. Componentes de la
política de gestión documental; el Artículo 2.8.2.5.8. Instrumentos archivísticos para la
gestión documental y el Artículo 2.8.2.6.1. Generalidades del sistema de gestión
documental del Decreto 1080 de 2015, relaciona el desarrollo de las Tablas de Control
de Acceso para el establecimiento de categorías adecuadas de derechos y restricciones
de acceso y seguridad aplicables a los documentos; presenta la siguiente guía para su
desarrollo e implementación en las entidades Públicas y Privadas que cumplen
funciones públicas.

Las Tablas de Control de Acceso y Seguridad para los Archivos y Documentos, son un
instrumento para implementar políticas, directrices y medidas de seguridad que
permitan proteger la información, así como garantizar el acceso a la información por
los ciudadanos y los grupos de interés. La construcción de este instrumento
archivístico, exige un trabajo colaborativo entre la Alta Dirección, los responsables de
las Áreas de Archivo, Tecnología de la Información, Sistemas de Gestión, Planeación,
Jurídica y los productores de la información en las dependencias o grupo de trabajo.

La construcción de la presente guía, tiene en cuenta las directrices de las Norma

Internacional ISO 15489 – 1 INFORMATION AND DOCUMENTATION. RECORDS
MANAGEMENT. PART 1: GENERAL., en su apartado 8. CONTROL DE REGISTROS, donde
se plantean los principales aspectos que una organización debe tener en cuenta para
elaborarlas y particularmente los lineamientos para articularse a otros sistemas o
controles que la organización haya o tenga previsto implementar. Igualmente se toma
como referente la norma NTC-ISO/IEC 27002 TECNOLOGÍA DE LA INFORMACIÓN.
TÉCNICAS DE SEGURIDAD. CÓDIGO DE PRÁCTICA PARA LA GESTIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN, en su apartado 11.1. Requisitos del Negocio para el Control de
Acceso, donde se establecen las pautas para definir las políticas y directrices que
debería implementar una Entidad.

Existen organizaciones con ventajas competitivas importantes, como la

implementación de Sistemas de Gestión de Riesgos, Sistemas de Gestión de Seguridad

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 5 | 47
de la Información, Sistema Integrado de Gestión, entre otros. Estos sistemas de gestión
tienen herramientas ya desarrolladas e implementadas, a las cuales se pueden
incorporar las políticas e instrumentos archivísticos, con ello se optimizan los tiempos
de implementación y las actividades de gestión del cambio obtienen mayor relevancia
para la organización ya que se encuentran articuladas con los objetivos de negocio de
la Organización.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 6 | 47
 2. ALCANCE
El alcance del presente documento consiste en brindar elementos para la
implementación de políticas para el control de acceso a los archivos y documentos en
una Organización. Comprende la identificación de las necesidades, valoración de los
riesgos, la interacción con los grupos de interés, el entorno organizacional, los
empleados y sus responsabilidades frente a la administración de los archivos,
documentos e información. Las recomendaciones y buenas prácticas consideran los
archivos y documentos tanto en soporte físico como electrónico, en sistemas de
información estructurados y no estructurados, esquemas híbridos de administración de
información y documentos, sistemas de administración de información y archivos en la
nube, entre otros.

Cada organización debe tener en cuenta su entorno normativo y jurídico para fijar las
directrices necesarias acerca del acceso y disposición de los archivos y documentos. En
todo caso, las recomendaciones planteadas en el presente documento no excluyen o
limitan el cumplimiento de las disposiciones jurídicas y normativas, por el contrario,
deben alinearse asegurando los controles necesarios para la protección de los archivos
y documentos, cuya finalidad es la eficiencia, eficacia y la transparencia en la gestión.

Así mismo, el concepto de control de acceso, abarca múltiples temas de orden técnico,
los cuales se limitan al entendimiento que permita al lector tratarlos con Especialistas
en Tecnologías de la Información, Expertos en Gestión Documental o Archivística y
Expertos en Sistemas de Gestión.

Para efectos prácticos las directrices y recomendaciones planteadas no se orientan a la

implementación de sistemas de almacenamiento específicos o tecnologías de
administración de contenido.

El desarrollo de los controles de acceso y seguridad desde la perspectiva de gestión

documental debe entenderse como una herramienta complementaria a las políticas de
seguridad y acceso a la información que la Entidad implemente.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 7 | 47
 3. A QUIEN ESTÁ DIRIGIDO
El documento está dirigido a los líderes responsables de los procesos de gestión
documental y archivo de las entidades públicas y privadas que desempeñan funciones
públicas. Sirve como referencia de implementación de buenas prácticas en el manejo y
gestión de los archivos y documentos de las organizaciones, particularmente para el
control de acceso, seguridad y consulta de los archivos, documentos e información
contenida en los sistemas de información y bases de datos de las organizaciones.

Igualmente, a los responsables de la implementación y despliegue de los sistemas de

gestión de calidad, seguridad de la información y las personas interesadas en
implementar controles para la protección de los archivos y documentos en sus
procesos u organizaciones.

También está dirigida a la Administración Pública en sus diferentes niveles; nacional

departamental, distrital, municipal, entidades territoriales indígenas, entidades que se
creen por ley y entidades del Estado en las distintas ramas del poder y demás
organismos regulados por la Ley 594 de 2000.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 8 | 47
 4. OBJETIVOS

4.1. Objetivo General

Establecer los elementos y directrices para implementar recomendaciones y buenas

prácticas para la elaboración de las Tablas de Control de Acceso y Seguridad para
Archivos y Documentos de las Entidades Públicas o Privadas que cumplen funciones
públicas.

4.2. Objetivos Específicos

 Identificar y desarrollar los principales elementos involucrados en la

formulación de un procedimiento para el control de acceso y seguridad para los
archivos y documentos.

 Orientar a las entidades en la elaboración e implementación de las Tablas de

Control de Acceso y Seguridad para Archivos y Documentos, de conformidad a
lo establecido en el Articulo 2.8.2.5.8 Instrumentos archivísticos para la gestión
documental, del Decreto 1080 de 2015.

 Identificar, valorar y gestionar los riesgos asociados al acceso y seguridad que

tienen los archivos y documentos de una Organización.

 Identificar los elementos normativos y jurídicos que influyen en la valoración de

seguridad y acceso a los archivos y documentos.

 Identificar los principales problemas de seguridad que enfrenta la organización

en relación a la protección y acceso a la información.

 Definir los niveles de restricción o confidencialidad aplicables a los archivos y

documentos, estableciendo restricciones o privilegios.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 9 | 47
 5. ESTRUCTURA DEL DOCUMENTO
El presente documento tiene como estructura conceptual la definición de un
ecosistema para el control de acceso, la relación entre sus componentes:

ECOSISTEMA DE CONTROL DE ACCESO Y SEGURIDAD

Elementos Estratégicos Análisis del Control de Tablas de Control de

Acceso y Seguridad Acceso

Los elementos estratégicos se refieren al alineamiento de los planes y programas

institucionales para el cumplimiento de los objetivos de negocio de las Organizaciones,
es decir, el aporte que hace el control de acceso para cumplir estos objetivos.

Los elementos de control de acceso, corresponden a un ciclo de actividades de

ejecución permanente cuya contribución se orienta a la protección de la información y
la implementación de los controles de seguridad.

A partir de la implementación de los elementos de Control de Acceso, las

organizaciones podrán desarrollar productos y servicios para beneficio de sus grupos
de interés y como estrategia de responsabilidad social.

El control de acceso a los archivos y documentos, trata de la vinculación de los riesgos,

los permisos y restricciones y los instrumentos archivísticos. Hacen parte de esta
relación, el acceso que se aplica a las personas responsables como a los que
administran los archivos.

Los controles de seguridad y acceso a los archivos son aplicables a los Archivos en
Soporte Papel, Archivos Electrónicos y Archivos Electrónicos Mediante Sistemas de
Gestión Documental de Archivo – SGDEA.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 10 | 47
 6. DEFINICIONES
Los términos utilizados en el presente documento corresponden a los citados en la
Norma ISO 15489 – 1. Los demás términos se relacionan a continuación:

Confidencialidad: propiedad que determina que la información no esté disponible ni

sea revelada a individuos, entidades o procesos no autorizados

Evaluación del riesgo: proceso de comparar el riesgo estimado contra criterios de

riesgo dados, para determinar la importancia del riesgo.

Directriz. Descripción que aclara los que se debería hacer y cómo hacerlo, para alcanzar
los objetivos establecidos en las políticas.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 11 | 47
 7. QUE ES EL CONTROL DE ACCESO Y SEGURIDAD PARA
LOS ARCHIVOS Y DOCUMENTOS
El control de acceso tiene como finalidad general ofrecer a las organizaciones los
mecanismos “para proteger la información contra el acceso, recolección, divulgación,
eliminación, alteración y/o destrucción no autorizada1“.

Es importante resaltar que la implementación de un programa de seguridad y control

de acceso, permite a una organización, identificar su responsabilidad por:

La protección de los datos personales: la cual se encuentra regulada por la ley 1581 de
2012 y la cual tiene por objeto “desarrollar el derecho constitucional que tienen todas
las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido
sobre ellas en bases de datos o archivos…” Corresponde a las organizaciones
salvaguardar la información de las personas, tales como datos de identificación,
laborales, académicos, características personales, datos de contacto, salud, étnicos,
religiosos, entre otros.

Derechos de propiedad intelectual, industrial y confidencialidad comercial. Las

personas naturales y jurídicas tienen derechos intelectuales y de explotación comercial
e industrial, que deben protegerse y están reglamentados por la Ley de Derechos de
Autor, así como por el registro nacional de marcas y patentes. Esta información, es un
engranaje fundamental para el sector productivo, cultural y artístico, el cual es
definitivo para garantizar la supervivencia de las Organizaciones y de sus productos en
el sector productivo del País.

Seguridad de la propiedad. Demostrar la propiedad de títulos valores o los derechos

sobre bienes muebles e inmuebles. La seguridad de la propiedad es aplicable a los
bienes del estado como a los bienes privados y se demuestra necesariamente con
documentos de títulos o escrituras, que a su vez definen los límites normativos, su

1ISO. 15489-1:2016. International Organization for Standardization. Information and documentation. Records
management . Part 1: General.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 12 | 47
relación y responsabilidades tributarias, fiscales, financieras y la capacidad para ejercer
dominio y voluntad sobre la propiedad de los bienes.

Seguridad del Estado. Particulares y autoridades procuran y mantener la convivencia

para que todos actúen para el cumplimiento de sus deberes como de sus derechos. El
Estado no es ajeno a esta realidad y la interacción con la sociedad le obliga a fijar
herramientas para garantizar su protección y seguridad ante diversos riesgos o
situaciones no previstas. Dentro de estos mecanismos, se encuentra la protección de la
información de sus funciones, que en determinadas circunstancias puede obtener
valores importantes que pueden generar desigualdad en sus grupos de interés.

La seguridad y acceso a los archivos y documentos, brinda a las organizaciones la

oportunidad de conocer y valorar la información para establecer mecanismos de
mitigación de los riegos por pérdida, modificación o acceso no autorizado.

Acceso a la información. Corresponde a los servicios de información que prestan las

Entidades a la comunidad y sus grupos de interés como parte del compromiso y
responsabilidad social. Los archivos y documentos se constituyen en una fuente de
información valiosa para el restablecimiento de los derechos y deberes ciudadanos, la
prestación adecuada de los servicios de Estado, como también el aseguramiento de la
transparencia en la gestión y la participación. Los servicios de información abren
múltiples posibilidades para brindar nuevos servicios basados en las tecnologías de la
información.

7.1. Beneficios del Control de Acceso y Seguridad

Los principales beneficios de la implementación de controles de acceso y seguridad

para archivos y documentos en las Organizaciones, se encuentran.

 Identificar los documentos con mayor nivel de riesgo para implementar

controles adecuados asegurando la protección de la información.

 Identificar las principales vulnerabilidades de la información para mitigar los

riesgos y el impacto sobre la Entidad.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 13 | 47
  Identificar los problemas de seguridad y acceso que tiene la Entidad y
particularmente los archivos y documentos.

 Diseñar servicios de información ajustados a las necesidades de los grupos de

interés y usuarios.

 Asegurarse que la información es accesible por las personas autorizadas y que

estas conocen las restricciones de uso.

 Establecer una ventaja competitiva frente a otras Entidades

 Establecer estrategias de cooperación entre Entidades del sector o con

Entidades de control para verificar cumplimiento de requisitos

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 14 | 47
 8. REQUERIMIENTOS PREVIOS PARA EL CONTROL DE ACCESO

El propósito de identificar los requerimientos previos, es conocer las herramientas

existentes, para no realizar actividades paralelas y descoordinadas al interior de la
Organización. Al identificar y reconocer su existencia, es recomendable iniciar acciones
que permitan articular las directrices existentes con las directrices de gestión
documental.

Antes de iniciar con el análisis de los elementos de control de acceso y seguridad de los
archivos y documentos, se debe contar con lo siguiente:

Requerimiento Descripción
Sistema  Objetivos misionales de la organización
Integrado de  Caracterización de los procesos y procedimientos de la
Gestión Organización.
 Metas institucionales
 Planes, Programas y Proyectos de gestión documental
 Procedimiento de Auditoria y Seguimiento
 Metodología para el análisis y gestión de riesgos, establecida
por la organización y los resultados del análisis de riesgos
institucionales junto con las acciones de mitigación y gestión
de los riesgos.
Plan Institucional  Planes, programas y proyectos institucionales en gestión
de Archivos documental y archivo.
PINAR
Herramientas del  Cuadro de clasificación Documental y su articulación con:
Sistema de o Los procesos y procedimientos del sistema integrado de
Clasificación gestión (Calidad, Seguridad de la Información, Ambiental,
Seguridad ocupacional, entre otros), siempre y cuando la
organización cuenta con ellos.
o Soporte y Formato en que se encuentra la información,
archivos y documentos de las Series y Subseries

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 15 | 47
 Requerimiento Descripción
Documentales.
o Metadatos y descriptores de las Series y Subseries
documentales.
 Inventarios documentales, completos y actualizados, para
dimensionar los posibles controles de seguridad a
implementar.
 Tabla de Retención Documental.
Directrices de  Políticas de Tecnologías de la Información para control de
Sistemas y Acceso a los sistemas de información y redes de la Entidad.
Tecnología. o Actividades para la asignación de roles y perfiles,
o Actividades para otorgar acceso al esquema de red
corporativo,
o Actividades para otorgar acceso a carpetas compartidas,
 Los Requisitos del Negocio para el Control de Acceso
definidos por el Sistema de Gestión de Seguridad de la
Información.
 Información y políticas del directorio activo.
 Inventario esquemático de los sistemas de información de la
institución, con la descripción funcional y de
almacenamiento, identificando la relación con las series y
subseries documentales de la Tabla de Retención
Documental. (Este inventario debería relacionarse con las
series documentales en el Cuadro de Clasificación
Documental de la Entidad)
Recursos  Conformar un equipo de trabajo interdisciplinario con
personal experto en gestión documental, sistema integrado
de gestión, tecnología, expertos jurídicos y personal experto
de acuerdo con los procesos de negocio que se estén
analizando.
 Información, archivos y documentos de los procesos de la
organización, de acuerdo con las etapas de ciclo vital de los
documentos, Archivos de Gestión, Central, Intermedios e
Histórico.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 16 | 47
 Requerimiento Descripción
Normatividad y  Normograma institucional aplicado a la regulación del objeto
Asuntos jurídicos social y los procesos de la organización. El objetivo es tener
un marco legal para conocer los derechos y responsabilidades
atinentes al acceso y seguridad de la información.
 Normas internas que reglamentan los procesos.
 Acuerdos de confidencialidad.
 Antecedentes de procesos jurídicos por acceso o seguridad
de la información.

NOTA: Si la Organización tiene implementado el Sistema de Gestión de

Seguridad de la Información bajo la Norma ISO 27002, se deberían
articular sus elementos y los trabajos realizados de control de acceso
desde la perspectiva de gestión documental, para asegurar mejores
prácticas y controles más fiables para las Entidades.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 17 | 47
 9. ECOSISTEMA DEL CONTROL DE ACCESO
El control de acceso a los archivos y documentos de una organización se refiere al
conjunto de políticas, directrices, procedimientos, controles y medidas de seguimiento
que implementa una organización para asegurar la protección y acceso a la información
organizacional.

A través del control de acceso se determinan los permisos y privilegios que se otorgan
sobre los archivos y documentos, así como a los usuarios, es decir que
responsabilidades y acciones se puede realizar en relación a un objeto (archivos,
documentos e información). Respecto a los objetos, es importante determinar el
estatus de acceso o nivel de confidencialidad asignado y que se refiere a la protección
de la información contenida en los archivos y documentos.

A continuación, se identifican los principales elementos para el control de acceso:

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 18 | 47
Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 19 | 47
 9.1. Plan Institucional de Archivos de la Entidad – PINAR

Teniendo en cuenta que el Plan Institucional de Archivos de la Entidad – PINAR, es una

herramienta estratégica de Gestión Documental, donde se hacen explicitas las
intenciones, políticas, directrices y prioridades, como también los recursos,
responsabilidades, y el conjunto de medios e instrumentos que serán utilizados para
cumplir con los objetivos y metas propuestas.

Siendo responsabilidad de la alta gerencia, definir el plan de desarrollo institucional,

ésta debe fijar las responsabilidades alrededor del acceso y seguridad de los archivos y
documentos, para que la gerencia realice la revisión y guía de la estrategia corporativa,
establezca e inspeccione el logro de los objetivos de desempeño y asegure la integridad
de los sistemas y controles implementados.

La Entidad debería definir una declaración de política que considere los siguientes
aspectos:

 Asegurar que las estrategias de acceso y seguridad de la información están

alineadas con las actividades misionales de la Organización.

 Analizar los riesgos de la información institucional asignando el correspondiente

nivel y su relación con los sistemas de información.

 Orientar los recursos de tecnologías, económicos, logísticos y de talento

humano al cumplimiento de las metas de acceso y seguridad de los archivos y
documentos, tomando como prioridad aquellos con mayor riesgo para la
Organización y su entorno.

 Establecer los requisitos y ciclos de aprobación formal para las solicitudes de

acceso a la información y documentos.

 Asegurar que se hayan implementado los procesos, mecanismos y herramientas

para el control de acceso y seguridad para los archivos y documentos correctos,
para que la seguridad de la información pueda:

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 20 | 47
 o Asegurar la confiabilidad y trazabilidad de los controles de acceso,
o Establecer las restricciones a la información vital, a quienes no deben
tener acceso a ella,
o Facilitar los mecanismos de acceso a la información a las personas
acorde con las políticas implementadas.

Políticas de Acceso a la Información

La organización debe establecer una declaración de política para brindar apoyo y

orientación a la dirección, de acuerdo con las necesidades y requisitos del negocio.
Establecer el compromiso de la dirección y responsabilidades atinentes a los
empleados y grupos de interés de la Organización. Dependiendo de la complejidad y
tamaño de la organización la declaración puede incorporarse dentro la política del
Sistema de Gestión de Seguridad de la Información (ISO 27000) y aprovechar sus
elementos para impulsar los mecanismos de protección y acceso a los archivos,
documentos e Información.

La política debe proporcionar la orientación precisa para que los ejecutivos y mandos
intermedios elaboren los planes concretos de acción. En todo caso, debe ser simple y
fácil de comprender siendo entendida sin dificultad por todos los integrantes de la
organización. Supone un compromiso formal con la seguridad y acceso a la
información, por lo que ha de ser ampliamente difundida entre los grupos de interés
internos y externos.

La política debe diseñarse ajustada a la realidad, entorno, necesidades y expectativas

de sus clientes y usuarios. El contenido debe hacer referencia a la consecución de un
gran objetivo institucional que marque una diferencia competitiva frente a otras
entidades, la forma en que será conseguido, los recursos y a quienes beneficiará.

Sistemas de Gestión

El propósito de relacionar los sistemas de gestión de la Organización con las políticas y

directrices del Control de Acceso y Seguridad de los Archivos y Documentos, consiste
en aprovechar sus herramientas, así:

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 21 | 47
 Elementos Descripción
Declaración de  Establecer una política documentada de acceso y seguridad
Política para los archivos y documentos de la Organización, teniendo
lo siguiente:

o Si la organización ya cuenta con un Sistema de Gestión de

Seguridad de la Información (ISO 27000) implementado,
debería incorporar y articular al sistema, las directrices de
control de acceso a los archivos y documentos.
Aprovechando las actividades de despliegue y gestión del
cambio.

o Al no contar con este sistema, puede incorporarse al

sistema integrado de gestión o establecer documentación
dentro del sistema de gestión de calidad. Lo importante es
que las directrices estén documentadas y aceptadas por la
organización.
Procesos y  Establecer instrucciones documentadas, directrices, actores y
Procedimientos sus responsabilidades. Las instrucciones deben describir el
acceso oportuno y eficiente, como la recuperación de los
mismos para garantizar la adecuada gestión y operación de
los demás procesos de la organización.
 Normalizar los formatos y registros vinculados a la evidencia
de la implementación de los controles de acceso, consulta y
préstamos.
Mejora  Documentar los mecanismos de mejoramiento continuo de
Continua las políticas, procedimientos, controles técnicos, funcionales
y contramedidas logísticas de seguridad para los archivos y
documentos.
 Establecer las acciones correctivas, preventivas y de
mejoramiento para garantizar el cumplimento de los
requisitos del control de acceso y seguridad.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 22 | 47
 Elementos Descripción
Seguimiento y  Fijar indicadores de gestión que permitan validar la eficacia
Control de los controles, para luego implementar indicadores de
impacto o eficiencia.
Auditoria  Dentro de los planes de auditoria de la Entidad, incluir la
verificación de los requisitos de control de acceso y
seguridad.
 Capacitar al equipo auditor en la verificación de los requisitos
para el control de acceso y seguridad.
 Caracterizar los hallazgos que se encuentran fuera de los
parámetros y criterios del control de acceso y seguridad
establecidos.

9.2. Normograma Orientado a los Procesos de la Organización

Consiste en la revisión de las normas legales vigentes que regulan las actividades de
negocio de una Entidad pública o privada que cumple funciones públicas. Es relevante
entender el marco jurídico de la Entidad con el propósito de identificar los límites de
sus responsabilidades y derechos en relación a la protección, acceso y custodia de la
información, que, en cumplimiento de sus funciones, produce gestiona y almacena. Es
importante confirmar la existencia de este análisis en la Entidad para no repetir los
trabajos.

Como recomendación, se debería tener en cuenta el normograma del sistema de

gestión:

Elementos Descripción de Análisis

Tipo de Norma Identificar el tipo de norma aplicable al negocio y que tenga
relación con la consulta, acceso, protección y custodia de la
información.
 Leyes
 Decretos

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 23 | 47
 Elementos Descripción de Análisis

 Resoluciones
 Circulares
 Jurisprudencia (Sentencias, autos, fallos etc.)
 Acuerdos
 Contratos
 Normas Técnicas
 Estándares de Industria
Nombre de la Norma Relacionar la identificación, fecha de expedición y el nombre
de la norma.
Objetivo de la Norma Describir el objeto de la norma.
Apartados a Cumplir Relacionar los títulos, capítulos, artículos relacionados con el
acceso, protección y seguridad de los archivos y
documentos.
Requisitos de Si la norma exige documentación como requisitos de
Operación operación, tales como:
 Licencias,
 Permisos,
 Contratos de operación,
 Pólizas de seguros,
 Inscripción a Registros e Instrumentos Públicos,
 Certificaciones, entre otros.

Esta documentación puede ser objeto de consulta por

agentes públicos, entidades de vigilancia y control,
organizaciones no gubernamentales, clientes, proveedores,
distribuidores y ciudadanía en general.
Tipo de sanción por Para cada norma identifique el tipo de sanción aplicable a la
Incumplimiento Entidad de llegar a un incumplimiento.

 Penal,

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 24 | 47
 Elementos Descripción de Análisis

 Administrativa,
 Revocación de certificados,
 Revocación de Licencias,
 Multas,
 Pólizas,
 Indemnizaciones,
 Devoluciones, entre otros.
Tipo de Procesos del Seleccione el tipo de proceso al que pertenece:
Sistema de Gestión  Procesos Estratégicos,
 Procesos Misionales,
 Procesos de Apoyo, y
 Procesos de Seguimiento y Control.
Procesos de la Relacionar el nombre del proceso e información adicional
Organización que aporte valor para la definición de los deberes y
responsabilidades de la Organización frente al acceso y
seguridad de los archivos y documentos.

Con este análisis se busca, entender el entorno normativo de la organización y las

normas atinentes a los procesos para determinar la claridad en los derechos y
responsabilidades frente a la producción, consulta, acceso y seguridad de los archivos y
documentos. Posteriormente servirá como fuente de información para el análisis y
valoración de los riesgos.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 25 | 47
 9.3. Análisis de las Actividades del Negocio

El análisis de las actividades de negocio de la Organización se refiere al entendimiento

de sus procesos, caracterizando sus insumos procedimientos y salidas. Como referencia
para el estudio se deben tomar las caracterizaciones de los procesos del sistema de
gestión. De esta forma es posible identificar:

 Que información, documentos y archivos ingresan al proceso como requisito,

 Cuales documentos que se incorporan durante el trámite,
 Que documentos de salida, o insumos para otros procesos,
 Relevancia de los documentos para el proceso y la organización,
 Cuáles son los proveedores y clientes del proceso y que posteriormente estarían
interesados en consultar información.
 Cuáles son los usuarios y beneficiarios potenciales de la información del
proceso.

Estos interrogantes se deben resolver para conocer la información e importancia

dentro de los procesos.

Caracterización de Procesos

Información del Proceso (Objetivo, Alcance, Responsable, Entidad)

Información de Identificación (Codificación, Versión, Fecha)

Ciclo PHVA

Proveedores Entrada Salida Clientes

A P

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 26 | 47
 V H

Recursos Documentos Indicadores

9.4. Análisis de los Activos de Información

De acuerdo con el numeral 7.1.1. Inventario de Activos de la Norma ISO 27002, los
Activos de Información se deben identificar claramente, manteniendo un inventario de
todos los activos importantes para la organización.

La norma sugiere como activos de información, los siguientes:

ACTIVOS DE INFORMACIÓN
Información: La norma propone que la información este contenida en
cualquier tipo de soporte o medio de reproducción,
(Objeto de análisis para incluyendo: bases de datos, archivos de datos,
las Tablas de Control documentación de los procesos, manuales, expedientes y
de Acceso) otros tipos de información relacionados en el Articulo 2 Tipos
de Información del Decreto 2609 de 2012.

Igualmente, objetos de información, tales como Archivos,

Documentos e Información que deben ser protegidos y que
son objeto de consulta por parte de los usuarios y grupos de
interés de la Organización. Los archivos y documentos se
encuentran en soporte papel, objetos o medios
audiovisuales, archivos electrónicos, sistemas de registros

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 27 | 47
 ACTIVOS DE INFORMACIÓN
híbridos, es decir, que los expedientes tienen documentos
originados en papel y electrónicos. Estos últimos, también
coexisten en sistemas de información estructurados, misional
o bases de datos, que tiene preconfigurada la estructura de la
información y los documentos que produce y sistemas de
información no estructurados, tales como repositorios
digitales abiertos, carpetas compartidas en red y carpetas en
los computadores personales.
Activos de Software: Aplicaciones y herramientas informáticas y software del
sistema y programas de cómputo. No se debe considerar la
información que administra los sistemas.
Activos físicos: Equipos de cómputo, comunicaciones, medios de
almacenamiento de información y otros equipos.
Servicios: Servicios de cómputo y comunicaciones, servicios generales,
entre otros.
Personas: El personal con sus calificaciones, habilidades y experiencia.
Activos intangibles: Reputación e imagen corporativa.

Para la definición de las tablas de control de acceso y seguridad para archivos y

documentos, se tomará como objeto de análisis el activo “Información”. Los demás
activos se consideran fuera del alcance y competencia del análisis de gestión
documental.

Uno de los requisitos de seguridad de la información es el inventario de activos

“Información”. Aprovechando las herramientas existentes en la Organización y para no
duplicar esfuerzos, se debería utilizar el Cuadro de Clasificación Documental
garantizando que su contenido esté acorde a los requisitos normativos de seguridad, es
decir, considerar la siguiente información:

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 28 | 47
  Identificar que series documentales son necesarias para garantizar la
continuidad del negocio.
 El soporte en que se encuentra. (Análogo o Digital), especificando en cada caso
el medio de reproducción de las series documentales.
 Propiedad de los activos. Definir el propietario responsable de la información
que bien puede ser un Procesos, unidad administrativa, grupos de trabajo,
dueños de los archivos o documentos.
 Clasificación de Acceso. Definida y otorgada por el propietario del activo de
información. Se establece una clasificación para determinar el grado de
protección en la gestión de la información.
 Restricciones. Relación de las acciones que se pueden realizar sobre los activos
(copiar, editar, reemplazar, consultar, entre otros).
 Periodos de revisión de la Clasificación de Acceso y Restricciones.

El análisis e inventario de los activos ayuda las Entidades a garantizar la protección e

implementación de criterios de acceso. El conocimiento de los activos se convierte en
fuente de información valiosa para la toma de decisiones financieras, de operaciones,
logísticas, legales, entre otras.

El inventario de los activos de información es una condición para elaborar una

adecuada gestión de los riesgos, como se muestra en el siguiente apartado.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 29 | 47
 9.5. Evaluación de Riesgos

La evaluación de los riesgos es un insumo esencial para la definición de las Tablas de

Control de Acceso y Seguridad para los archivos y documentos de la Organización.
Siguiendo las recomendaciones de la Norma ISO 27001, plantea un proceso de
evaluación de los activos de información para identificar su nivel de riesgo.

Existen diversas metodologías para la valoración, análisis y gestión de los riesgos, las
Entidades deberían implementar la metodología que más se ajuste a su entorno y
metas del negocio. El Departamento Administrativo de la Función Pública, propuso a
las Entidades Públicas, la Guía para la Administración del Riesgo2, como un instrumento
normalizado para la gestión de los mismos.

NOTA: Si la Organización considera puede utilizar otras metodologías de

evaluación de riesgos, siempre y cuando no se afecte el cumplimiento de
la normatividad vigente. En caso contrario se deja a consideración la

2 DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA. Guía para la administración del

riesgo. DAFP. Bogotá Setiembre de 2011. Disponible en [en línea] http://goo.gl/n3hUVc

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 30 | 47
 siguiente metodología.

La norma ISO 27001 en el numeral 4.2.1. Establecimiento del Sistema de Gestión de

Seguridad de la Información y los literales c, d, e, y f, propone una serie de elementos a
tener en cuenta para realizar una valoración objetiva de los riesgos.

El proceso de análisis y evaluación de los riesgos propone los siguientes pasos:

Proceso de Análisis y Evaluación de los Riesgos

Elementos de Proceso Descripción de Análisis
Identificación de los Para Gestión Documental, se considera como activo
Activos de Información “Información”. (Visto en el numeral 10.4 Análisis de los
activos de información, del presente documento).
Estimación de los La estimación corresponde a una valoración asignada por
Activos el propietario responsable del activo. Confidencialidad,
Integridad y Disponibilidad del activo. La valoración de
estos factores se puede asignar en una escala cualitativa

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 31 | 47
Elementos de Proceso Descripción de Análisis
de:
1. Bajo,
2. Medio,
3. Alto,
4. Muy Alto
Estableciendo el significado para cada uno de estos
factores.
Identificación de Consiste en identificar las variables que afectan los
Amenazas archivos y documentos. Las amenazas tienen el potencial
de causar daños en la Entidad y sus activos.
Posibilidad de Identificar el nivel de ocurrencia de una amenaza. La
ocurrencia valoración debe ser objetiva y fundamentarse en el
concepto de expertos o los criterios de un comité
evaluador.
Identificación de Identificar las debilidades del activo y que pueden
vulnerabilidades potenciar la ocurrencia de las amenazas causando daño
económico a la Entidad.

Explotación de las Identificar el impacto de las vulnerabilidades en relación a

vulnerabilidades la perdida de confidencialidad, integridad y disponibilidad
sobre los activos. Es decir, el valor económico que tendría
la amenaza en relación a los elementos bajo riesgo.
Estimado del valor de Valorar el impacto en la organización. Valorar cuales son
los activos en riesgo las consecuencias e impacto en la Organización de la
perdida de confidencialidad, integridad y disponibilidad de
los activos “Información”.
Posibilidad de Valorar la posibilidad de ocurrencia de una falla en la
ocurrencia del riesgo seguridad, considerando las amenazas, las
vulnerabilidades, el impacto a los activos y los controles

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 32 | 47
Elementos de Proceso Descripción de Análisis
actuales.
Valor del riesgo de los Determinar un valor para los riesgos identificados a cada
activos activo de información, es decir a las series documentales.
El valor obtenido corresponde al Nivel de Riesgo del Activo
de Información Valorado.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 33 | 47
 Análisis y Evaluación de los Riesgos

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47 contacto@grupoib.co

P á g i n a 34 | 47
 9.6. Análisis de Usuarios

El análisis de los usuarios tiene por objetivo asegurar que los usuarios autorizados
tienen acceso a los archivos y documentos. Corresponde a quienes podrían tener
permisos de acceso a los archivos y documentos en una organización, así como los
permisos y restricciones. Los usuarios se clasifican en internos y externos, encontrando
diferentes grupos de interés que tienen necesidades y circunstancias particulares para
consultar o acceder a los archivos y documentos.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 35 | 47
 Tipo de Usuario Grupos de Interés
Internos.  Empleados y funcionarios,
 Contratistas directos (personas naturales),
Son las personas, grupos u  Junta Directiva,
organizaciones que pertenecen a la  Accionistas,
organización y que interactúan entre  Sindicatos, etc.
sí para cumplir los objetivos de la
Entidad.

Externos.
Se refiere a los grupos de interés
que son externos a la Entidad pero
que ejercen algún grado de
influencia en su operación y gestión.
 Proveedores,
 Competidores,
 Clientes / Usuarios,
 Comunidad Académica e investigadores,
 Gobierno,
 Organizaciones no gubernamentales,
 Asociaciones civiles, entre otros.
 Medios de comunicación

Las Entidades deberían identificar y analizar sus grupos de interés para conocer las
necesidades de información, el propósito, finalidad, frecuencia de acceso. Así como
establecer procedimientos y requisitos documentados de acceso a la información para
cada grupo de interés. Por ejemplo, un investigador académico, que requisitos debe
cumplir y que actividades debe seguir para obtener acceso a la información.

Una vez identificados los usuarios, se deben relacionar con las series y subseries
documentales, de manera que la Entidad pueda implementar las acciones y
procedimientos que garanticen el acceso y protección de la información.

Conoce las necesidades de información de los grupos de interés, permite a las

Entidades diseñar servicios para facilitar los trámites, atender oportunamente los
requerimientos, anticiparse a los requerimientos y mejorar los tiempos de respuesta

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 36 | 47
para la toma de decisiones administrativas internas como los trámites ante los
organismos de control y vigilancia.

9.7. Seguimiento y Mejora

Consiste en la implementación de medidas de control para identificar la conformidad

con las políticas y directrices de control de acceso a los archivos y documentos de la
Entidad. Su finalidad es asegurar que los procesos se cumplen de manera adecuada y
que contribuyen al desempeño organizacional y la satisfacción de los requisitos y
necesidades de los procesos y usuarios.

Los registros de control de acceso deben proveer la información necesaria para que en
las actividades de seguimiento se pueda verificar la satisfacción de los requisitos de la
Entidad y la conformidad con las políticas, procedimientos y normatividad
implementada.

El propósito delas actividades de seguimiento y mejora consiste en:

 Asegurar la conformidad de las políticas y directrices definidas por la

Organización.

 Determinar si los controles implementados son efectivos para la organización.

 Asegurar que los registros de control de acceso son una evidencia confiable y
trazable.

 Contribuir al mejoramiento continuo de las políticas de protección y acceso a

los archivos y documentos.

 Estimular un enfoque de proceso sistemático al negocio.

 Hacer seguimiento al cambio organizacional e implementación de controles.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 37 | 47
  Verificar la correcta implementación de nuevos procesos o acciones de
mejoramiento implementadas.

 Identificar las áreas con mayor riesgo para fijar acciones de mejora.

 Satisfacer requisitos normativos, legales y de los clientes.

 Mejorar la comunicación e intercambio de información entre las dependencias.

RESUMEN DEL ECOSISTEMA DE CONTROL DE ACCESO

Elementos Descripción de Actividades

Plan Institucional de  Plan Institucional
Archivos de la  Sistema de Gestión de Seguridad de la Información – SGSI
Entidad – PINAR / ISO 27000.
 Sistema de Gestión de Calidad
 Sistema Integrado de Gestión
Análisis Normativo  Aplicado a los procesos de la Entidad
 Identificar Derechos y Responsabilidades de acceso a la
información.
 Comprender el entorno de la Entidad
 Sanciones
Análisis de las  Caracterización de los procesos.
Actividades de  Prioridad o importancia de los procesos de la organización.
Negocio  Relación de los procesos.
 Entradas y salidas de los procesos.
Análisis de los  Toda la información debe estar clasificada en el Cuadro de
Activos de Clasificación Documental y Tabla de Retención
Información Documental.
 Establecer relación entre procesos y series documentales.
 Identificar responsables propietarios.
Análisis de Riesgos  Aplicar metodología de riesgos a las serie documentales.
 Asignar Clasificación de Acceso a la información.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 38 | 47
 Elementos Descripción de Actividades

 Identificar nivel de riesgo

 Identificar principales problemas de seguridad.
Análisis de Usuarios  Identificar los grupos de interés (Interno y Externos),
identificando para cada uno las necesidades de
información.
 Identificar quienes podrían eventualmente consultar o no
la información de la Entidad.
Auditoria  Verificar que los controles de acceso se cumplen.
 Identificar hallazgos.
 Asegurar mejora continua.
Tabla de Control de Acceso
Clasificación de  Articular el contenido de la Tabla de Control de Acceso al
Acceso y Sistema de Clasificación (CCD y TRD).
Restricciones  Asignar restricciones a los documentos y usuarios.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 39 | 47
 10. TABLA DE CONTROL DE ACCESO

10.1. Clasificación de Acceso y Restricciones

De acuerdo con la ley 1712 de 2014, Transparencia y del Derecho de Acceso a la

Información Pública Nacional, en sus artículos 6, literales b, c, y d. Se establecen los
criterios de clasificación de la información de las Entidades.

Clasificación de Definición
Información
Información Pública “Es toda información que un sujeto obligado genere,
obtenga, adquiera, o controle en su calidad de tal”.
Información Pública “Es aquella información que estando en poder o custodia de
Restringida un sujeto obligado en su calidad de tal, pertenece al ámbito
propio, particular y privado o semiprivado de una persona
natural o jurídica por lo que su acceso podrá ser negado o
exceptuado, siempre que se trate de las circunstancias
legítimas y necesarias y los derechos particulares o privados
consagrados en el artículo 18 de esta ley.”
Información Pública “Es aquella información que estando en poder o custodia de
Reservada un sujeto obligado en su calidad de tal, es exceptuada de
acceso a la ciudadanía por daño a intereses públicos y bajo
cumplimiento de la totalidad de los requisitos consagrados
en el artículo 19 de esta ley.”

“Artículo 18. Información exceptuada por daño de derechos a personas naturales o

jurídicas. Es toda aquella información pública clasificada, cuyo acceso podrá ser
rechazado o denegado de manera motivada y por escrito, siempre que el acceso
pudiere causar un daño a los siguientes derechos:

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 40 | 47
 a) El derecho de toda persona a la intimidad, bajo las limitaciones propias que
impone la condición de servidor público, en concordancia con lo estipulado;
b) El derecho de toda persona a la vida, la salud o la seguridad;
c) Los secretos comerciales, industriales y profesionales, así como los estipulados
en el parágrafo del artículo 77 de la Ley 1474 de 2011.

Parágrafo. Estas excepciones tienen una duración ilimitada y no deberán aplicarse

cuando la persona natural o jurídica ha consentido en la revelación de sus datos
personales o privados o bien cuando es claro que la información fue entregada como
parte de aquella información que debe estar bajo el régimen de publicidad aplicable.

Artículo 19. Información exceptuada por daño a los intereses públicos. Es toda
aquella información pública reservada, cuyo acceso podrá ser rechazado o denegado
de manera motivada y por escrito en las siguientes circunstancias, siempre que dicho
acceso estuviere expresamente prohibido por una norma legal o constitucional:
a) La defensa y seguridad nacional;
b) La seguridad pública;
c) Las relaciones internacionales;
d) La prevención, investigación y persecución de los delitos y las faltas
disciplinarias, mientras que no se haga efectiva la medida de aseguramiento o
se formule pliego de cargos, según el caso;
e) El debido proceso y la igualdad de las partes en los procesos judiciales;
f) La administración efectiva de la justicia;
g) Los derechos de la infancia y la adolescencia;
h) La estabilidad macroeconómica y financiera del país;
i) La salud pública.

Parágrafo. Se exceptúan también los documentos que contengan las opiniones o

puntos de vista que formen parte del proceso deliberativo de los servidores públicos.”

La Entidad debe implementar ésta clasificación para toda la información de manera se

facilite la implementación de los controles de acceso y seguridad para los archivos y

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 41 | 47
documentos y que los usuarios tengan claridad del procedimiento que deben seguir
para obtener permisos de consulta u otros servicios.

10.2. Permisos sobre los Archivos y Documentos

Los permisos se refieren a las acciones que los usuarios pueden realizar al obtener
acceso a la información, son aplicables de manera independiente a cada grupo de
interés o usuario interesado. Es decir, que los permisos son diferentes para cada grupo
de interés o usuarios.

Se proponen los siguientes permisos aplicables a los archivos y documentos:

 Crear
 Leer
 Editar
 Eliminar
 Reemplazar
 Mover. Cambiar la posición del objeto, expediente o documentos
 Copiar
 Renombrar
 Convertir. Cambiar el formato de los archivos y documentos.
 Transformar. Construir otros productos o formas de presentar la información.
 Distribuir
 Divulgar
 Comercializar
 Control Total

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 42 | 47
 10.3. Formato de Tabla de Control de Acceso

El formato de tabla tiene los siguientes campos para diligenciar:

Campo Descripción
Entidad Productora Corresponde a la Entidad propietaria de los archivos y
documentos que son objeto de control.
Oficina Productora Esta dependencia responsable de los documentos y quien
debe ejercer el cumplimiento de las medidas de control de
acceso.
Código Serie Corresponde al código de la Serie o Subserie documental
asignado en la Tabla de Retención Documental.
Serie Documental Relacione el nombre de la serie o subserie documental que
es objeto de control de acceso.
Nivel de Riesgo Es el resultado de la Evaluación de Riesgo para la Serie o
Subserie Documental.
Clasificación de Consiste en la asignación de los criterios de clasificación de
Acceso la información establecidos en el numeral 10.1 Clasificación
de Acceso y Restricciones para la información de las
Entidades Públicas.
Tipo de Usuario Identificar el tipo de usuario que tiene acceso a los archivos
de la Serie o Subserie Documental.
Grupo de Interés Identifique el grupo de interés que tiene acceso a la
información.
Detalle Se relacionan los datos específicos de los roles o perfiles,
entidades u organizaciones que pueden tener acceso a los
archivos y documentos.
Permisos Se marcan los permisos otorgados a los usuarios o grupos
de interés.
Observaciones Relacionar información acerca de precauciones,

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 43 | 47
 Campo Descripción
procedimientos, formatos que se deben diligenciar como
evidencia de los controles de acceso implementados.

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co

P á g i n a 44 | 47
 Formato de Tabla de Control de Acceso para Archivos y Documentos

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47 contacto@grupoib.co

P á g i n a 45 | 47
 11. BIBLIOGRAFÍA

COLOMBIA. Ley 1712 del 6 de marzo de 2014, de Transparencia y del Derecho de Acceso a la
Información Pública Nacional. Diario Oficial No. 49.084, 6 de marzo de 2014. En línea.
Disponible en [http://www.imprenta.gov.co/diariop/diario2.nivel_3].

ISO 27002:2015. Information technology -- Security techniques -- Code of practice for

information security controls

ISO. 15489-1:2016. International Organization for Standardization. Information and

documentation. Records management . Part 1: General.

ICONTEC. Compendio Sistema de Gestión de la Seguridad de la Información (SGSI). Segunda Ed.

Bogotá: ICONTEC, 2009.

ICONTEC. Tecnología de la información: técnicas de seguridad. Código de práctica para la

gestión de la seguridad de la información / Icontec. Bogotá: ICONTEC, 2008.

MERINO BADA, Cristina. Implantación de un sistema de gestión de seguridad de la información

según ISO 27001: un enfoque práctico. Madrid: FC Editorial, 2011.

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA. Guía para la administración del riesgo.

DAFP. Bogotá Setiembre de 2011. Disponible en [en línea] http://goo.gl/n3hUVc

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co
 Esta es mi pasión, no solamente es
mi trabajo!
Estas son sólo algunas de las maneras en que puedo ayudar a mejorar la
capacidad de tu organización para gestionar mejor su información.

Mis soluciones corporativas

Lee con atención mi oferta de servicios, sin duda encontrarás alguna que se
ajuste a tus necesidades

Bogotá Trade Center Cra. 10 # 97 - 13 Torre B, Of. 202 (57) 390 79 38 – 301 325 91 47
contacto@grupoib.co