TIC-Plan de Tratamientos de Riesgos de Seguridad y Privacidad de La Informacion

Nit: 800.091.
594-4
DG-1.7
GOBERNACION DEL CAQUETA

DESPACHO DEL GOBERNADOR - DIRECCION DE TIC
TIC-Plan de Tratamientos de Riesgos de Seguridad y Privacidad de la
Información
TIC-PLAN DE TRATAMIENTOS DE RIESGOS DE

SEGURIDAD Y PRIVACIDAD DE LA
INFORMACION
Carrera 13 Calle 15 Esquina Centro Tel: 57 (8) 4356672 Línea Gratuita: 018000965505
www.caqueta.gov.co.contactenos@caqueta.gov.co
direcciontic@caqueta.gov.co
Florencia – Caquetá
Nit: 800.091.594-4
DG-1.7
Presupuestos y tiempos - licencias
PLAN DE TRATAMIENTOS DE RIESGOS DE

SEGURIDAD Y PRIVACIDAD DE LA
INFORMACION
DESPACHO DEL GOBERNADOR - DIRECCION DE TIC
Nombre Elaboró Firma

ALEXANDER CARDONA CORTES
Cargo/Rol
Profesional Universitario Dirección de las
TIC – Despacho del Gobernador
Nombre Revisó Firma

HARLEY ENRIQUE GUTIERREZ
Cargo/Rol
ÑUSTEZ
Director de las TIC – Despacho del
Gobernador
Nombre Aprobó Firma
Cargo/Rol
Nit: 800.091.594-4
DG-1.7
1 Contenido
2 INTRODUCCIÓN 4
3 OBJETIVO 6
4 ALCANCE 7
5 OBJETIVOS ESPECIFICOS 7
6 TERMINOS Y DEFINICIONES 9
7 VISION GENERAL DEL PROCESO DE GESTION DE RIESGO EN LA SEGURIDAD DE LA
INFORMACION 13
7.1 ESTABLECIMIENTO DEL CONTEXTO DE RIESGOS DE SEGURIDAD DE LA
INFORMACIÓN 14
7.1.1 Criterios de evaluación del riesgo de seguridad de la información: 14
7.1.2 Criterios de Impacto 15
7.1.3 Criterios de Aceptación 15
7.2 VALORACIÓN DE LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN 16
7.2.1 Identificación del riesgo 16
7.2.2 Estimación del riesgo 19
7.2.3 Determinación del riesgo inherente y residual 22
7.2.4 Evaluación de los riesgos 24
7.3 TRATAMIENTO DE LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN 24
7.4 MONITOREO Y SEGUIMIENTO DE LOS RIESGOS DE SEGURIDAD DE LA
INFORMACIÓN 26
7.5 CRONOGRAMA VALORACION DE RIESGOS DE SEGURIDAD DE LA INFORMACION 26
NIVEL DE RIESGO ACEPTABLE (NRA 27
CRONOGRAMA PLAN DE TRATAMIENTO DE RIESGOS 28
Nit: 800.091.594-4
DG-1.7
2 INTRODUCCIÓN
Hoy día, las instituciones públicas y privadas se encuentran inmersas en la denominada

revolución digital, reconocen el protagonismo de la información en sus procesos
productivos, por tanto la importancia de tener su información adecuadamente identificada
y protegida, como también la proporcionada por sus partes interesadas, enmarcada bajo
las relaciones de cumplimiento, comerciales y contractuales como los son acuerdos de
confidencialidad y demás compromisos, que obligan a dar un tratamiento, manejo y
clasificación a la información bajo una correcta administración y custodia.
La Seguridad de la Información en las empresas tiene como objetivo la protección de los

activos de información en cualquiera de sus estados ante una serie de amenazas o brechas
que atenten contra sus principios fundamentales de confidencialidad, integridad y su
disponibilidad, a través de la implementación de medidas de control de seguridad de la
información, que permitan gestionar y reducir los riesgos e impactos a que está expuesta y
se logre alcanzar el máximo retorno de las inversiones en las oportunidades de negocio.
La Gobernación del Caquetá decide entonces vincular el modelo de administración de los

riesgos de seguridad de la información y las actividades de valoración de mismos riesgos en
cumplimiento de la política de seguridad de la información aprobada por la Alta Dirección,
y como medio o herramienta para el logro de los objetivos de mantener la información de
la Entidad confidencial, integra y disponible, a través de su ciclo de vida desde su captura,
almacenamiento, explotación, hasta su eliminación.
Los principios de protección de la información se enmarcan en:
Nit: 800.091.594-4
DG-1.7
 Confidencialidad: Propiedad que la información sea concedida únicamente a

quien esté autorizado.
 Integridad: Propiedad que la información se mantenga exacta y completa.
 Disponibilidad: propiedad que la información sea accesible y utilizable en el
momento que se requiera.
Nit: 800.091.594-4
DG-1.7
3 OBJETIVO
Brindar a la Gobernación del Caquetá una herramienta con enfoque sistemático que
proporcione las pautas necesarias para desarrollar y fortalecer una adecuada gestión de los
riesgos de seguridad de la información, a través de métodos que faciliten la determinación
del contexto estratégico, la identificación de riesgo y oportunidades, el análisis, la
valoración y expedición de políticas, así como el seguimiento y monitoreo permanente
enfocado a su cumplimiento y mejoramiento continuo.
Nit: 800.091.594-4
DG-1.7
4 ALCANCE
La gestión de riesgos de seguridad de la información y su tratamiento, podrá será aplicada

sobre cualquier proceso dentro de la Gobernación del Caquetá, a cualquier sistema de
información o aspecto particular de control de la Entidad, a través de los principios básicos
y metodológicos para la administración de los riesgos de seguridad de la información, así
como las técnicas, actividades y formularios que permitan y faciliten el desarrollo de las
etapas de reconocimiento del contexto, identificación de los riesgos de seguridad de la
información , análisis y evaluación, opciones de tratamiento o manejo del riesgo según la
zona de riesgo; incluye además pautas y recomendaciones para su seguimiento, monitoreo
y evaluación.
5 OBJETIVOS ESPECIFICOS
En beneficio del apoyo y cumplimiento de los propósitos de la política estratégica de

seguridad de la información en la GOBERNACIÓN DEL CAQUETÁ, se declaran los siguientes
objetivos específicos:
 Brindar lineamientos y principios que propendan por la unificación de criterios para la
administración de los riesgos de seguridad de la información.
 Fortalecer el sistema de gestión de riesgos de la Entidad incorporando controles y

medidas de seguridad de la información que estén acordes al entorno operativo de la
Entidad.
Nit: 800.091.594-4
DG-1.7
 Proteger el valor de los activos de información mediante el control de implementación
de acciones de mitigación frente al riesgo y potencializar las oportunidades asociadas
 Generar una cultura y apropiación de trabajo enfocada a la identificación de los riesgos

de seguridad de la información, y su mitigación.
 Reducir toda posibilidad de que una brecha o evento produzca determinado impacto
bien en la información o cualquier otro activo de información asociado, a través de la
gestión adecuada de los riesgos de la seguridad de la información.
 Lograr y mantener a través de la implementación de medidas de control el nivel de

probabilidad e impacto residual de los riesgos a el nivel aceptable por parte de la Alta
Gerencia.
Nit: 800.091.594-4
DG-1.7
6 TERMINOS Y DEFINICIONES
A continuación, se listan algunos términos y definiciones de términos que se utilizarán

durante el desarrollo de la gestión de riesgos de seguridad de la información, en beneficio
de unificar criterios dentro de la Gobernación del Caquetá .
Administración del riesgo: Conjunto de elementos de control que al Interrelacionarse

brindan a la entidad la capacidad para emprender las acciones necesarias que le permitan
el manejo de los eventos que puedan afectar negativamente el logro de los objetivos
institucionales y protegerla de los efectos ocasionados por su ocurrencia.
Activo de Información: En relación con la seguridad de la información, se refiere a cualquier

información o elemento de valor para los procesos de la Gobernación del Caquetá.
Análisis de riesgos: Es un método sistemático de recopilación, evaluación, registro y
difusión de información necesaria para formular recomendaciones orientadas a la adopción
de una posición o medidas en respuesta a un peligro determinado.
Amenaza: Es la causa potencial de una situación de incidente y no deseada por la
Gobernación del Caquetá
Causa: Son todo aquello que se pueda considerar fuente generadora de eventos (riesgos).
Las fuentes generadoras o agentes generadores son las personas, los métodos, las
herramientas, el entorno, lo económico, los insumos o materiales entre otros.
Confidencialidad: Propiedad de la información de no ponerse a disposición o ser revelada
a individuos, entidades o procesos no autorizados.
Nit: 800.091.594-4
DG-1.7
Consecuencia: Resultado de un evento que afecta los objetivos.
Criterios del riesgo: Términos de referencia frente a los cuales la importancia de un riesgo
se evaluada.
Control: Medida que modifica el riesgo.
Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo
requiera una entidad autorizada.
Evaluación de riesgos: Proceso de comparación de los resultados del análisis del riesgo con
los criterios del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables o
tolerables.
Evento: Un incidente o situación, que ocurre en un lugar particular durante un intervalo de
tiempo específico.
Estimación del riesgo. Proceso para asignar valores a la probabilidad y las consecuencias de
un riesgo.
Evitación del riesgo. Decisión de no involucrarse en una situación de riesgo o tomar acción
para retirarse de dicha situación.
Factores de Riesgo: Situaciones, manifestaciones o características medibles u observables
asociadas a un proceso que generan la presencia de riesgo o tienden a aumentar la
exposición, pueden ser internos o externos a la entidad.
Gestión del riesgo: Actividades coordinadas para dirigir y controlar la Gobernación del
Caquetá con respecto al riesgo, se compone de la evaluación y el tratamiento de riesgos.
Identificación del riesgo. Proceso para encontrar, enumerar y caracterizar los elementos de
riesgo.
Incidente de seguridad de la información: Evento único o serie de eventos de seguridad de
la información inesperados o no deseados que poseen una probabilidad significativa de
Nit: 800.091.594-4
DG-1.7
comprometer las operaciones del negocio y amenazar la seguridad de la información
(Confidencialidad, Integridad y Disponibilidad).
Integridad: Propiedad de la información relativa a su exactitud y completitud.
Impacto. Cambio adverso en el nivel de los objetivos del negocio logrados.
Nivel de riesgo: Magnitud de un riesgo o de una combinación de riesgos, expresada en
términos de la combinación de las consecuencias y su posibilidad.
Matriz de riesgos: Instrumento utilizado para ubicar los riesgos en una determinada zona
de riesgo según la calificación cualitativa de la probabilidad de ocurrencia y del impacto de
un riesgo.
Monitoreo: Mesa de trabajo anual, la cual tiene como finalidad, revisar, actualizar o
redefinir los riesgos de seguridad de la información en cada uno de los procesos, partiendo
del resultado de los seguimientos y/o hallazgos de los entes de con trol o las diferentes
auditorías de los sistemas integrados de gestión.
Propietario del riesgo: Persona o entidad con la responsabilidad de rendir cuentas y la
autoridad para gestionar un riesgo.
Proceso: Conjunto de actividades interrelacionadas o que interactúan para transformar una
entrada en salida.
Riesgo Inherente: Es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto
de los controles.
Riesgo Residual: El riesgo que permanece tras el tratamiento del riesgo o nivel resultante
del riesgo después de aplicar los controles.
Riesgo: Efecto de la incertidumbre sobre los objetivos.
Nit: 800.091.594-4
DG-1.7
Riesgo en la seguridad de la información. Potencial de que una amenaza determinada
explote las vulnerabilidades de los activos o grupos de activos causando así daño a la
Gobernación del Caquetá.
Reducción del riesgo. Acciones que se toman para disminuir la probabilidad las
consecuencias negativas, o ambas, asociadas con un riesgo.
Retención del riesgo. Aceptación de la pérdida o ganancia proveniente de un riesgo
particular
Seguimiento: Mesa de trabajo semestral, en el cual se revisa el cumplimiento del plan de
acción, indicadores y metas de riesgo y se valida la aplicación n de los controles de seguridad
de la información sobre cada uno de los procesos.
Tratamiento del Riesgo: Proceso para modificar el riesgo” (Icontec Internacional, 2011).
Valoración del Riesgo: Proceso global de identificación del riesgo, análisis del riesgo y
evaluación de los riesgos.
Vulnerabilidad: Es aquella debilidad de un activo o grupo de activos de información
Seguridad de la información: Preservación de la confidencialidad, integridad y
disponibilidad de la información.
SGSI: Sistema de Gestión de Seguridad de la Información.
Nit: 800.091.594-4
DG-1.7
7 VISION GENERAL DEL PROCESO DE GESTION DE RIESGO EN LA SEGURIDAD DE LA
INFORMACION
A continuación, se presenta el modelo de gestión de riesgos de seguridad de la información

diseñado basado tanto en la norma ISO/IEC 31000 como en la ISO 27005 aprobado por la
Gobernación del Caquetá Nacional de Infraestructura para la adecuada administración de
riesgos en la seguridad de la información; los elementos que lo componen son:
ESTABLECIMIENTO DE CONTEXTO
VALORACIÓN DEL RIESGO
ANÁLISIS DEL RIESGO
IDENTIFICACIÓN DEL RIESGO
MONITOREO Y REVISIÓN DEL RIESGO

COMUNICACIÓN DEL RIESGO
ESTIMACIÓN DEL RIESGO
EVALUACIÓN DEL RIESGO
DECISIÓN SOBRE EL RIESGO NO

PUNTO 1 Valoración satisfactoria
SI
TRATAMIENTO DEL RIESGO
DECISIÓN SOBRE EL RIESGO NO

PUNTO 2. Tratamiento satisfactorio
SI
ACEPTACIÓN DEL RIESGO
Nit: 800.091.594-4
DG-1.7
La gestión de riesgos de seguridad de la información deberá ser iterativa para las actividades
de valoración de riesgos y/o tratamiento de estos.
7.1 ESTABLECIMIENTO DEL CONTEXTO DE RIESGOS DE SEGURIDAD DE LA

INFORMACIÓN
El contexto de gestión de riesgos de seguridad de la información define los criterios básicos

que serán necesarios para enfocar el ejercicio por parte de la Gobernación del Caquetá y
obtener los resultados esperados, basándose en, la identificación de las fuentes que pueden
dar origen a los riesgos y oportunidades en los procesos de la Gobernación del Caquetá , en
el análisis de las debilidades y amenazas asociadas, en la valoración de los riesgos en
términos de sus consecuencias para la Gobernación del Caquetá y en la probabilidad de su
ocurrencia, al igual que en la construcción de acciones de mitigación en beneficio de lograr
y mantener niveles de riesgos aceptables para la Entidad.
Como criterios para la gestión de riesgos de seguridad de la información se establecen:
7.1.1 Criterios de evaluación del riesgo de seguridad de la información:
La evaluación de los riesgos de seguridad de la información se enfocará en:
 El valor estratégico del proceso de información en la GOBERNACIÓN DEL CAQUETÁ.

 La criticidad de los activos de información involucrados.
Nit: 800.091.594-4
DG-1.7
 Los requisitos legales y reglamentarios, así como las obligaciones contractuales.
 La importancia de la disponibilidad, integridad y confidencialidad para las
operaciones de la GOBERNACIÓN DEL CAQUETÁ
 Las expectativas y percepciones de las partes interesadas y las consecuencias
negativas para el buen nombre y reputación de la Gobernación del Caquetá.
7.1.2 Criterios de Impacto
Los criterios de impacto se especificarán en términos del grado, daño o de los costos para
la Gobernación del Caquetá, causados por un evento de seguridad de la información,
considerando aspectos tales como:
 Nivel de clasificación de los activos de información impactados

 Brechas en la seguridad de la información (pérdida de la confidencialidad, integridad
y disponibilidad)
 Operaciones deterioradas (afectación a partes internas o terceras partes)
 Pérdida del negocio y del valor financiero
 Alteración de planes o fechas límites
 Daños en la reputación
 Incumplimiento de los requisitos legales, reglamentarios o contractuales
7.1.3 Criterios de Aceptación
Los criterios de aceptación dependerán con frecuencia de las políticas, metas, objetivos de
la Gobernación del Caquetá y de las partes interesadas, por tanto, las escalas de aceptación
de riesgos de seguridad de información.
Nit: 800.091.594-4
DG-1.7
7.2 VALORACIÓN DE LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN
Los riesgos se deberán identificar, describir cuantitativamente o cualitativamente y

priorizarse frente a los criterios de evaluación del riesgo y los objetivos relevantes para la
Gobernación del Caquetá, esta fase consta de las siguientes etapas:
La valoración del Riesgo de seguridad de la información consta de las siguientes
actividades:
 Análisis del riesgo
o Identificación de los riesgos

o Estimación del riesgo
 Evaluación del riesgo
7.2.1 Identificación del riesgo
Para la evaluación de riesgos de seguridad de la información en primer lugar se deberán

identificar los activos de información por proceso en evaluación.
Los activos de información se clasifican en dos tipos:
a) Primarios:
a. Procesos o subprocesos y actividades del Negocio: procesos cuya pérdida o

degradación hacen imposible llevar a cabo la misión de la Gobernación del
Nit: 800.091.594-4
DG-1.7
Caquetá ; procesos que contienen procesos secretos o que implican tecnología
propietaria; procesos que, si se modifican, pueden afectar de manera muy
significativa el cumplimiento de la misión de la Gobernación del Caquetá;
procesos que son necesarios para el cumplimiento de los requisitos
contractuales, legales o reglamentarios.
b. Información: información vital para la ejecución de la misión o el negocio de

la Gobernación del Caquetá; información personal que se puede definir
específicamente en el sentido de las leyes relacionadas con la privacidad;
información estratégica que se requiere para alcanzar los objetivos
determinados por las orientaciones estratégicas; información del alto costo
cuya recolección, almacenamiento, procesamiento y transmisión exigen un
largo periodo de tiempo y/o implican un alto costo de adquisición, etc.
c. Actividades y procesos de negocio: que tienen que ver con propiedad

intelectual, los que si se degradan hacen imposible la ejecución de las tareas
de la empresa, los necesarios para el cumplimiento legal o contractual, etc.
b) De Soporte
a. Hardware: Consta de todos los elementos físicos que dan soporte a los
procesos (PC, portátiles, servidores, impresoras, discos, documentos en papel,
etc.).
Nit: 800.091.594-4
DG-1.7
b. Software: Consiste en todos los programas que contribuyen al funcionamiento
de un conjunto de procesamiento de datos (sistemas operativos, paquetes de
software o estándar, aplicaciones, mantenimiento o administración, etc.)
c. Redes: Consiste en todos los dispositivos de telecomunicaciones utilizados
para interconectar varios computadores remotos físicamente o los elementos
de un sistema de información (conmutadores, cableado, puntos de acceso,
etc.)
d. Personal: Consiste en todos los grupos de personas involucradas en el sistema
de información (usuarios, desarrolladores, responsables, etc.)
e. Sitio: Comprende todos los lugares en los cuales se pueden aplicar los medios
de seguridad de la Gobernación del Caquetá (Edificios, salas, y sus servicios,
etc.)
f. Estructura organizativa: responsables, áreas, contratistas, etc.
Después de tener una relación con todos los activos se han de conocer las amenazas que
pueden causar daños en la información, los procesos y los soportes. La identificación de las
amenazas y la valoración de los daños que pueden producir se puede obtener preguntando
a los propietarios de los activos, usuarios, expertos, etc.
Posterior a la identificación del listado de activos, sus amenazas y las medidas que ya se han
tomado, a continuación, se revisarán las vulnerabilidades que podrían aprovechar las
amenazas y causar daños a los activos de información de la GOBERNACIÓN DEL CAQUETÁ.
Existen distintos métodos para analizar amenazas, por ejemplo:
 Entrevistas con líderes de procesos y usuarios

 Inspección física
Nit: 800.091.594-4
DG-1.7
 Uso de las herramientas para el escaneo automatizado
Para cada una de las amenazas analizaremos las vulnerabilidades (debilidades) que podrían
ser explotadas.
Finalmente se identificarán las consecuencias, es decir, cómo estas amenazas y

vulnerabilidades podrían afectar la confidencialidad, integridad y disponibilidad de los
activos de información.
7.2.2 Estimación del riesgo
La estimación del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el

impacto de sus consecuencias, calificándolos y evaluándolos con el fin de obtener
información para establecer el nivel de riesgo, su priorización y estrategia de tratamiento
de estos. El objetivo de esta etapa es el de establecer una valoración y priorización de los
riesgos.
Para adelantar la estimación del riesgo se deben considerar los siguientes aspectos:
 Probabilidad: La posibilidad de ocurrencia del riesgo, representa el número de veces
que el riesgo se ha presentado en un determinado tiempo o pudiese presentarse.
 Impacto: Hace referencia a las consecuencias que puede ocasionar a la Gobernación
del Caquetá la materialización del riesgo; se refiere a la magnitud de sus efectos.
Se sugiere realizar este análisis con todas o las personas que más conozcan del proceso, y
que por sus conocimientos o experiencia puedan determinar el impacto y la probabilidad
del riesgo de acuerdo con los rangos señalados en las tablas que se muestran más adelante.
Nit: 800.091.594-4
DG-1.7
Como criterios para la estimación del riesgo desde el enfoque de impacto y consecuencias
se podrán tener en cuenta: pérdidas financieras, costes de reparación o sustitución,
interrupción del servicio, disminución del rendimiento, infracciones legales, pérdida de
ventaja competitiva, daños personales, entre otros.
Además de medir las posibles consecuencias se deberán analizar o estimar la probabilidad
de ocurrencia de situaciones que generen impactos sobre los activos de información o la
operación del negocio.
Formulario para el registro de la estimación de los riesgos de seguridad de la información:
Para realizar el análisis de riesgo de un proceso, se utilizará el “Formato Consolidado

Calificación del Riesgo” (SEPG-F-012) en el cual personas del equipo deberán calificar el
impacto y la probabilidad de cada uno de los riesgos identificados de acuerdo con los niveles
para la estimación de los riesgos.
PROBABILIDAD
Concepto Valor Descripción Frecuencia
1 El evento puede ocurrir sólo en circunstancias No se ha presentado
Raro
excepcionales. en los últimos 5 años
2 Al menos de 1 vez en
Improbable Es muy poco factible que el evento se presente.
Los últimos 5 años.
3 Al menos de 1 vez en
Posible El evento podría ocurrir en algún momento.
Los últimos 2 años.
4 El evento probablemente ocurrirá en la mayoría Al menos de 1 vez en
Probable
de las circunstancias, El último año.
Nit: 800.091.594-4
DG-1.7
Casi 5 Se espera que ocurra en la mayoría de las Más de 1 vez al año.
Certeza circunstancias
Adaptado para la GOBERNACIÓN DEL CAQUETÁ
IMPACTO
Concepto Valor Descripción
La materialización del riesgo puede ser controlado por los participantes del
Insignificante 1
proceso, y no afecta los objetivos del proceso.
La materialización del riesgo ocasiona pequeñas demoras en el
cumplimiento de las actividades del proceso, y no afecta
Menor 6 significativamente el cumplimiento de los objetivos de la Gobernación del
Caquetá. Tiene un impacto bajo en los procesos de otras áreas de la
Gobernación del Caquetá .
La materialización del riesgo demora el cumplimiento de los objetivos del
proceso, y tiene un impacto moderado en los procesos de otras áreas de
Moderado 7 la Gobernación del Caquetá. Puede además causar un deterioro en el
desarrollo del proceso dificultando o retrasando el cumplimiento de sus
objetivos, impidiendo que éste se desarrolle en forma normal.
La materialización del riesgo retrasa el cumplimiento de los objetivos de
la GOBERNACIÓN DEL CAQUETÁ y tiene un impacto significativo en la
imagen pública de la Gobernación del Caquetá y/o de la Nación. Puede
Mayor 11
además generar impactos en: la industria; sectores económicos, el
cumplimiento de acuerdos y obligaciones legales nacionales e
internacionales; multas y las finanzas públicas; entre otras
La materialización del riesgo imposibilita el cumplimiento de los objetivos
Catastrófico 13
de la Gobernación del Caquetá, tiene un impacto catastrófico en la
Nit: 800.091.594-4
DG-1.7
imagen pública de la Gobernación del Caquetá y/o de la Nación. Puede
además generar impactos en: sectores económicos, los mercados; la
industria, el cumplimiento de acuerdos y obligaciones legales nacionales e
internacionales; multas y las finanzas públicas; entre otras.
Adaptado para la GOBERNACIÓN DEL CAQUETÁ
7.2.3 Determinación del riesgo inherente y residual
El análisis del riesgo determinado por su probabilidad e impacto permite tener una primera
evaluación del riesgo inherente (escenario sin controles) y ver el grado de exposición al
riesgo que tiene la entidad. La exposición al riesgo es la ponderación de la probabilidad e
impacto, y se puede ver gráficamente en la matriz de riesgo, instrumento que muestra las
zonas de riesgos y que facilita el análisis gráfico. Permite analizar de manera global los
riesgos que deben priorizarse según la zona en que quedan ubicados los mismos (zona de
riesgo bajo, moderado, alto o extremo) facilitando la Gobernación del Caquetá de
prioridades para la decisión del tratamiento e implementación de planes de acción.
Nit: 800.091.594-4
DG-1.7
Esquema general de Matriz de Riesgo Institucional y Zonas de Riesgo Institucional para la GOBERNACIÓN
DEL CAQUETÁ
Las zonas de riesgo se diferencian por colores y por número de la zona de la siguiente
manera:
Zona de Riesgo
B: Zona de riesgo Baja (Color Verde): 5 zonas, siendo Z- 5 la zona de mayor riesgo.
M: Zona de riesgo Moderada (color Amarillo): 4 zonas, siendo Z- 9 la zona de mayor riesgo.
A: Zona de riesgo Alta (Color Rojo): 8 zonas, siendo Z- 17 la zona de mayor riesgo.
E: Zona de riesgo Extrema (Color Vino tinto): 8 zonas, siendo la Z-25 la de más alto riesgo.
Nit: 800.091.594-4
DG-1.7
7.2.4 Evaluación de los riesgos
Una vez se valoran los impactos, la probabilidad y las consecuencias de los escenarios de
incidentes sobre los activos de información, se obtendrán los niveles de riesgo, para los
cuales se deberán comparar frente a los criterios básicos del contexto, para una adecuada
y pertinente toma de decisiones basada en riesgos de seguridad de la información y en
beneficio de reducir su impacto a la Alta Entidad.
7.3 TRATAMIENTO DE LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN
Como resultado de la etapa de evaluación del riesgo tendremos una lista ordenada de
riesgos o una matriz con la identificación de los niveles de riesgo de acuerdo con la zona de
ubicación, por tanto, se deberá elegir la(s) estrategia(s) de tratamiento del riesgo en virtud
de su valoración y de los criterios establecidos en el contexto de gestión de riesgos.
De acuerdo con el nivel evaluación de los riesgos, se deberá seleccionar la opción de
tratamiento adecuada por cada uno de los riesgos identificados; el costo/beneficio del
tratamiento deberá ser un factor de decisión relevante para la decisión.
COSTO - BENEFICIO OPCION DE TRATAMIENTO
El nivel de riesgo está muy alejado del nivel Evitar el riesgo, su propósito es no
de tolerancia, su costo y tiempo del proceder con la actividad o la acción que da
tratamiento es muy superior a los origen al riesgo (ejemplo, dejando de
beneficios realizar una actividad, tomar otra
alternativa, etc.)
Nit: 800.091.594-4
DG-1.7
El costo del tratamiento por parte de Transferir o compartir el riesgo,
terceros (internos o externos) es más entregando la gestión del riesgo a un
beneficioso que el tratamiento directo tercero (ejemplo, contratando un seguro o
subcontratando el servicio).
El costo y el tiempo del tratamiento es Reducir o Mitigar el riesgo, seleccionando
adecuado a los beneficios e implementando los controles o medidas
adecuadas que logren que se reduzca la
probabilidad o el impacto
La implementación de medidas de control Retener o aceptar el riesgo, no se tomará
adicionales no generará valor agregado la decisión de implementar medidas de
para reducir niveles de ocurrencia o de control adicionales. Monitorizarlo para
impacto. confirmar que no se incrementa
El resultado de esta fase se concreta en un plan de tratamiento de riesgos, es decir, la

selección y justificación de una o varias opciones para cada riesgo identificado, que
permitan establecer la relación de riesgos residuales, es decir, aquellos que aún siguen
existiendo a pesar de las medidas tomadas.
Nota: Será conveniente que para la selección de los controles se consideren posibles
restricciones o limitantes que impidan su elección tales como: restricciones de tiempo,
financieras, técnicas, operativas, culturales, éticas, ambientales, legales, uso, de personal o
las restricciones para la integración de controles nuevos y existentes.
Nit: 800.091.594-4
DG-1.7
7.4 MONITOREO Y SEGUIMIENTO DE LOS RIESGOS DE SEGURIDAD DE LA
INFORMACIÓN
Periódicamente se revisará el valor de los activos, impactos, amenazas, vulnerabilidades y

probabilidades en busca de posibles cambios, que exijan la valoración iterativa de los
riesgos de seguridad de la información.
Los riesgos son dinámicos como la misma Entidad por tanto podrán cambiar de forma o
manera radical sin previo aviso. Por ello es necesaria una supervisión continua que detecte:
(1) nuevos activos o modificaciones en el valor de los activos, (2) nuevas amenazas  (3)
cambios o aparición de nuevas vulnerabilidades  (4) aumento de las consecuencias o
impactos, (5) incidentes de seguridad de la información.
Con el propósito de conocer los estados de cumplimiento de los objetivos de la gestión de
los riesgos de seguridad de la información, se deberán definir esquemas de seguimiento y
medición al sistema de gestión de riesgos de la seguridad de la información que permitan
contextualizar una toma de decisiones de manera oportuna.
7.5 CRONOGRAMA VALORACION DE RIESGOS DE SEGURIDAD DE LA INFORMACION
La Entidad definirá y mantendrá un cronograma de actividades para la realización de la

valoración de los riesgos de seguridad de la información en los procesos de la Gobernación
del Caquetá, basado con su criticidad y su valor para el cumplimiento de la misionalidad de
la GOBERNACIÓN DEL CAQUETÁ.
Nit: 800.091.594-4
DG-1.7
NIVEL DE RIESGO ACEPTABLE (NRA)
Esta evaluación del riesgo residual define el tratamiento del riesgo
Nit: 800.091.594-4
DG-1.7
CRONOGRAMA PLAN DE TRATAMIENTO DE RIESGOS
CRONOGRAMA PLAN DE TRATAMIENTO DE RIESGOS PARA EL AÑO 2021 -2022
Acciones ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DI ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DI
C C
Actualizar el X X
inventario de
activos de
información
Realizar el X X
análisis
técnico con el
fin de
identificar la
causa de la
falla
Revisar y X X
actualizar
metodología
de gestión de
riesgos de
seguridad de
la
información
Nit: 800.091.594-4
DG-1.7
Socialización y X X X X X X
retroalimenta
ción al equipo
responsable
con el fin de
identificar las
causas de la
materializació
n del riesgo
Realizar X X X X X X X X X X X X X X X X
seguimiento a
la efectividad
de los
controles
establecidos
para el
proceso o
definidos en el
procedimiento
Actualizar X X X X X
/Definir el
instrumento
de
identificación
de riesgos de
seguridad de
la
información
Nit: 800.091.594-4
DG-1.7
Capacitar en la X X X X
metodología
de gestión de
riesgos de
seguridad de
la
información
Identificar X X X X X X X X X X X X
riesgos por
proceso
Definir las X X X X X
acciones de
tratamiento
Realizar el X X X X
primer X
seguimiento
de
cumplimiento
a las acciones
establecida
Realizar el X X X X
segundo
seguimiento
de
cumplimiento
a las acciones
establecida
Nit: 800.091.594-4
DG-1.7
Realizar el X X X X
Tercer
seguimiento
de
cumplimiento
a las acciones
establecida
PLANILLA DE SEGUIMIENTO PROPUESTA
Mapa de
Riesgos de
Nit: 800.091.594-4
DG-1.7
Seguridad de la
Información
ANÁLISIS
DEL IDENTIFICAC MANEJO DEL RIESGO
CONTEXT IDENTIFICACIÓN DEL RIESGO
RIESGO IÓN DE RESIDUAL - Plan de
O RIESGO RESIDUAL
INHERENT CONTROLES Tratamiento de Riesgos
E
O
Res
pc Pe
pon
Op Res Zo io O Res rio
sabl Z
cio pon na ne bj pon do
De e de o De
Tipo nes sab de s eti sab /
Acti scr dete n scr
de de le Ri de vo le Fe In
vo ipci rmin Vuln Pro Im a ipci Pro Im Co Ac
Activ N Ri Am ma de es m de de ch di
de ón ar la erabi bab pa d ón bab pa ntr tivi
o de r es ena nej eje go an l Eje a ca
Infor del mat lidad ilid ct e del ilid ct ole da
Infor o go zas o cut R ej C cut de do
maci Rie erial es ad o Ri co ad o s d
maci del ar es o o ar Ej r
ón sg izaci es ntr
ón rie el id de nt el ec
o ón g ol
sg con ua l ro con uc
del o
o trol l rie l trol ió
ries
sg n
go
o
Nit: 800.091.594-4
DG-1.7
Acce Acci Pro
so 1. ones gra
inde Soci enca ma
bido aliza mina Estr
a la ción das até
plata y a gic
Acc
form retro prev o:
eso
a alim enir Go
ind
tecn enta el bier
ebi Acce
ológi ción acce no
do so
ca al so y
COMP o inde
de la equi inde Ge
ONEN mal bido Polí
entid po bido stió
TE DE inte o tica
RED: nci
ad,
mal Insole
resp o n
s de
01/
gene onsa mal de 01/
*Firew ona inten ncia seg
rand M M ble inten M TIC
all do
o Direc cion tecnol
con cion Dire par
urid
Pre Dire 202
*Optim a ado ógica OD od OD ad y
daño cion RAR el finado ccio RAR Baj a la Con ve ccio 1-
izador las
en
a las de los ER er de a las
ER CT
priv
*Mikro plat de plata sistem O n de O a acid trol ntiv n de 30/
los AD ad ident plata AD eI o
tik afor TIC form as de TIC ad TIC 05/
*Switc ma
siste
as inform O a ificarform O de
mas las as Inici 202
h s tecn ación la
*Alma tec
y/o
ológi
caus tecn ativ
info 1
vuln as ológi a:
cenam nol cas rma
eraci de la cas Ge
iento ógi de la ción
ón mate de la stió
cas entid
de rializentid n
de ad
los ació ad a de
la
mis n del travé Seg
enti
mos riesg s de urid
dad
por o la ad
el actu y
uso 2. aliza Priv
inad Reali ción aci
ecua zar de dad
do segu los de
Nit: 800.091.594-4
DG-1.7
de la imie contr la
infor nto a oles Info
maci la exist rma
ón, efect ente ció
caus ivida sy n
ando d de el
pérdi los fortal
da contr ecim
de la oles iento
infor esta en la
maci bleci impl
ón, dos eme
daño para ntaci
en el ón
los proc de
siste eso los
mas o punt
y/o defin os
vuln idos de
eraci en el contr
ón proc ol
de edim
los iento
mis
mos,
afect
ando
la
disp
onibi
lidad
,
confi
denc
ialid
ad e
Nit: 800.091.594-4
DG-1.7
integ
ridad
de la
infor
maci
ón
Pro
cedi
Debilid
mie
ad en
nto
el
de
direcci
onami
gest 01/
ión 01/
ento
M de
Direc del Dire inci Pre Dire 202
sistem MA od MA
cion RAR ccio RAR Baj den Con ve ccio 1-
a de YO er YO tes
de seguri O n de O a trol ntiv n de 30/
R ad R seg o
TIC dad de TIC TIC 05/
la a urid
ad 202
inform
ación
de 1
la
de la
info
Entida
rma
d.
ción
-
Nit: 800.091.594-4
DG-1.7
Posi Ataq Acci Pro
bilid ues 1. ones gra
ad en la Soci orien ma
Pos de red aliza tada Estr
ibili ataq por ción sa até
dad ues intru y prev gic
de en la sion retro eir o:
dañ red es alim que Go
HARD os en de enta se bier
WARE en los Hack ción mate no
Debilid
: los equi ers, al rialic y
ad en
*Switc equ pos aplic equi en Ge Polí
el
h HP ipo del ando po daño stió tica
direcci
*Admi s data la
onami
resp s en n s de 01/
nistrad del cent técni onsa los de seg 02/
ento
or dat er ca ble equi TIC urid
Servid ace com Direc de
del
con pos Dire par ad y Pre Dire 202
sistem MA MA
ores nter o los cion trash POSI Baj el findel ccio POSI Baj a la priv Con ve ccio 1-
de gen son ing,
a de YO de data
YO CT acid
de seguri BLE a n de BLE a trol ntiv n de 30/
domini era (MA la R ident cent R eI ad o
o ndo LWA
TIC prop
dad de
ificarer
TIC de
TIC 04/
la 202
Servid per RE - agac las gene Inici la
inform
or de did RAN ión
ación
caus rand ativ info 1
Archiv a SOM de as o a: rma
de la
os de WA códi de la perdi Ge ción
Entida
Servid la RE - go mate da stió
d.
or info Dos mali rializde la n
NAS rma - cios ació infor de
ció ESC oy n del maci Seg
n ANE las riesg ón urid
en O técni o en la ad
la DE cas Entid y
Enti PUE de 2. ad, Priv
dad RTO inge Reali para aci
S- nierí zar lo dad
ARP a segu cual de
Nit: 800.091.594-4
DG-1.7
SPO soci imie es la
OFI al nto a nece Info
NG - la sario rma
MAN efect actu ció
IN ivida aliza n
THE d de r,
MID los apro
DLE contr bar y
- oles publi
SQL esta car
INY bleci el
ECC dos man
ION para ual
- el de
PHI proc Políti
SSI eso cas
NG - o de
WEB defin segu
DEF idos ridad
ACE en el de la
MEN proc infor
T edim maci
entre iento ón y
otros reali
) zar
afect segu
ando imie
la nto
disp al
onibi man
lidad ual
, de
confi políti
denc cas
ialid de
ad e segu
Nit: 800.091.594-4
DG-1.7
integ ridad
ridad de la
de la infor
infor maci
maci ón y
ón a los
de la contr
com oles
unid esta
ad bleci
de dos
Minc en el
ienci anex
as o de
la
norm
a
2700
2:20
13
Debilid
ades Polí
técnica tica
s del s de 01/
person seg 04/
al de urid
Direc infraes Dire ad y Pre Dire 202
ME ME
cion tructur POSI Baj ccio POSI Baj priv Con ve ccio 1-
a para
NO NO acid
de BLE a n de BLE a trol ntiv n de 30/
el R R ad o
TIC manej
TIC de
TIC 05/
o de la 202
los info 1
equipo rma
de la ción
infraes
Nit: 800.091.594-4
DG-1.7
tructur
a
tecnol
ógica
Posi Acci
SOFT bilid 1. ones Pro
WARE ad Soci dirigi gra
*Servi de aliza das ma
cios no ción a Estr
web gara y prev até
Falla
de la ntiza retro enir gic Pro
Pos s
entida r que Debilid alim falen o: cedi
ible tecn
d la ad en enta cias Go mie
s ológi
- infor el ción en la bier nto
fale cas
Pagin maci direcci al disp no de
a web
nci
ón
en:
onami equi onibi y gest
01/
as Com 06/
Mincie sea ento po lidad Ge ión
en unic
ncias
la
acce Direc acio
del resp de la Dire stió de
Pre Dire 202
- sible sistem ME onsa infor ME n inci
dis cion nes, POSI Baj ccio POSI Baj Con ve ccio 1-
SYSM
pon
y
Hard
a de NO ble maci NO de den
AN usab de seguri BLE a con ón, n de BLE a TIC tes trol ntiv n de 30/
ibili ware R R o
-
dad
le TIC ,
dad de el fin para TIC par seg TIC 08/
Sicaqu bajo la de lo a la urid 202
de Soft
eta dem inform ident cual CT ad
-
la
anda
ware
ación ificar es eI de 1
info ,
Infodo de de la las nece la
rma Base
c los Entida caus sario Inici info
ció s de
- usua d. as reali ativ rma
n Dato
Infokro rios de la zar a: ción
s
nos autor mate segu Ge
- izad rializ imie stió
Infobit os, ació nto n
coin que n del al de
* no riesg cum Seg
Firma esté o plimi urid
Nit: 800.091.594-4
DG-1.7
de disp ento ad
seguri onibl 2. de la y
dad e en Reali políti Priv
- todo zar ca aci
Sistem mom el de dad
as ento, análi segu de
Operat por sis ridad la
ivos interr técni de la Info
PC upci co infor rma
softwa ones con maci ció
re del el fin ón; n
* servi de reali
Almac cio ident zar
enami por ificar prue
ento corte la bas
servid s de caus de
or elect a de vuln
-Sede ricid la erabi
Electr ad, falla lidad
onica fallo a la
s de infra
hard estru
ware ctura
, tecn
daño ológi
de ca;
los reali
siste zar
mas prue
de bas
clim de
atiza Ethic
ción al
del Hack
data ing y
cent reali
Nit: 800.091.594-4
DG-1.7
er y zar
daño prue
y/o bas
desc de
arga segu
de ridad
las a las
bater aplic
ías acio
del nes
equi de la
po entid
UPS ad
,
daño
s
prov
ocad
os
por
mal
funci
ona
mien
to o
uso
de
los
equi
pos
tecn
ológi
cos,
etc.
Nit: 800.091.594-4
DG-1.7
Pro
cedi
01/
Falta mie 08/
Direc de Dire nto
Pre Dire 202
planes ME ME de
cion POSI Baj ccio POSI Baj Con ve ccio 1-
de NO NO gest
de mante BLE a n de BLE a ión trol ntiv n de 30/
R R o
TIC nimien TIC de TIC 10/
to cam 202
bios
- 1
Debilid
ades
para
garanti
zar
inform
Polí
ación
tica
integra
da,
s de 01/
seg 10/
compl
urid
Direc eta y Dire ad y Pre Dire 202
oportu ME ME
cion POSI Baj ccio POSI Baj priv Con ve ccio 1-
na que NO NO acid
de apoye BLE a n de BLE a trol ntiv n de 30/
R R ad o
TIC la TIC de
TIC 12/
toma 202
la
de
decisio
info 1
rma
nes
ción
(conoc
imient
o
ubicaci
ón de
donde
Nit: 800.091.594-4
DG-1.7
está la
inform
ación)
COMP Per Perd Acci Pro

Falta
ONEN did ida ones gra
de
TE DE a de la enca ma
Cont
RED: de conti mina Estr
igen
la nuid das até
cia
(Switc con ad a gic
hs) tinu de prev o:
Afect Capaci Pro
ida los enir Go
ando dad cedi
SERVI d servi que bier
la limitad mie
DORE de cios se no
disp a de nto
S los y/o
onibi espaci
afect y
Ges
01/
*Servi ser proc e la Ge 01/
lidad o de tión
dores vici esos conti stió
de os de la Direc , almac
nuid Dire Mo n
de
Pre Dire 202
confi enami CASI MA Ext No ME Inci
Almac y/o entid cion ad ccio POSI der de Con ve ccio 2-
enami pro ad
denc ento SEG YO re Aplic
de
NO TIC
den
de ialid de los a n de BLE ad tes trol ntiv n de 30/
ento ces debi URO R ma los R par o
*Servi os do a
TIC ad e servid
servi
TIC a a la
seg TIC 05/
integ ores urid 202
dores de la cios CT
ridad tecnol ad
de la ause
de la ógicos
y/o eI
de 2
aplica enti ncia proc
infor de la la
ciones dad de esos Inici
maci Entida info
*Servi deb un de la ativ
ón d. rma
dores ido BCP entid a:
de la ción
de a la " ad Ge
com
base aus Plan debi stió
unid
de enc de do a n
ad
datos ia Cont la de
de
de inuid ause Seg
Minc
SOFT un ad ncia urid
Nit: 800.091.594-4
DG-1.7
WARE BC del ienci de ad
*SYS P " Neg as un y
MAN Pla ocio" BCP Priv
*PAGI n " aci
NA de Plan dad
WEB Co de de
GOBE ntin Cont la
RNAC uid inuid Info
ION ad ad rma
*SED del del ció
EELE Ne Neg n
CTRO goc ocio"
NICA io"
*INFO
DOC
Intrusi
Cap
ón a la
acit
platafo
ació
rma
ny
tecnol
sen
01/
ógica 08/
sibil
por
Direc Suplan Dire izac Dire 202
MA MA ión
cion tación POSI Baj ccio POSI Baj Con Det ccio 2-
de
YO YO en ecti
de BLE a n de BLE a seg trol vo n de 30/
Identid R R
TIC ad en
TIC urid TIC 10/
ad 202
el uso
de
de los
la 2
equipo
info
s de
rma
seguri
ción
dad
Nit: 800.091.594-4
DG-1.7
Polí
tica
Ausen
s de 01/
seg 10/
cia de
M urid
Direc planes Dire ad y Pre Dire 202
de MA od MA
cion POSI ccio POSI Baj priv Con ve ccio 2-
contin YO er YO acid
de uidad BLE n de BLE a trol ntiv n de 30/
R ad R ad o
TIC del TIC TIC 011
negoci a de
la /20
o
info 22
rma
ción

TIC-Plan de Tratamientos de Riesgos de Seguridad y Privacidad de La Informacion

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

TIC-Plan de Tratamientos de Riesgos de Seguridad y Privacidad de La Informacion

Cargado por

Copyright:

Formatos disponibles

Nit: 800.091.

GOBERNACION DEL CAQUETA

TIC-PLAN DE TRATAMIENTOS DE RIESGOS DE

Presupuestos y tiempos - licencias

PLAN DE TRATAMIENTOS DE RIESGOS DE

DESPACHO DEL GOBERNADOR - DIRECCION DE TIC

Nombre Elaboró Firma

Nombre Revisó Firma

Nombre Aprobó Firma

Hoy día, las instituciones públicas y privadas se encuentran inmersas en la denominada

La Seguridad de la Información en las empresas tiene como objetivo la protección de los

La Gobernación del Caquetá decide entonces vincular el modelo de administración de los

Los principios de protección de la información se enmarcan en:

 Confidencialidad: Propiedad que la información sea concedida únicamente a

La gestión de riesgos de seguridad de la información y su tratamiento, podrá será aplicada

En beneficio del apoyo y cumplimiento de los propósitos de la política estratégica de

 Fortalecer el sistema de gestión de riesgos de la Entidad incorporando controles y

 Generar una cultura y apropiación de trabajo enfocada a la identificación de los riesgos

 Lograr y mantener a través de la implementación de medidas de control el nivel de

A continuación, se listan algunos términos y definiciones de términos que se utilizarán

Administración del riesgo: Conjunto de elementos de control que al Interrelacionarse

Activo de Información: En relación con la seguridad de la información, se refiere a cualquier

A continuación, se presenta el modelo de gestión de riesgos de seguridad de la información

VALORACIÓN DEL RIESGO

ANÁLISIS DEL RIESGO

IDENTIFICACIÓN DEL RIESGO

MONITOREO Y REVISIÓN DEL RIESGO

ESTIMACIÓN DEL RIESGO

EVALUACIÓN DEL RIESGO

DECISIÓN SOBRE EL RIESGO NO

TRATAMIENTO DEL RIESGO

DECISIÓN SOBRE EL RIESGO NO

ACEPTACIÓN DEL RIESGO

7.1 ESTABLECIMIENTO DEL CONTEXTO DE RIESGOS DE SEGURIDAD DE LA

El contexto de gestión de riesgos de seguridad de la información define los criterios básicos

Como criterios para la gestión de riesgos de seguridad de la información se establecen:

7.1.1 Criterios de evaluación del riesgo de seguridad de la información:

La evaluación de los riesgos de seguridad de la información se enfocará en:

 El valor estratégico del proceso de información en la GOBERNACIÓN DEL CAQUETÁ.

7.1.2 Criterios de Impacto

 Nivel de clasificación de los activos de información impactados

7.1.3 Criterios de Aceptación

Los riesgos se deberán identificar, describir cuantitativamente o cualitativamente y

o Identificación de los riesgos

 Evaluación del riesgo

7.2.1 Identificación del riesgo

Para la evaluación de riesgos de seguridad de la información en primer lugar se deberán

a. Procesos o subprocesos y actividades del Negocio: procesos cuya pérdida o

b. Información: información vital para la ejecución de la misión o el negocio de

c. Actividades y procesos de negocio: que tienen que ver con propiedad

 Entrevistas con líderes de procesos y usuarios

Finalmente se identificarán las consecuencias, es decir, cómo estas amenazas y

7.2.2 Estimación del riesgo

La estimación del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el

Para realizar el análisis de riesgo de un proceso, se utilizará el “Formato Consolidado

7.2.3 Determinación del riesgo inherente y residual

7.3 TRATAMIENTO DE LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

El resultado de esta fase se concreta en un plan de tratamiento de riesgos, es decir, la

Periódicamente se revisará el valor de los activos, impactos, amenazas, vulnerabilidades y

7.5 CRONOGRAMA VALORACION DE RIESGOS DE SEGURIDAD DE LA INFORMACION

La Entidad definirá y mantendrá un cronograma de actividades para la realización de la

NIVEL DE RIESGO ACEPTABLE (NRA)

Esta evaluación del riesgo residual define el tratamiento del riesgo