MATRIZ DE RIESGOS

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SGSI

NOVIEMBRE DE 2021
 ÁREA DE TECNOLOGÍAS Y SISTEMAS DE
INFORMACIÓN

En el marco del Modelo de Seguridad y Privacidad de la Información y teniendo

en cuenta los lineamientos para la Administración del Riesgo (L-DE-01) de la
Presidencia de la República, a continuación, se describen los riegos del Sistema de
Gestión de la Seguridad de la Información.

MATRIZ DE RIESGOS
Sistema de Gestión de la Seguridad de la Información.

Nombre del Tipo de

No. Descripción del Riesgo Causas Efectos Probabilidad Impacto Controles
Riesgo riesgo

Mala identificación de los Aplicación del

Indisponibilidad de
requisitos técnicos y procedimiento de
los servicios de TICs
funcionales control de cambios
Pruebas de los
Violación a las servicios
Errores humanos políticas de tecnológicos
seguridad replicados en el
centro alterno
Este riesgo es que los No cumplimiento del
Posibilidad que Pérdida de imagen Entrega de Rol
servicios que hacen parte procedimiento establecido
los servicios TICS
del Área de Tecnologías y
1 presenten pérdida SGSI Probable Mayor
Sistemas de Información, Error en la manipulación Quejas, reclamos Monitoreo continuo
de disponibilidad -
puedan estar no de la Plataforma frente a la prestación de los servicios
SGSI
disponibles Tecnológica de servicios tecnológicos

Dualidad de tareas en los Implementación de

funcionarios actualizaciones
No activación de registros
de logs
Error en las
configuraciones de los
controles
Ejecución de los
Retrasos en los procedimientos de
Usuarios sin cultura
procesos de los Backups,de
Informática
funcionarios configuración de
SAN
Problemas de
Seguridad Nacional Políticas de
Fallas Técnicas de
En caso de que se (perdida de Seguridad de la
Hardware
presente perdida de Información Información
Posibilidad que la
información pública reservada)
documentación
reservada o pública
pública reservada
clasificada, lo que puede Pérdida de
o pública Mantener operativas
ocasionar afectación en la credibilidad de las
clasificada, que Conflicto Armado las herramientas
imagen de la Entidad, es herramientas
2 se encuentra en SGSI posible Mayor tecnológicas
por lo cual el DAPRE, a informáticas
la plataforma de
través del área de Monitoreo de
TI, esté con
Tecnologías y Sistemas Sanciones legales y herramientas de
pérdida de Vandalismo Informático
de Información, genera disciplinarias seguridad de la
información -
controles que brinden y información
SGSI
eviten la materialización
del riesgo Desconocimiento del
Contraseñas
manual de políticas de
seguras
seguridad.

Usuarios inconformes que Herramienta

puedan atentar contra la prevención de
seguridad de la pérdida de
información información (DLP)

1
 ÁREA DE TECNOLOGÍAS Y SISTEMAS DE
INFORMACIÓN

Nombre del Tipo de

No. Descripción del Riesgo Causas Efectos Probabilidad Impacto Controles
Riesgo riesgo

Falta de conocimiento
técnico en el personal que Autenticación de dos
administra la plataforma factores
informática

Falta de verificación de
vulnerabilidades de la Entrega de Rol
plataforma TIC
Cifrado de
Información pública
Errores Humanos
clasificada y pública
reservada
Verificación de
Ataques cibernéticos y
vulnerabilidades de
delitos informáticos
la plataforma TIC
Obsolescencia de la
plataforma
Incumplimiento de las
políticas de seguridad
Dualidad de tareas en los
funcionarios

Falta de verificación de
borrado seguro de
equipos de cómputo

Pérdida de equipos
tecnológicos con
información contenida

Políticas y
No se realiza el Afectación de la
Procedimiento de la
procedimiento de Borrado Imagen de la
Seguridad de la
Seguro Entidad
Información
La información cuando ha Pérdida de equipos Retrasos en los
dejado de utilizarse se Borrado Seguro para
tecnológicos con procesos de los
debe destruir de una equipos.
información contenida funcionarios
forma segura, porque la
información clasificada o Desconocimiento del Retrasos en los
Eliminación de
reservada contenida en manual de políticas de procesos de los
Documentos
medios físicos como: seguridad funcionarios
hojas de papel, carpetas,
Posibilidad que la Problemas de
folletos, dispositivos de
información Seguridad Nacional
almacenamiento Usuarios sin cultura Criptografía a la
clasificada o (pérdida de
3 (memoria USB, disco SGSI Informática Probable Catastrófico información
reservada se Información
duro), medios magnéticos
emplee para Uso reservada)
(cintas para Backup,
Indebido - SGSI
Disquete), medios ópticos
(CD, DVD) , puede ser Desconocimiento Pérdida de
manipulada o utilizada por procedimiento de credibilidad de las
delincuentes para afectar eliminación de herramientas
la imagen de la Entidad y Documentos informáticas
de este modo afectando
la confidencialidad de la Desconocimiento de Baja Sanciones legales y
información de Bienes disciplinarias

Desconocimiento del
manual de políticas de
seguridad

Los ataques cibernéticos Afectación de la Gestión de las

se pueden presentar en la Ataques cibernéticos y
Posibilidad que Imagen de la vulnerabilidades
Entidad ocasionados por delitos informáticos
los sistemas de Entidad técnicas
personas
información sean
malintencionadas
afectados por Falta de conocimiento Seguridad de
(ciberatacantes), Retrasos en los
ataques técnico en el personal que servicios de las
4 afectando los aplicativos SGSI procesos de los Casi seguro
cibernéticos administra la plataforma Catastrófico aplicaciones en
informáticos, páginas funcionarios
generando informática redes públicas
Web y equipos que
pérdida de
contienen y procesan
información - Falta de Verificación de Retrasos en los
información, Revisión contra
SGSI vulnerabilidades de la procesos de los
comprometiendo la códigos maliciosos
Confidencialidad, plataforma TIC contratistas

2
 ÁREA DE TECNOLOGÍAS Y SISTEMAS DE
INFORMACIÓN

Nombre del Tipo de

No. Descripción del Riesgo Causas Efectos Probabilidad Impacto Controles
Riesgo riesgo

Integridad y
Problemas de
Disponibilidad de la
Seguridad Nacional
información Obsolescencia de la
(pérdida de Separación de redes
plataforma
Información
reservada)

Pérdida de
Desconocimiento Manual
credibilidad de las Perímetro de
de políticas de Seguridad
herramientas Seguridad Física
de la Información
informáticas
Control de acceso a
Sanciones legales y
código fuente de
disciplinarias
Programas
Contraseñas
seguras
Revisión de la
configuración y
afinamiento de las
herramientas de
seguridad
informática.
Retrasos en los
Fallas en los equipos Pruebas de
procesos de los
Tecnológicos disponibilidad
funcionarios.

Problemas de
Seguridad Nacional
Falta de Mantenimientos Ejecución de
Posibilidad que (perdida de
preventivos cambios
los activos de Información
información se La Entidad pueden ser reservada)
afecten o afectada al no tener la
presenten prestación de sus Pérdida de Documentación para
5 SGSI Desconocimiento del credibilidad de las Probable Mayor la disponibilidad de
situaciones servicios por perdida de
adversas por disponibilidad de la Manual de Políticas herramientas los activos de
pérdida de Información informáticas información
disponibilidad -
Sanciones legales y
SGSI
disciplinarias

Equipos desactualizados Retrasos en los

procesos de los
contratistas

Acceso de funcionarios
Deterioro o Visitas periódicas de
no autorizados a los
debilitamiento de los validación del estado
espacios físicos donde
soportes de los archivos de
reposan los archivos de la
documentales gestión
Entidad
Tanto en el Archivo
Central como en las Posibles hallazgos
dependencias del DAPRE Espacios físicos y en auditorías
Depósitos y
debe existir el debido mobiliario que no cumplen internas o externas,
estantería para el
manejo a la con los requisitos técnicos o en visita de
almacenamiento de
Activos documentación a cargo, y de seguridad para la inspección y
la documentación de
documentales de ya que los archivos conservación y custodia vigilancia del Archivo
archivo
los archivos del constituyen la memoria de los archivos General de la
DAPRE con institucional de la Entidad, Nación
eventos de hurto, su daño o pérdida puede
6 SGSI Posible Catastrófico
pérdida, daño de causar graves
Documentación con
los documentos o traumatismos a la gestión, características de
fuga de su inconvenientes del orden Pérdida parcial o
información pública Control préstamos
información - legal e incumplimiento total del patrimonio
clasificada o información de los archivos de
SGSI normativo, vulneración de documental de la
pública reservada sin la gestión
derechos de la Entidad
identificación de tales
ciudadanía en general o
condiciones
su utilización indebida
para el favorecimiento de
intereses particulares Afectación en la
Préstamos de
salud de los
documentos de archivo
funcionarios que Diagnóstico a los
sin el debido control ni
acceden a los espacios de archivo
seguimiento a su
documentos de
devolución
archivo

3
 ÁREA DE TECNOLOGÍAS Y SISTEMAS DE
INFORMACIÓN
Nombre del Tipo de
No. Descripción del Riesgo Causas
Riesgo riesgo
Falta o deficiencias en el
diligenciamiento del
Formato Único de
Inventario Documental -
FUID
Retiro o traslado de
funcionarios sin la debida
entrega de los archivos a
cargo
Actos vandálicos y
terrorismo, desastres
naturales, presencia de
humedad, deficiencias en
la iluminación y/o
ventilación, acción
causada por la presencia
de insectos, bacterias,
hongos o roedores
Manipulación constante,
inadecuada o sin
protección de los soportes
documentales físicos
Desgaste de los
materiales empleados en
la elaboración del papel,
decoloración de las tintas,
descomposición de
pegamentos
No seguir los
lineamientos de la política
de protección de la
Información de información
carácter
Las perdidas, filtraciones
reservado emitida
o uso inadecuado de la
por la Consejería En la dependencia no se
información pueden
7 Presidencial para SGSI difunde los lineamientos
constituir un riesgo de
la Seguridad de la política de
corrupción que afectan la
Nacional con protección de la
Seguridad Nacional
riesgo de fuga y información
pérdida - SGSI
No se instalan sistemas
de protección de la
información
Efectos Probabilidad Impacto Controles
Sanciones
disciplinarias,
penales o fiscales, Inventarios
demandas o documentales de los
acciones judiciales archivos de gestión
en contra de la
Entidad
Visitas de
acompañamiento a
Vulneración de
las dependencias
derechos de
para apoyar en la
personas naturales o
adecuada aplicación
jurídicas o
de los procesos
afectación de
archivísticos de
intereses públicos
organización
documental
Lineamiento para el
Deterioro de la
acceso a los
imagen institucional
espacios de archivo
Incumplimiento al
Formato control de
tiempo de respuesta
ingreso a los
que tienen las PQRS
espacios de archivo
que reciben las
F-GD-32
dependencias
Control préstamos
Archivo Central
Transferencias
documentales
primarias
Informe inspección
a las condiciones
generales de
conservación en el
Archivo Central
Procedimiento para
la prestación del
servicio de consulta
o préstamo de
documentación del
Archivo Central o de
gestión
Medición de
condiciones
ambientales en el
Archivo Central
Asumir compromiso
de confidencialidad y
Hay pérdida de
manejo de la
prestigio de la
información de los
Consejería para la
miembros de la
Seguridad Nacional.
Consejería para la
Seguridad Nacional.
Las políticas de Seguimiento
seguridad nacional Posible Mayor almacenamiento de
sufren traumatismos la información en
y pierden carpetas virtuales
credibilidad. CPSN.
Acceso a la
Posibles hallazgos Instalaciones
de auditorías mediante el empleo
internas y externas de dispositivos
biométricos
4
 ÁREA DE TECNOLOGÍAS Y SISTEMAS DE
INFORMACIÓN

Nombre del Tipo de

No. Descripción del Riesgo Causas Efectos Probabilidad Impacto Controles
Riesgo riesgo

Seguimiento
No se instalan sistema de Se pueden
encriptación de
encriptación de la presentar casos de
documentos y
información digital corrupción
correos electrónicos.
La pérdida de
No se guarda la
información o Eliminación de
información digital en
filtración puede documentos de
sistemas seguros
generar riesgos a la carácter reservado.
tecnológicos
seguridad nacional
Revisión
No se aplica la política de
configuración y
eliminación de
afinamiento
información en medios
herramientas de
físicos y digitales de
seguridad de la
gestión documental
información.

Desconocimiento de la
normatividad referente a Notificar el apagado
la confidencialidad de la de máquinas.
información

Los funcionarios no
siguen los protocolos de
protección de la
información
Socialización de la
Guía de operación
Información del sistema y ruta de
Carencia de información
desactualizada para uso del Sistema de
actualizada sobre los
la toma de información y
temas de interés para los
Si se presentan fallas decisiones en Gestión del
y las jóvenes
permanentes en la materia de juventud Conocimiento en
plataforma que ocasionan Adolescencia y
interrupción del servicio Juventud -JUACO
en el acceso a la Protocolo para la
Dificultades por
información de los operación de
parte de los jóvenes
Plataforma módulos del Sistema de Insuficiencia de personal JUACO y manejo de
y comunidad
JUACO sin información y Gestión del para actualizar el sistema posibles fallas e
interesada en el
acceso a la Conocimiento en de información interrupciones para
acceso a la
8 información Adolescencia y Juventud - SGSI Probable Moderado acceder a los
información
disponible para JUACO: el observatorio, distintos módulos
jóvenes y público la ciberteca, normatividad, Promover el uso del
en general - SGSI entre otros; se afectan los sistema de
canales de interacción Inoportunidad en la
información por
con la comunidad y la entrega de
parte de los
respuesta a sus información para la
funcionarios de la
necesidades de Fallas técnicas que formulación de
Consejería
comunicación e interrumpen la políticas y
Presidencial para la
información operatividad de los programas
Juventud - Colombia
módulos orientados a la
Joven
garantía de
Reporte de
derechos de los
seguimiento sobre el
jóvenes
uso del sistema por
parte del público

5
 ÁREA DE TECNOLOGÍAS Y SISTEMAS DE
INFORMACIÓN

Fecha de Actualización: 22-11-2021