GESTIÓN INTEGRAL ORGANIZACIONAL Codigo: GIO-MR-03

Versión: 01
FORMATO MATRIZ DE RIESGOS GESTION DE SEGURIDAD DIGITAL
Fecha: 03/03/2020

VALORES CALIFICACIÓNPROBABILIDAD VALORES CALIFICACIÓNIMPACTO MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS
FECHA DE ELABORACION: 5 de enero de 2021 DESCRIPTOR DESCRIPCION FRECUENCIA NIVEL DESCRIPTORDESCRIPCIÓN NIVEL IMPACTO
Si el hecho
llegara a PROBABILIDAD
El evento puede ocurrir solo en No se ha presentado INSIGNIFICANTE
PROCESO 11. GESTIÓN TECNOLÓGICA RARO
circunstancias excepcionales. en los últimos 5 años.
1 INSIGNIFICApresentarse, 1 (1)
MENOR (2) MODERADO (3) MAYOR (4) CATASTRÓFICO (5)
tendría
consecuencias

Si el hecho
11. Gestionar de manera integral las tecnologías de la información y las llegara a
comunicaciones - TIC en la FND, prestando todos los servicios alineados con El evento puede ocurrir en algún Al menos de 1 vez en presentarse,
OBJETIVO DEL PROCESO IMPROBABLE
momento. los últimos 5 años. 2 MENOR
tendría bajo 2 RARO (1) B B M A A
las necesidades de la entidad y las partes interesadas, partiendo de los
impacto o efecto
principios de eficiencia y calidad. sobre la entidad.

Si el hecho
llegara a
El evento podría ocurrir en algún Al menos de 1 vez en
RESPONSABLE DEL PROCESO: 11. GERENTE DE TECNOLÓGIA POSIBLE
momento. los últimos 2 años.
3 MODERADO presentarse, 3 IMPROBABLE (2) B B M A E
tendría
medianas
Si el hecho
llegara a
El evento probablemente ocurrirá en la Al menos de 1 vez en
PROBABLE
mayoría de las circunstancias. el último año.
4 MAYOR presentarse, 4 POSIBLE (3) B M A E E
tendría altas
consecuencias
Si el hecho
llegara a
Se espera que el evento ocurra en la
CASI SEGURO
mayoría de las circunstancias.
Más de 1 vez al año 5 CATASTRÓFpresentarse, 5 PROBABLE (4) M A A E E
tendría
desastrosas
NOTA: Se priorizan aquellos riesgos que estén en zona
de riesgo: moderado, importante e inaceptable y se CASI SEGURO (5) A A E E E
plasman en el Mapa de Riesgos Residual.

B: ZONA DE RIESGO BAJA: Asumir el riesgo.

M: ZONA DE RIESGO MODERADA: Asumir el riesgo, Reducir el riesgo.
A: ZONA DE RIESGO ALTA: Reducir el riesgo, Evitar, Compartir o Transferir.
E: ZONA DE RIESGO EXTREMA: Reducir el riesgo, Evitar, Compartir o Transferir.

DESCRIPCIÓN Y VALORACIÓN DE LAS CAUSAS Y LOS RIESGOS CONTROLES EXISTENTES1 PLAN DE MANEJO DEL RIESGO MONITOREO Y REVISION OFICINA CONTROL INTERNO

EVALUACIÓN NUEVA CRONOGRAMA IMPLEMENTACIÓN

TIPO DE CONTROL TIPO DE CONTROL RESPONSABLE INDICADOR PARA LA
DEL RIESGO CALIFICACIÓN2 ACCIONES

PROBABILIDAD
PUNTAJ ZONA EVALUACIÓN DE
ZONA DE SEGUIMIENTO ENERO -ABRIL - GTE

PROBABILIDAD
IMPACTO
PROBABILIDA

VALORACIÓN
ACCIONES

VALORACIÓN
CAUSAS CONSECUENCIAS

CORRECTIVO

CORRECTIVO
E DE

PREVENTIVO

PREVENTIVO
DESCRIPCIÓN DEL RIESGO OPCIONES

IMPACTO

IMPACTO
DESCRIPCIÓN DE LA CAUSA RIESGO DESCRIPCIÓN DE LA CONSECUENCIA CLASE DE RIESGO DESCRIPCIÓN DO AP EF EV (DO+AP RIESGO CONTROL PROPUESTO O ACCIONES A TOMAR IMPLEMENTADAS FECHA DE MONITOREO OBSERVACIONES OCI
RIESGO INHERENTE DE MANEJO
(Debido a…….) (Lo que genera………) +EF+EV RESIDU CARGO DEPENDENCIA INICIA TERMINA

D
) AL

1.Perdida de autenticidad en la informacion que se Del seguimiento efectuado al mapa de riesgos de

maneja                                                              2.Perder  seguridad digital de la entidad, se concluye que en el
                                                   
la continuidad en el buen  funcionamiento de las  periodo enero a abril del 2021, no se materializó ningún
1.Desactualizacion de los aplicativos internos (orfeo,  No ejecutar el debido  Se realizaron las copias de seguridad de los aplicativos: 
areas.                            3.Demora en la entrega de  1. Copias de seguridad alojadas en Drive riesgo de seguridad digital; sin embargo, es importante
sysman)        Pérdida de bases de datos y fuentes  respaldo de toda la  Ejecutar las copias de seguridad debidamente según  GERENTE DE  Sysman(Financiero), Orfeo, y cuentas de correo electronico de 
1 2.Ausencia de mecanismos de control tanto del  de información información y no contar con 
informacion a organizmos de control                           TECNOLOGICO 5 5 55 Extrema
el procedimiento.
25 25 25 25 100 0 0 1 4 14 Alta evitar 2. Capacitaciones realizadas en las herramientas disponibles  Preventivo Correctivo
TECNOLÓGIA
SAF 5/04/2021 31/12/2021 100%
colaboradores salientes. Se alojan en el Drive del equipo de 
10‐may tener en cuenta por parte del responsable de GTE, la
4.Perdida de recursos DE GOOGLE en la FND incorporación de nuevos mecanismos de control y
operador como de la FND.  la protección de ésta. tecnología
5.    . Pérdida de información financiera por  proponer estrategias para la ejecución de planes de
3. repositorio de la información               
inexistencia de parametros de seguridad por parte  acción para mitigar los riesgos generados en el entorno
de la Gerencia de Tecnología.                                        digital.

Correctivo

1. Fallas en la autenticacion de usuarios            Frente a la efectividad de los controles implementados en

1.Manipulacion de las cuentas                                       1.Claves unicas para trabajadores. Manejo de información por 
Manejar información  Actualmente cada colaborador es el que administra y asigna sus  la matriz, es necesario que el líder del proceso de GTE con
2.Falta de mecanismos de control (USUARIOS,  2.Perdida de información areas o procesos.                             2.Actualizaciones y cambios 
Ausencia de controles en los  restringida.                   Contar con el control adecuado de los usuarios y  GERENTE DE  contraseñas de los aplicativos de la FND.  Sin embargo es necesario  el acompañamiento de la Oficina de Planeación y de la
2 CONTRASEÑAS, ROLES)
sistemas de información Acceder a perfiles no 
3. Perdida de credibilidad TECNOLOGICO 4 3 43 Alta
claves de los colaboradores de la FND
23 25 25 25 98 2 0 1 4 14 Alta Reducir periodicos de las contraseñas  Preventivo
TECNOLÓGIA
SAF 5/04/2021 31/12/2021 100%
implementar políticas que aseguren el vencimiento y solicitud de 
10‐may
GAF, revise los controles expuestos y genere nuevos y/o
3,. Capacitación 4. posibles hallazgos de entes de control
autorizados. cambios de contraseñas robustecer los existentes en aras de ser fuertes en sus
5. pérdida de contraseñas
sistemas y así evitar la materialización de riesgos.

Preventivo

Del seguimiento efectuado al mapa de riesgos de

1. Se actualizó el antivirus en los equipos de los colaboradores seguridad digital de la entidad, se concluye que en el
1. Hacking de la informacion privilegiada   1.Perdida de informacion  privada de la FND             
2. Actualmente cada colaborador es el que administra y asigna sus  periodo enero a abril del 2021, no se materializó ningún
Manipulación, modificacion o  Manejar información  2.Posibles sanciones por no reportar informacion  1.Actualizaciones                                                                      
2. Desconfiguracion de las plataformas con  contraseñas de los aplicativos de la FND.  Sin embargo es necesario  riesgo de seguridad digital; sin embargo, es importante
alteracion sin autorizacion de la  restringida.                   a tiempo                                               3. Uso  Funcionarios con acceso a informacion exclusiva de  2.Cambios periodicos de contraseñas                                    GERENTE DE 
3 informacion    
información registrada en los  Acceder a perfiles no  inadecuado de la información 
TECNOLOGICO 4 4 44 Extrema
su proceso.
25 25 25 25 100 0 0 1 4 14 Alta Evitar
3. Capacitar a los funcionarios para la solicitud de 
Preventivo
TECNOLÓGIA
SAF 5/04/2021 31/12/2021 100% implementar políticas que aseguren el vencimiento y solicitud de  10‐may tener en cuenta por parte del responsable de GTE, la
3. Falta de mecanismos controles    cambios de contraseñas. incorporación de nuevos mecanismos de control y
sistemas de la FND autorizados. 4. Pérdida de credibilidad requerimientos 
4. roles definidos                               3. En la intranet se encuentra disponible el enlace para solicitud de  proponer estrategias para la ejecución de planes de
5. Hallazgos de entes de control
requerimientos al equipo de tecnología acción para mitigar los riesgos generados en el entorno
digital.
Correctivo

1. Fallas en la conectividad de los sistemas de  Del seguimiento efectuado al mapa de riesgos de

1. Desconocimiento normativo vigente sobre  información tanto interno como externo.                   seguridad digital de la entidad, se concluye que en el
plataforma tecnologica y comunicaciones.     Gestionar y  los disitintos  2. Fallas en la conectvidad, página Web, correo  Supervisión de los contratos con terceros que  periodo enero a abril del 2021, no se materializó ningún
1. Revisión periodica del correcto funcionamiento de los equipos de 
2.Incumplimiiento de los lineamientos en materia de  procesos de  electrónico y demas sistemas de comunicacion. prestan los servicios de infraestructura tecnologica  1.Actualizacion y mantenimiento de las herramientas.      riesgo de seguridad digital; sin embargo, es importante
Erronea gestión de la infraestructura  GERENTE DE  la FND.
4 la gestión plataformas tecnologica y comunicaciones.  
tecnológica de la FND
Infraestructura  3. perdida de recursos TECNOLOGICO 4 3 43 Alta de los sistemas de información de la FND.  20 20 20 20 80 0 0 2 4 24 Alta Evitar 2.Mantenimiento de los activos de la FND y los  Preventivo
TECNOLÓGIA
SAF 5/04/2021 31/12/2021 100%
2. Se mantienen los aplicativos disponibles para los colaboradores 
10‐may tener en cuenta por parte del responsable de GTE, la
3. falta de supervisión tecnologica de la FND y  4. Posibles sanciones de organismos de control,  Aplicación de los Acuerdos de Niveles de Servicios  proveedores.                             incorporación de nuevos mecanismos de control y
actualizados.
4. Alta rotación de personal       sus activos. CGN; DIAN (ANS) proponer estrategias para la ejecución de planes de
5. Capacitación                                           .               5. Perdida de credibilidad acción para mitigar los riesgos generados en el entorno
6. Posibles Hallazgos entes de control                  digital.

Correctivo

1.Posibles Sanciones por Mal manejo de la   Del seguimiento efectuado al mapa de riesgos de

Supervisión de los contratos  politica de la seguridad de la informacion                   seguridad digital de la entidad, se concluye que en el
1. Falta de controles a los elementos informáticos de  con terceros que prestan los  2.Actualiaciones del documento base de la politica  periodo enero a abril del 2021, no se materializó ningún
No cumplir con los lineamientos del  Supervisión de los contratos con terceros que  1.Ejecucion al plan de trabajo de la Politica digital 
la infraestructura tecnológica de la FND.               servicios de infraestructura  de la seguridad de la informacion                                 1. Seguimiento al plan de acción definido para la implementación de  riesgo de seguridad digital; sin embargo, es importante
Modelo de Seguridad y Privacidad de  prestan los servicios de infraestructura tecnologica  2.Entrega de informes y porcentaje de avances GERENTE DE 
5 2.No se tienen los suficientes elementos tecnológicos 
la Información y de las Políticas 
tecnologica de los sistemas de  3.Plan de mejora continua de la Sefuridad Digital    TECNOLOGICO 4 4 44 Extrema
de los sistemas de información de la FND. Estudio 
24 24 24 24 96 0 0 2 4 24 Alta Evitar
3 Creacion del PETI
Preventivo Preventivo
TECNOLÓGIA
SAF 5/01/2021 1/01/2022 100% la política de gobierno dígital. 10‐may tener en cuenta por parte del responsable de GTE, la
en Hardware y Software para control de la FND: información de la FND.  4. Posibles hallazgos 2. Presentación del PETI al comité de Gestión y Desempeño incorporación de nuevos mecanismos de control y
Gobierno Digital de normatividad Gobierno Digital 4.Plan de tratamiento de Riesgos de la Seguridad Digital
3. Falta de supervisión Estudio de normatividad  5. Perdida de credibilidad proponer estrategias para la ejecución de planes de
Gobierno DIgital 6. Pérdida de Recursos   acción para mitigar los riesgos generados en el entorno
7. Reprocesos                                                     digital.

Correctivo

1. Ausencia de personal calificado.   
Del seguimiento efectuado al mapa de riesgos de
2.No cumplimiento en la gestión misional y  Tomar medidas preventivas y  1. Mal manejo de todos los activos de tecnologia 
seguridad digital de la entidad, se concluye que en el
administrativa de la FND. 3.Fallas técnicas e  reactivas de la FND y sistemas  de la FND.
1. Listado de activos fisicos de tecnología periodo enero a abril del 2021, no se materializó ningún
incumplimiento en el mantenimiento del sistema de  tecnológicos que permiten  2. No devolucion de los activos de la FND.
2. Listado de inventario intangible (Sistemas de información) riesgo de seguridad digital; sin embargo, es importante
información.                                         4.Ausencia  de  No disponibilidad de los sistemas  resguardar y proteger la  3. Reprocesos Contar con el adecuado inventario de los  GERENTE DE  El equipo de tecnología tiene en el Drive los listados de los activos e 
6 Documentación tecnologicos y los de información. información buscando  4. Pérdida de Credibilidad
TECNOLOGICO 4 3 43 Alta
activos de la FND 
Correctivo 25 25 24 23 97 0 0 2 4 24 Alta Evitar 3. Controles de fechas de terminación de contratos y licencias  Preventivo Correctivo
TECNOLÓGIA
SAF 5/04/2021 31/12/2021 100%
intangibles con los que cuenta la FND.
10‐may tener en cuenta por parte del responsable de GTE, la
de uso de los sistemas de información incorporación de nuevos mecanismos de control y
5. Falta de recursos para la actualizacion de la  mantener la confidencialidad,  5. Utilización de los sistemas tecnologicos e 
4.Aplicación de los Acuerdos de Niveles de Servicios (ANS) proponer estrategias para la ejecución de planes de
tecnologia en la FND la disponibilidad e integridad  informaión obsoletos
acción para mitigar los riesgos generados en el entorno
6.  No recibir adecuada capacitacion a los  de datos 6. Posibles hallazgos
digital.
colaboradores 

Del seguimiento efectuado al mapa de riesgos de

seguridad digital de la entidad, se concluye que en el
periodo enero a abril del 2021, no se materializó ningún
No tener un registro de los  1. Resultados desactualizados y no en tiempo real.  1. Bitacora de sistemas de informaciòn de la FND con sus 
El equipo de tecnología tiene en el Drive el listado de los sistemas de  riesgo de seguridad digital; sin embargo, es importante
1. Desactualizacion de Licencias de aplicaciones FND. componentes que se utilizan  2. sin consecutivos de los documentos.                       Bitacora de revision y lista de chequeo en  respectivos tiempos de vigencias. GERENTE DE 
7 2. No renovaciòn de licencias en el momento indicado
 Insuficiencias operativas de software
en los procesos que utilizan  3. falta de herramienta semaforo para temas de 
TECNOLOGICO 4 5 45 Extrema
intalacion y vigencias de software en la FND
Correctivo 22 21 23 21 87 0 0 1 4 14 Alta Evitar
2. Programaciòn de actividades de renovaciòn con sistema de 
Correctivo
TECNOLÓGIA
SAF 5/04/2021 31/12/2021 100% información con los que cuenta la FND, con su respectivo contrato, y  10‐may tener en cuenta por parte del responsable de GTE, la
fechas de vencimientos de vigencias. incorporación de nuevos mecanismos de control y
sistemas de informacion  vencimiento en correspondencia. alarmas
proponer estrategias para la ejecución de planes de
acción para mitigar los riesgos generados en el entorno
digital.
 1. Ausencia de Política Corporativa de trabajo. Del seguimiento efectuado al mapa de riesgos de
2. Desactualización de la Política de proteccion de seguridad digital de la entidad, se concluye que en el
datos. 3. periodo enero a abril del 2021, no se materializó ningún
No ejecutar el debido  Plagio de la infomracion  Se está adelantando estudios para la implementación de un 
Ausencia de antivirus propio. Monitoreo y seguimiento a los proveedores  Constituir  nuevas politicas de trabajo y politicas de seguridad  riesgo de seguridad digital; sin embargo, es importante
respaldo de toda la  Perdida de la Imformacion GERENTE DE  Directorio Activo que permita realizar control y aplicación de políticas 
8 4. Desconocimiento por parte de los usuarios de los Ataques Ciberneticos 
información y no contar con  Hurto Informacion 
TECNOLOGICO 4 5 45 Extrema tecnologicos de la FND. Correctivo 24 24 23 22 93 0 0 2 4 24 Alta Evitar digital (incluyendo modalidad de trabajo en casa). Correctivo
TECNOLÓGIA
SAF 5/04/2021 31/12/2021 100%
de seguridad información de manera centralizada y a todos los 
10‐may tener en cuenta por parte del responsable de GTE, la
lineamientos y compromisos de seguridad (Trabajo en Sistema de antivirus vigente en equipos FND Control centralizado de equipos informàticos incorporación de nuevos mecanismos de control y
la protección de ésta. equpos de la FND
Casa),                                                                                  proponer estrategias para la ejecución de planes de
5.Desactualizacion de la politica de seguridad de la acción para mitigar los riesgos generados en el entorno
informacion digital.

Del seguimiento efectuado al mapa de riesgos de

seguridad digital de la entidad, se concluye que en el
periodo enero a abril del 2021, no se materializó ningún
Manejar información  Plagio de la infomracion  Se está adelantando estudios para la implementación de un 
Constituir  nuevas politicas de trabajo y politicas de seguridad  riesgo de seguridad digital; sin embargo, es importante
1. Perdida de informacion. restringida.                   Perdida de la Imformacion GERENTE DE  Directorio Activo que permita realizar control y aplicación de políticas 
9 2. Suplantacion 
Acceso a cuentas de correo FND
Acceder a perfiles no  Hurto Informacion 
TECNOLOGICO 4 4 44 Extrema Seguimiento a bitacora contractual ‐ usuarios  Correctivo 22 23 22 22 89 0 0 3 4 34 Alta Evitar digital (incluyendo modalidad de trabajo en casa). Correctivo
TECNOLÓGIA
SAF 5/04/2021 31/12/2021 100%
de seguridad información de manera centralizada y a todos los 
10‐may tener en cuenta por parte del responsable de GTE, la
Control centralizado de equipos informàticos incorporación de nuevos mecanismos de control y
autorizados. equpos de la FND
proponer estrategias para la ejecución de planes de
acción para mitigar los riesgos generados en el entorno
digital.

Del seguimiento efectuado al mapa de riesgos de

seguridad digital de la entidad, se concluye que en el
periodo enero a abril del 2021, no se materializó ningún
Plagio de la infomracion  Se está adelantando estudios para la implementación de un 
1. Ausencia de inventario de equipos. No tener control sobre què  Constituir  nuevas politicas de trabajo y politicas de seguridad  riesgo de seguridad digital; sin embargo, es importante
Perdida de la Imformacion GERENTE DE  Directorio Activo que permita realizar control y aplicación de políticas 
10 2. Ausencia de Bitàcora de prestamo y asignaciòn de Pèrdida de equipos informàticos equipos de computo tienen 
Hurto Informacion 
TECNOLOGICO 2 4 24 Alta Seguimiento a bitacora de prestamos de equipos  PREVENTIVO 22 22 22 22 88 0 0 2 3 23 Alta Evitar digital (incluyendo modalidad de trabajo en casa). PREVENTIVO
TECNOLÓGIA
SAF 5/04/2021 31/12/2021 100%
de seguridad información de manera centralizada y a todos los 
10‐may tener en cuenta por parte del responsable de GTE, la
equipos los colaboradores de la FND Control centralizado de equipos informàticos incorporación de nuevos mecanismos de control y
equpos de la FND
proponer estrategias para la ejecución de planes de
acción para mitigar los riesgos generados en el entorno
digital.