Código: PM02-MR-005
MATRIZ RIESGOS SEGURIDAD DE LA INFORMACION
Perspectiva: Cliente usuario Cliente usuario
Incrementar el nivel de
Objetivo 2020- satisfacción de los Desarrollar capacidades para la inclusió n oferta de alternativas de Convertir las Plazas de Mercado Distritales en participació
grupos de interés frente productiva en la població n sujeto de
2024
a los tramites y servicios atenció n del IPES.
prestados por el IPES.
1000 emprendimientos.
500 acompañ amientos a créditos.
Meta: 95%
600 emprendedores de subsistencia
formados.
Proceso Objetivo
Dirigir y coordinar la formulació n,
implementació n y seguimiento de la
Plataforma Estratégica de la Entidad y
Procesos los proyectos de inversió n en el marco de
estratégicos las políticas de gestió n y desempeñ o, en
Planeación estratégica Gestión de
concordancia con las líneas de
y táctica intervenció n y los programas del plan de comunicaciones
desarrollo distrital, las políticas del
sector y la normatividad vigente para el
logro de los objetivos propuestos de la
entidad.
Proceso Objetivo
Ofrecer y prestar un servicio digno,
efectivo, de calidad, oportuno, cálido y
confiable a nuestros usuarios externos e
internos, a través de los diferentes
canales
de interacció n definidos por el Instituto Gestión de talento
Servicio al usuario
para la Economía Social, bajo los
principios de transparencia, prevenció n y
lucha contra la corrupció n, que permita
resolver las PQRS, facilitando el ejercicio
de los deberes y derechos de la
ciudadanía.
Procesos de apoyo
Proceso Objetivo
Prevenir, evitar y gestionar el dañ o
antijurídico a través de la asesoría,
Gestión Jurídica representació n y acompañ amiento a
todos los procesos de la entidad, en
cumplimiento de las normas
constitucionales y legales vigentes.
Proceso Objetivo
Contribuir al logro de los objetivos
estratégicos de la Entidad aportando un
enfoque sistemático y disciplinado para
evaluar y mejorar la eficacia de los
Procesos de procesos de: gestió n de riesgos, control y
evaluación gobierno, en ejercicio de la auditoría
Evaluación integral
interna como una actividad
independiente y objetiva de
aseguramiento y consulta, concebida
para agregar valor y mejorar las
operaciones del Instituto, en el marco de
sus planes, programas y proyectos.
EXTERNOS
FACTORES AMENAZAS
legislació n, políticas pú blicas,
(Cambios de gobierno,
regulación).
Políticos
(demografía, responsabilidad social,
Sociales y Culturales
orden pú blico)
(Normatividad externa (leyes, decretos,
Legales y reglamentarios
ordenanzas y acuerdos)
sistemas de informació n externos,
(Avances en tecnología, acceso a
gobierno en línea)
Tecnológicos
(Disponibilidad de capital, liquidez,
mercados financieros, desempleo,
competencia.)
Financieros
Económicos
FO-016 V-04
Versión: 1
Fecha: 8/31/2021
Se analiza las amenazas y debilidades, teniendo en cuenta los objetivos estratégicos y de proceso de la entidad, a nivel de Contexto interno, externo y del Proceso.
CONTEXTO ESTRATÉGICO DE LOS PROCESO
Aprendizaje y
Cliente usuario Cliente usuario Cliente usuario Financiera Proceso Proceso
crecimiento
Incrementar el porcentaje de Mejorar el nivel de Mejorar la efectividad de
Aumentar el acceso a la Disminuir la relació n de
n del SDPM7 en dependencia de los
el abastecimiento de
alineamiento
estratégico entre los
los procesos de
producció n, gestió n y
Mejorar capacidades
institucionales para la Mejorar capacidades institucionales
generació n de generación gastos recurrentes
atractivos turísticos sostenibles para la ciudad. alimentos que atiende la procesos misionales y control de información gestió n orientada a para la gestió n del conocimiento.
de ingresos en el espacio central mayorista de respecto del presupuesto entre estos y los de para la toma de resultados.
publico de Bogotá. corabastos. de la entidad. apoyo. decisiones.
Mejora de ejecució n
14826 vendedores presupuestal en relació n
informales identificados y % de participació n en el a la línea base.
registrados.
8 Plazas priorizadas. abastecimiento de alimentos Mínimo el 75% Mínimo el 75% 90% 90%
Mejora en la
en Bogotá
5535 personas bici recuperació n de cartera
taxistas identificadas. en relación a la línea
base.
Proceso Objetivo Proceso Objetivo Proceso Objetivo Proceso Objetivo Proceso Objetivo
Apoyo Evaluació n
Identificar, caracterizar y Fortalecer las Brindar alternativas econó micas Establecer objetivos, metas, estrategias,
registrar a la població n competencias laborales transitorias reguladas en el espacio indicadores de gestió n,
Definir política, estrategias e instrumentos de sujeto de atenció n para generales y específicas de pú blico y fuera de él, asesorar y acciones, asignar recursos y políticas de
comunicació n interna y externa para promover Identificación, Procesos misionales acompañ ar las unidades e iniciativas operació n.
contar con informació n Gestión para la las personas que ejercen Gestión para la soberanía,
y divulgar el portafolio de servicios y la gestió n caracterización y registro Fortalecimiento para la economía productivas de la economía popular a
actualizada y confiable formación y actividades de la seguridad alimentaria y
de la entidad a la ciudadanía, con oportunidad, de la población sujeto de que permita ofrecer a los empleabilidad economía informal, que popular través de la formulació n de planes de nutricional Administrar el Sistema Distrital de Plazas de
transparencia y eficacia, en el marco de los atención negocio, fortalecimiento empresarial, Mercado con el fin de suministrar los
usuarios los servicios y les facilite su
objetivos y metas institucionales. el apalancamiento financiero con el productos básicos de consumo doméstico
alternativas econó micas inserció n en el sistema
fin de mejorar su productividad y (canasta básica familiar) en condiciones
de la entidad. productivo de la ciudad. calidad de vida de los beneficiarios. ó ptimas de calidad, costos, accesibilidad,
oportunidad y confianza en el marco de las
normas sanitarias y ambientales vigentes.
Proceso Objetivo Proceso Objetivo Proceso Objetivo Proceso Objetivo Proceso Objetivo
Gestionar y administrar los recursos
destinados a la construcció n,
Gestionar la vinculació n, evaluació n y retiro del Administrar mantenimiento, aseo de instalaciones, Garantizar el buen manejo del
personal de planta de la entidad, desarrollar técnicamente la suministro de bienes y mobiliario de la erario pú blico, a partir de la
actividades encaminadas al fortalecimiento documentació n Asesorar y adelantar la entidad; efectuar la supervisió n, el custodia y administració n
continuo de las competencias, mejoramiento producida por las gestió n contractual de la control de las intervenciones en la eficiente de los recursos
del clima organizacional, la integridad, diferentes unidades de entidad con el fin de Gestión de recursos infraesctrura fija y semiestacionaria, financieros, de tal forma que
bienestar, seguridad y salud en el trabajo, Gestión documental informació n, para la toma Gestión contractual adquirir bienes y conforme a las normas vigentes; Gestión de recursos financieros permitan satisfacer las
humano reconocer los derechos laborales, promover los de decisiones asertivas y servicios conforme a las físicos realizando la custodia, administració n y necesidades de inversió n y
valores y principios éticos; con el propó sito de la salvaguarda de la disposiciones legales protección del inventario de bienes funcionamiento requeridas
tener servidores íntegros y comprometidos con memoria histó rica del vigentes. muebles e inmuebles a cargo o de por la Entidad para el
la misión, visió n y objetivos institucionales y de Instituto para la propiedad del cumplimiento de su misió n
la administració n distrital. Economía Social IPES. Instituto para apoyar el desarrollo de institucional.
las actividades encaminadas al
cumplimiento de su misió n.
Proceso Objetivo
Analizar, diseñ ar e implementar soluciones de
tecnologías de informació n y comunicaciones
que aumenten niveles de continuidad en la
prestació n de los sistemas y servicios
informáticos misionales, administrativos y de
Gestión de seguridad de gestió n que apoyan el cumplimiento de los
la información y objetivos y la nacionalidad de la entidad, a
recursos tecnológicos través de la administració n, seguimiento,
monitoreo, mantenimiento y mejora de la
infraestructura tecnoló gica que soporta la
operació n informática del Instituto Para la
Economía Social en el marco de las políticas y
la normativa vigente.
INTERNOS PROCESO
SITUACION DE RIESGO FACTORES DEBILIDADES SITUACION DE RIESGO FACTORES DEBILIDADES SITUACION DE RIESGO
seguridad y salud ocupacional).
Objetivo del Proceso: claridad
en la descripción del alcance y
Estructura organizacional /
disponibilidad del personal,
(competencia del personal,
objetivo del proceso.
Personas
Funciones y Responsabilidades
Alcance del Proceso
relació n precisa con otros procesos en
Interrelación con otros procesos:
Políticas, objetivos y estrategias
planeació n institucional, liderazgo,
cuanto a insumos, proveedores,
(direccionamiento estratégico,
productos, usuarios o clientes.
trabajo en equipo).
implementadas /
Estratégicos
Recursos y conocimientos con que se
Grado de autoridad y responsabilidad de Pertinencia en los procedimientos que
informació n necesaria para el desarrollo recursos de inversión, infraestructura,
(presupuesto de funcionamiento,
Procedimientos asociados
desarrollan los procesos.
capacidad instalada).
Financieros
cuenta /
utilizados y su efectividad, flujo de la
los funcionarios frente al proceso.
Comunicación interna: canales
Relaciones con las partes
Responsable del proceso
de las operaciones.
involucradas /
cada proceso, como de cara al ciudadano
garantizar el funcionamiento interno de
entre otros, que se deben proteger para
Información, aplicaciones, hardware
Activos de seguridad digital del
Cultura Organizacional
proceso
 Código: PM02-MR-005
MATRIZ RIESGOS SEGURIDAD DE LA INFORMACION Versión: 1
Fecha: 8/31/2021

Dependencia:
SESEC - Subdirección de Emprendimiento, Servicios Empresariales y Comerciales
Procesos: Fortalecimiento de la Economía Popular - Emprendimiento y Emprendimiento Social
Proceso:
Brindar alternativas económicas transitorias reguladas en el espacio público y fuera de él,
asesorar y acompañar las unidades e iniciativas productivas de la economía popular a
través de la formulación de planes de negocio, fortalecimiento empresarial, el
apalancamiento financiero con el fin de mejorar su productividad y calidad de vida de los
Objetivo del beneficiarios.
proceso:

Desarrollar capacidades para la inclusión productiva en la población sujeto de atención del

Objetivo 2020 -
IPES.
2024:

Establecer los lineamientos para el desarrollo de la alternativa Emprendimiento Social

Alcance: dirigida a personas mayores y/o con discapacidad, en concordancia con las etapas de
perfilación, asignación y seguimiento.

Año: 2021 Fecha de actualización: 31 de Agosto

Código de riesgo Código de control

Clasificación Probabilidad Impacto Zona de riesgo No. De eventos

Código de Activos Afectados Amenazas Causas / Vulnerabilidades Consecuencias Riesgo Descripción del riesgo Frecuencia
No riesgo inherente inherente inherente materializados Código de proceso No
proceso

Demora, dilatación, Pérdida de Integridad de la

Activos de información digital Captura incompleta o insuficiencia de los información digital almacenada,
interrupción o atrasos Perdida de la 24 a 500 veces
PM02 RSI001 descrito en el inventario de activos Ingeniería social. datos procesados en los sistemas de Integridad
procesada y manejada en los Fallas tecnológicas
por año.
Media Mayor Alto 0 PM02 CSI001
en la función sistemas de información utilizados
de Información del proceso. información.
institucional en el proceso.

Ausencia de inducción y reinducción en Retraso en las

Activos de información digital
PM02 RSI001 descrito en el inventario de activos
de Información del proceso.
Entrega indebida de la información temas de seguridad de la información para actividades que se Pérdida de Integridad de la
funcionarios Nuevos y antiguos. ejecutan dentro de las
información digital almacenada,
áreas misionales de Perdida de la 24 a 500 veces
Daño en componentes Integridad
procesada y manejada en los Fallas tecnológicas
por año.
Media Catastrófico Extremo 0 PM02 CSI002
Desconocimiento de los controles de la Entidad sistemas de información utilizados
tecnológicos seguridad informática aplicados a los en el proceso.
activos de información que son de su Perdida de reputación
responsabilidad. de la Entidad

Ubicación en un área susceptible de

inundación
Incidentes de
Daño en instalaciones físicas. seguridad de la
Ausencia de protección contra la humedad,
información
polvo y suciedad. Pérdida de Integridad de la
Desastres naturales.
Activos de información digital información digital almacenada,
Afectación de la Perdida de la 24 a 500 veces
PM02 RSI001 descrito en el inventario de activos Insuficiencia de muebles o archivadores Integridad
procesada y manejada en los Fallas tecnológicas
por año.
Media Catastrófico Extremo 0 PM02 CSI003
Asonada/Conmoción civil / integridad física de sistemas de información utilizados
de Información del proceso. para el almacenamiento de la información.
Terrorismo/Vandalismo. los funcionarios, en el proceso.
proveedores,
Ausencia de controles antisísmicos.
Desastre accidental. beneficiarios y
terceros del IPES
Almacenamiento de documentos impresos
sin medidas de protección.
 Asignación errada de roles, privilegios o
derechos de acceso.

Definir un proceso o procedimiento formal Alto nivel de

para la revisión periódica de los permisos incidentes de Pérdida de Disponibilidad de la
Activos de información digital de acceso de los usuarios. seguridad de la información digital almacenada,
Errores humanos en el Perdida de la 24 a 500 veces
PM02 RSI002 descrito en el inventario de activos información. Disponibilidad
procesada y manejada en los Fallas tecnológicas
por año.
Media Catastrófico Extremo 0 PM02 CSI001
cumplimiento de las labores. sistemas de información utilizados
de Información del proceso. Notificación inoportuna de novedades de
usuario al equipo de Sistemas. Denegación de los en el proceso.
servicios
Permitir la ejecución de sesiones
simultáneas del mismo usuario en el
sistema de información o servicio.

Errores humanos en el
Reprocesos de
cumplimiento de las labores.
carácter
administrativo y Pérdida de Disponibilidad de la
Situaciones administrativas
Activos de información digital operativo en el marco información digital almacenada,
durante la relación laboral Inadecuada gestión de la información Perdida de la 24 a 500 veces
PM02 RSI002 descrito en el inventario de activos de la institucionalidad Disponibilidad
procesada y manejada en los Fallas tecnológicas
por año.
Media Mayor Alto 0 PM02 CSI002
(incapacidades, vacaciones, física. sistemas de información utilizados
de Información del proceso. de la Entidad
muerte, licencias). en el proceso.
Denegación de los
servicios

Modificación indebida de la
información.
Insuficiencia o mal funcionamiento de Pérdida o robo de
controles de acceso físico. información
Uso no autorizado de la
información Pérdida de Confidencialidad de la
Activos de información digital Falta de monitoreo en los controles de Fraude información digital almacenada,
Perdida de la 24 a 500 veces
PM02 RSI003 descrito en el inventario de activos acceso físico a las edificaciones y recintos. Confidencialidad
procesada y manejada en los Fallas tecnológicas
por año.
Media Mayor Alto 0 PM02 CSI001
Ingeniería social. sistemas de información utilizados
de Información del proceso. Alto nivel de
Ubicado en una zona de susceptible de incidentes de en el proceso.
Coacción.
vandalismo, protestas y manifestaciones. seguridad de la
información.
Entrega indebida de la
Acceso a zonas seguras sin control.
información.

Ausencia de inducción y reinducción en Retraso en las

Entrega indebida de la información temas de seguridad de la información para actividades que se Pérdida de Confidencialidad de la
funcionarios Nuevos y antiguos. ejecutan dentro de las
Activos de información digital información digital almacenada,
áreas misionales de Perdida de la 24 a 500 veces
PM02 RSI003 descrito en el inventario de activos procesada y manejada en los Fallas tecnológicas Media Mayor Alto 0 PM02 CSI002
Daño en componentes Desconocimiento de los controles de la Entidad Confidencialidad
sistemas de información utilizados
por año.
de Información del proceso. tecnológicos seguridad informática aplicados a los en el proceso.
activos de información que son de su Perdida de reputación
responsabilidad. de la Entidad

Cifrado no autorizado de la Pérdida o robo de

Incumplimiento en temas regulatorios (Ley
información por malware o información
1712). Pérdida de Confidencialidad de la
acción mal intencionada.
Activos de información digital información digital almacenada,
Inconvenientes en l Perdida de la 24 a 500 veces
PM02 RSI003 descrito en el inventario de activos Incumplimiento en los acuerdos de Confidencialidad
procesada y manejada en los Fallas tecnológicas
por año.
Media Mayor Alto 0 PM02 CSI003
Situaciones administrativas generación de sistemas de información utilizados
de Información del proceso. confidencialidad después de terminar
durante la relación laboral Reportes desde los en el proceso.
relaciones laborales entre el funcionario y
(incapacidades, vacaciones, diferentes sistemas
la Entidad.
muerte, licencias). de información

PM02 Fallas tecnológicas 0 PM02

DESCRIPCIÓN
VERSIÓN No. FECHA
DEL CAMBIO
 Elaboracion del
documento, por
pirmera vez se
plasma
informacion de
1 riesdos de 8/31/2021
seguridad de la
informacion en
herramienta unica
 Atributos del control Tratamiento

Probabilidad Impacto Zona de riesgo Opciones de Apetito del

Descripción del control Control Anexo A
Tipo Peso Implementación Peso Calificación Documentación Frecuencia Evidencia residual final residual final final manejo riesgo Plan de acción
NTC-ISO-IEC 27001:2013

Responsable: Subdirector (a), profesional especializado, 1. Trimestralmente, a través del seguimiento y acompañamiento a
profesional SESEC. unidad productiva el equipo psicosocial colaborara en la recolección
Periodicidad: Eventual cuando se requiere. de información física de los beneficiarios, con el diligenciamiento del
Propósito: Garantizar que la información del sistema formato Registro de Identificación Básica.
GOOBI y HEMI este actualizada.
Como se realiza la actividad: en el marco del Nota: Los resultados del seguimiento a la unidad productiva se
procedimiento Emprendimiento Social, posterior al sorteo registran HEMI.
se crea el perfil del beneficiario en el sistema de
información de HEMI (datos personales, asignación de Reducir, evitar o 2. Trimestralmente, a través de informe de gestión se reportara las A.12.4.2-Protección de la
Correctivo 10% Manual 15% 25% Documentado Continua Con registro 45% 68% Alto
compartir el riesgo
Cautela información de registro
alternativa). acciones de actualización que realizo el proceso en HEMI y se
Observaciones y desviaciones: se solicita al beneficiario propone convocar a mesa de trabajo con SGRSI identificación y
documentos para actualizar los datos en el sistema. HEMI caracterización las acciones que permitirán avanzar en mayor
genera la ficha virtual (alineada al formato registro de alcance la actualización de información.
identificación) para que el beneficiario la diligencie y se
procede a la actualización. 3. Bimensualmente, con soporte de informe trimestral solicitar al
Evidencias: informe con la información gestionada de proceso Gestión de seguridad de la información y recursos
ingreso de información de los comerciantes en HEMI y tecnológicos mesas de orientación para considerar soluciones a
GOOBI. novedades que estén presentando las herramientas GOOBI y HEMI.

Responsable: Subdirector (a), profesional especializado,

profesional SESEC.
Periodicidad: Eventualmente (cuando se requiere). 1. Participar en las sesiones de sensibilización, capacitación y
Propósito: Gestionar conocimiento al personal nuevo que reinducción de las políticas en los diferentes sistemas de
requiera creación de usuarios en las herramientas información. La verificación se realiza en el alcance del PIC con la
tecnológicas Gobi o Hemmi para garantizar una adecuada participación priorizada de los roles en herramientas tecnológicas.
gestión y control de acceso.
Como se realiza la actividad: Se brinda capacitación en 2. Realizar la inducción y reinducción dando uso a los videos y A.7.2.2-Toma de conciencia,
Reducir, evitar o
el alcance de la herramienta tecnológica a la cual tendrá Preventivo 25% Automático 25% 50% Documentado Aleatoria Con registro 30% 70% Alto Cautela evaluación que elabora el proceso gestión de seguridad de la educación y formación en la
compartir el riesgo seguridad de la información
acceso, denotando los controles de seguridad de la información y recursos tecnológicos.
información que brinda la herramienta.
Observaciones y desviaciones: cuando los 3. Atender las alertas que comunique el proceso gestión de
colaboradores requieran orientación técnica en el uso de seguridad de la información y recursos tecnológicos e intervenir
las herramientas tecnológicas se solicitara capacitación al según las indicaciones ante incidencias de vulnerabilidad en
responsable del equipo de sistemas. controles en las herramientas tecnológicas.
Evidencias: acta de reunión, lista de asistencia, formatos
de capacitación.

Responsable: Subdirector (a), profesional especializado,

profesional SESEC.
Periodicidad: Mensualmente.
Propósito: Mantener la cultura archivística permitiendo
lugares o áreas seguras del archivo.
1. Participar y cumplir los compromisos en el marco del cronograma
Como se realiza la actividad: En el marco del documento
de las transferencias primarias (depuración).
Administración de archivos, se realiza la depuración de
A.17.1.2-Implementación de la
información física en las áreas y buenas practicas. Reducir, evitar o
Preventivo 25% Manual 15% 40% Documentado Continua Con registro 36% 76% Alto Cautela 2. Revisar la información que suministre gestión documental para continuidad de la seguridad de la
Haciendo uso de las 5S, lo cual permite tener espacios de compartir el riesgo información
que el subdirector valide con los administradores de plazas de
almacenamiento adecuados, conservándose la
mercado el cronograma de trabajo que permita dar alcance a
información que requiere disponer actualmente en el
cronograma de transferencias primarias.
proceso.
Observaciones y desviaciones: Cumplir con el
cronograma de transferencias primarias y depuración.
Evidencias: actas de reunión, cumplimiento de plan de
acción.
Responsable: Subdirector (a), profesional especializado,
profesional SESEC.
Periodicidad: Eventualmente (cuando se requiere).
Propósito: Solicitar y verificar la creación, modificación o
1. A través del correo electrónico del subdirector (a) se diligencia el
eliminación de usuarios en herramientas tecnológicas.
formato gestión del usuario (https://docs.google.com/document/d/1-
Como se realiza la actividad: en el marco del
5koIKfQpQ29jEx5SDJBsv5dPmKfsbKM/edit) y se envía al equipo de
procedimiento gestión de usuarios del proceso gestión de
sistemas de la SDAE.
seguridad de la información y recursos tecnológicos, el
subdirector (a) define el rol y privilegios definidos para
2. Crear ticket a través de https://sites.google.com/ipes.gov.co/pgsirt-
solicitar la creación de usuario, diligenciando el formato A.6.1.1-Seguridad de la
Reducir, evitar o ipes/mesa-de-ayuda para solicitar la creación, ampliación y/o
gestión perfil de usuario, el cual se entrega a la SDAE- Preventivo 25% Automático 25% 50% Documentado Con registro 30% 70% Alto
compartir el riesgo
Tolerancia 0 información roles y
desactivación de usuarios. responsabilidades
Sistemas a través de un ticket a la Mesa de Ayuda o
Correo Electrónico. Para el caso de los listados de
3. Solicitar mensualmente al equipo de sistemas la relación de
funcionarios verificados por las subdirecciones se allegan
creación, ampliación y/o desactivación de usuarios que recibió mesa
por correo electrónico.
de ayuda para verificar los casos abiertos y/o cerrados. La
Observaciones y desviaciones: Para eliminación o
verificación también se soporta con los correos de radicación de
ampliación de vigencia de usuario se diligencia el formato
ticket en mesa de ayuda.
gestión perfil de usuario, en caso de que el usuario o haya
sido creado o se haya registrado con error se solicita a
través correo o un nuevo ticket.
Evidencias: Correos, ticket de ayuda.

Responsable: Subdirector (a), profesional especializado,

profesional SESEC.
Periodicidad: Oportunamente.
Propósito: Conservar cultura de orden y organización con
herramientas archivísticas.
1. Mantener actualizada la tabla de retención documental del proceso
Como se realiza la actividad: En el marco del instructivo
y brindar actualizaciones a gestión documental.
administración de archivos se articula con el Plan
Institucional de Archivos –PINAR a
2. Dar uso al formato CONSULTA Y PRESTAMO DOCUMENTOS
través del componente de planeación y con el Programa A.7.2.2-Toma de conciencia,
Reducir, evitar o ARCHIVO.
de Gestión Documental. Se planea la organización del Preventivo 25% Automático 25% 50% Documentado Continua Con registro 30% 56% Moderado Cautela educación y formación en la
compartir el riesgo seguridad de la información
inventario de documentos activos, organización,
3. Participar en las sesiones de trabajo que se programen por parte
calcificación, ordenación y se cumple con la descripción de
del líder del SGSI para definir escenarios de continuidad para los
la Tabla de Retención Documental TRD de la entidad.
activos de información definidos en el inventario de activos.
Observaciones y desviaciones: para garantizar el
cumplimiento del proceso se cuenta con la guía y
orientación del personal del proceso gestión documental.
Evidencias: Tabla de Retención Documental TRD
actualizada, formatos consulta y préstamo documentos
archivo.

Responsable: Subdirector (a), profesional especializado,

profesional SESEC.
Periodicidad: Eventualmente (cuando se requiere).
Propósito: Corregir las acciones que conllevaron a la
materialización de riesgos.
Como se realiza la actividad: en el marco del
procedimiento gestión de incidentes de seguridad, del
proceso gestión de seguridad de la información y recursos 1. Participar en el registro de incidentes y evaluación de los
tecnológicos, se genera alerta y solicita la intervención al Reducir, evitar o incidentes de seguridad de la información. A.16.1.2-Reporte de eventos de
Correctivo 10% Manual 15% 25% Documentado Aleatoria Con registro 45% 68% Moderado Cautela seguridad de la información
equipo de sistemas para proceder a la participación del compartir el riesgo
registro de incidentes de seguridad de la información. 2. Socializar las lecciones aprendidas del registro de incidente.
Observaciones y desviaciones: segunda línea de
defensa interviene con el propósito de de asegurar el
registro de incidente, se cumpla las acciones de mejora
asignadas y se socializa la lección aprendida a través de
correo institucional
Evidencias: formato documentación incidentes, formato
lecciones aprendidas respuesta de incidentes.
Responsable: Subdirector (a), profesional especializado,
profesional SESEC.
Periodicidad: Eventualmente (cuando se requiere). 1. Participar en las sesiones de sensibilización, capacitación y
Propósito: Gestionar conocimiento al personal nuevo que reinducción de las políticas en los diferentes sistemas de
requiera creación de usuarios en las herramientas información. La verificación se realiza en el alcance del PIC con la
tecnológicas Gobi o Hemmi para garantizar una adecuada participación priorizada de los roles en herramientas tecnológicas.
gestión y control de acceso.
Como se realiza la actividad: Se brinda capacitación en 2. Realizar la inducción y reinducción dando uso a los videos y A.7.2.2-Toma de conciencia,
Reducir, evitar o
el alcance de la herramienta tecnológica a la cual tendrá Preventivo 25% Manual 15% 40% Documentado Aleatoria Con registro 60% 80% Moderado Cautela evaluación que elabora el proceso gestión de seguridad de la educación y formación en la
compartir el riesgo seguridad de la información
acceso, denotando los controles de seguridad de la información y recursos tecnológicos.
información que brinda la herramienta.
Observaciones y desviaciones: cuando los 3. Atender las alertas que comunique el proceso gestión de
colaboradores requieran orientación técnica en el uso de seguridad de la información y recursos tecnológicos e intervenir
las herramientas tecnológicas se solicitara capacitación al según las indicaciones ante incidencias de vulnerabilidad en
responsable del equipo de sistemas. controles en las herramientas tecnológicas.
Evidencias: acta
Responsable: Subdirector
de reunión,
(a),lista
profesional
de asistencia,
especializado,
formatos
de capacitación.
profesional SESEC.
Periodicidad: Eventualmente (cuando se requiere).
Propósito: Corregir las acciones que conllevaron a la
materialización de riesgos.
Como se realiza la actividad: en el marco del
procedimiento gestión de incidentes de seguridad, del
proceso gestión de seguridad de la información y recursos 1. Participar en el registro de incidentes y evaluación de los
tecnológicos, se genera alerta y solicita la intervención al incidentes de seguridad de la información.
equipo de sistemas para proceder a la participación del Reducir, evitar o
A.16.1.4-Evaluación de eventos de
registro de incidentes de seguridad de la información. Preventivo 25% Manual 15% 40% Documentado Aleatoria Con registro 36% 61% Moderado
compartir el riesgo
Cautela 2. Socializar las lecciones aprendidas del registro de incidente. seguridad de la información y
decisiones sobre ellos.
Observaciones y desviaciones: el proceso debe
asegurar que el registro de incidente se diligencie, se 3. Participar en las mesas de trabajo de las aplicaciones Hemi y
cumpla las acciones de mejora asignadas y se socializa la Goobi.
lección aprendida a través de correo institucional
Evidencias: formato documentación incidentes, formato
lecciones aprendidas respuesta de incidentes.

1. Responsable:

2. Periocidad:

3. Proposito:
0% 0% 0%
4. Como se realiza la actividad:

5. Observaciones y desviaciones:

6. Evidencia:
 Tratamiento Seguimiento: Segundo cuatrimestre - 1ra línea de defensa Monitoreo: Segundo cuatrimestre - 2da línea de defensa

Fecha de Fecha de Estado de plan de Acciones que se realizaron para el cumplimiento de plan Avance del Desempeño del Calidad y coherencia del Resultado del
Responsable Indicador Evidencia Observaciones Análisis del avance
implementación seguimiento acción de acción indicador control registro o evidencia indicador

1. 01/07/2021 1. 31/12/2021 Es necesario analizar en el proceso

las solicitudes emitidas a través de
(trimestral) (trimestral) Ejecución del Se adjunta el tickets mesa de ayuda y correos
plan de acción El Profesional del equipo Administrativo de
informa con las electrónicos de la subdirección
2. 01/07/2021 2. 31/12/2021 del tratamiento Plazas realizó la creación de 12 terceros y No reporto eventos dirigido a SDAE Sistemas para
Subdirector (a), profesional especializado, profesional SESEC. En curso imágenes 100% Valida Aprobado
(trimestral) (trimestral) del riesgo en el actualización de 74. Se adjunta el informe con materializados planear un plan de acción que ayude
tiempo correspondientes a corregir las debilidades en las
las imágenes correspondientes. herramientas tecnológicas GOOBI y
3. 01/07/2021 3. 01/07/2021 programado . HEMI, a través de solicitud de la
(bimensual) (bimensual) subdirección.

Ejecución del Dado que el cumplimiento del plan

Subdirector (a), profesional especializado, profesional SESEC. plan de acción de accion depende tambien del
1. 01/08/2021 1. 31/12/2021 El Ing Gabino está desarrollando las cumplimiento del proceso gestion
del tratamiento No reporto eventos
Gestión de seguridad de la información y recursos del riesgo en el
En curso evaluaciones para aplicar cuando las personas 100%
materializados
seguridad de la informacion y Valida Aprobado
2. 01/08/2021 2. 31/12/2021 recursos tecnologicos; el proceso
tecnológicos. tiempo se capaciten con los videos podra realizar solicitudes para
programado cumplir con el avance.

Se elaboró el dimensionamiento de los

volúmenes documentales (anexo) y se pasó al Doctos preparación
de transferencias
Ejecución del Subdirector. primarias
1. 01/08/2021 1. 31/12/2021 Se realizó una verificación de los inventarios Es necesario identificar el estado
plan de acción (Dimensionamiento
Subdirector (a), profesional especializado, profesional SESEC. actual de los compromisos en el
del tratamiento documentales en las Plazas de Mercado, de lo y verificación No reporto eventos
2. 2. En curso 100% marco del cronograma de las No valida No aprobado
Gestión Documental
del riesgo en el cual se adjuntan conclusiones y registro inventarios materializados transferencias primarias
tiempo fotográfico. documentales en (depuración).
3. 3.
programado PDM)
El incidente se presentó con expediente físicos,
Doctos seguimiento
con anterioridad al diligenciamiento de esta incidente
matriz y por tanto no participamos en el análisis
 1. 31/12/2021
(mensual) Ejecución del
1. 01/08/2021 Se adjunta el Es necesario verificar que el listados
Subdirector (a), profesional especializado, profesional SESEC. plan de acción A través del correo electrónico del subdirector (a)
formato y las de colaboradores del proceso sean
2. 31/12/2021 del tratamiento No reporto eventos
Gestión de seguridad de la información y recursos
2. 09/08/2021
(mensual) del riesgo en el
En curso se diligenció el formato gestión del usuario y se 100% materializados
los que están activos en correo y Valida Aprobado
evidencias de plataformas tecnológicas que el
tecnológicos. tiempo envió al equipo de sistemas de la SDAE.
3. 01/08/2021 correo proceso da uso para la gestión.
3. 31/12/2021 programado
(mensual)

1. 31/12/2021 Permanecen
(Trimestral) Ejecución del
1. 01/08/2021
plan de acción las TRD No
Subdirector (a), profesional especializado, profesional SESEC. Este proceso lo lidera Gestión documental SAF a
2. 31/12/2021 del tratamiento hubo No reporto eventos Es necesario identificar el estado
2. 01/08/2021 En curso través de las actualizaciones de Tablas de actual de la tabla de retención No valida No aprobado
Gestión Documental
(Mensual) del riesgo en el
Retención Documental actualización materializados documental del proceso
tiempo
3. 01/08/2021
3. 31/12/2021 programado en este
(Trimestral) cuatrimestre

Ejecución del
Subdirector (a), profesional especializado, profesional SESEC. plan de acción
del tratamiento No tenemos información de reporte de incidente No reporto eventos
1. 01/08/2021 1. 31/12/2021 En curso 100% Valida Aprobado
Gestión de seguridad de la información y recursos del riesgo en el de Tecn Inf materializados
tecnológicos. tiempo
programado

Ejecución del Dado que el cumplimiento del plan

Subdirector (a), profesional especializado, profesional SESEC. plan de acción de accion depende tambien del
1. 01/08/2021 1. 31/12/2021 cumplimiento del proceso gestion
del tratamiento El Ing Gabino está desarrollando las evaluaciones para No reporto eventos
En curso 100% seguridad de la informacion y Valida Aprobado
Gestión de seguridad de la información y recursos del riesgo en el aplicar cuando las personas se capaciten con los videos materializados recursos tecnologicos; el proceso
2. 01/08/2021 2. 31/12/2021
tecnológicos. tiempo podra realizar solicitudes para
programado cumplir con el avance.

Ejecución del
1. 01/08/2021 1. 31/12/2021 No han convocado mesas de trabajo de revisión
Subdirector (a), profesional especializado, profesional SESEC. plan de acción
del tratamiento de políticas No reporto eventos
2. 01/08/2021 2. 31/12/2021 En curso Valida Aprobado
Gestión de seguridad de la información y recursos del riesgo en el No tenemos información de reporte de incidente materializados
tecnológicos. tiempo de Tecn Inf
3. 01/08/2021 3. 31/12/2021
programado
Monitoreo: Segundo cuatrimestre - 2da línea de defensa Seguimiento: Tercer cuatrimestre - 1ra línea de defensa Monitoreo: Tercer cuatrimestre - 2da línea de defensa

Se llevo a cabo el Acciones que se realizaron

Se materializo el Calidad y coherencia del
Observaciones adicionales registro del para el cumplimiento de plan Avance del indicador Evidencia Observaciones Desempeño del control Análisis del avance Resultado del indicador Observaciones adicionales
evento? registro o evidencia
incidente? de acción

Para el III cuatrimestre se dará inicio al ingreso

de información de riesgos a la plataforma
PENSEMOS y es necesario asociar al
tratamiento de los riesgos las acciones que
articulen con:
No N/A
- Plan de acción 2021
- Cierre de brechas FURAG.
- Plan de mejoramiento.
- Acciones que se requieran para fortalecer los
controles existentes o se requiera agregar como
nuevo control.

Para el III cuatrimestre se dará inicio al ingreso

de información de riesgos a la plataforma
PENSEMOS y es necesario asociar al
tratamiento de los riesgos las acciones que
articulen con:
No N/A
- Plan de acción 2021
- Cierre de brechas FURAG.
- Plan de mejoramiento.
- Acciones que se requieran para fortalecer los
controles existentes o se requiera agregar como
nuevo control.

Para el III cuatrimestre se dará inicio al ingreso

de información de riesgos a la plataforma
PENSEMOS y es necesario asociar al
tratamiento de los riesgos las acciones que
articulen con:
No N/A
- Plan de acción 2021
- Cierre de brechas FURAG.
- Plan de mejoramiento.
- Acciones que se requieran para fortalecer los
controles existentes o se requiera agregar como
nuevo control.
Para el III cuatrimestre se dará inicio al ingreso
de información de riesgos a la plataforma
PENSEMOS y es necesario asociar al
tratamiento de los riesgos las acciones que
articulen con:
No N/A
- Plan de acción 2021
- Cierre de brechas FURAG.
- Plan de mejoramiento.
- Acciones que se requieran para fortalecer los
controles existentes o se requiera agregar como
nuevo control.

Para el III cuatrimestre se dará inicio al ingreso

de información de riesgos a la plataforma
PENSEMOS y es necesario asociar al
tratamiento de los riesgos las acciones que
articulen con:
No N/A
- Plan de acción 2021
- Cierre de brechas FURAG.
- Plan de mejoramiento.
- Acciones que se requieran para fortalecer los
controles existentes o se requiera agregar como
nuevo control.

Para el III cuatrimestre se dará inicio al ingreso

de información de riesgos a la plataforma
PENSEMOS y es necesario asociar al
tratamiento de los riesgos las acciones que
articulen con:
No N/A
- Plan de acción 2021
- Cierre de brechas FURAG.
- Plan de mejoramiento.
- Acciones que se requieran para fortalecer los
controles existentes o se requiera agregar como
nuevo control.

Para el III cuatrimestre se dará inicio al ingreso

de información de riesgos a la plataforma
PENSEMOS y es necesario asociar al
tratamiento de los riesgos las acciones que
articulen con:
No N/A
- Plan de acción 2021
- Cierre de brechas FURAG.
- Plan de mejoramiento.
- Acciones que se requieran para fortalecer los
controles existentes o se requiera agregar como
nuevo control.

Para el III cuatrimestre se dará inicio al ingreso

de información de riesgos a la plataforma
PENSEMOS y es necesario asociar al
tratamiento de los riesgos las acciones que
articulen con:
No N/A
- Plan de acción 2021
- Cierre de brechas FURAG.
- Plan de mejoramiento.
- Acciones que se requieran para fortalecer los
controles existentes o se requiera agregar como
nuevo control.
cuatrimestre - 2da línea de defensa

Se llevo a cabo el registro del

Se materializo el evento?
incidente?
 FORMATO

REGISTRO DE INCIDENTE

Fecha de elaboración dd/mm/aa Fecha de materialización del riesgo:

Subdirección/
Proceso:
Dependencia:

Descripción de la
materialización del riesgo:

Herramienta para el análisis de causas (5 - ¿PORQUÉ?)

1. ¿Porqué?
2. ¿Porqué?
3. ¿Porqué?
4. ¿Porqué?
5. ¿Porqué?
Nuevas causas?:
Nuevas causas?:

Nuevas consecuencias?:
Nuevas consecuencias?:

Control vulnerado:

Plan de acción (incluye

procesos transversales):

Lección aprendida:
Lección aprendida:

Gestores que intervienen en el registro de

incidente:
 Código: PM02-MR-005
Versión: 1
DENTE
Fecha: 8/31/2021

dd/mm/aa

Tipo de riesgo:

Existe incidencia de
materialización de este riesgo?
(Mencione histórico)

de causas (5 - ¿PORQUÉ?)

Responsables: Fecha:

Responsables: Fecha:
Responsables: Fecha:
 FORMATO

MATRIZ RIESGOS SEGURIDAD DE LA INFORMACION

Se contempla los objetivos de proceso y
estratégicos de cada proyecto asociado

Definición de los parámetros internos y

externos que se han de tomar en
consideración para la administración del
Contexto

riesgo (NTC ISO31000, Numeral 2.9). Se

debe establecer el contexto tanto
interno como externo de la entidad,
además del contexto del proceso y sus
activos de seguridad digital. Es posible
hacer uso de herramientas y técnicas
(Anexo 2 Técnicas para el
Establecimiento del Contexto y
Valoración del Riesgo - Guía de riesgos
2018).

Dependencia
Procesos
Proceso

Objetivo de proceso

Objetivo estratégico (Objetivo 2020 -

2024)

Alcance
¿Qué son los activos?

Riesgo
Nota: La sola presencia de una vulnerabilidad no causa daños por sí misma, ya que representa únicamen
pueda explotar esa debilidad. Una vulnerabilidad que no tiene una amenaza puede no requerir la implem

Descripción del riesgo

Clasificación del riesgo

Riesgo inherente

a partir del análisis de la probabilidad

de ocurrencia del riesgo y sus
consecuencias o impactos, se busca
determinar la zona de riesgo inicial
(RIESGO INHERENTE).
Valoración del riesgo

Se logra a través de la determinación de

la probabilidad y el impacto que puede
causar la materialización del riesgo.
 Zona de riesgo inherente

Se evidencia resultado por formula que

contiene la hoja de Excel - Mapa de
calor.
MAPA DE RIESGO

No. De eventos materializados

MAP

Descripción del control

Atributos del control

Riesgo residual

Se trata de determinar los niveles de

severidad a través de la combinación
entre la probabilidad y el impacto. Se
definen 4 zonas de severidad en la
matriz de calor
Zona de riesgo final

Opciones de manejo

Apetito del riesgo

 Tratamiento
(Se describe el tratamiento para
mantener en desarrollo el control del
riesgo).

Seguimiento cuatrimestral
Primera línea de defensa

Monitoreo cuatrimestral
Segunda línea de defensa

Fecha de elaboración

Fecha de materialización del riesgo:

Subdirección/Dependencia:
E INCIDENTE

Proceso:

Tipo de riesgo:
Descripción de la materialización del
riesgo:
REGISTRO DE INCIDE
Existe incidencia de materialización de
este riesgo? (Mencione histórico)

1. ¿Porqué?
2. ¿Porqué?
3. ¿Porqué?
4. ¿Porqué?
5. ¿Porqué?
Nuevas causas?:
Nuevas consecuencias?:
Control vulnerado:
Plan de acción (incluye procesos
transversales):

Lección aprendida:

Gestores que intervienen en el

registro de incidente:
 FORMATO

MATRIZ RIESGOS SEGURIDAD DE LA INFORMACION

Se determinan las características o

aspectos esenciales del entorno en el
Establecimiento del contexto externo cual opera la entidad. Se pueden
considerar factores como:

Se determinan las
características o aspectos
esenciales del proceso
Establecimiento del contexto interno
y sus interrelaciones.
Se pueden considerar
factores como:

Se determinan las características o

aspectos esenciales del ambiente en
Establecimiento del contexto del proceso el cual la organización busca alcanzar
sus objetivos. Se pueden considerar
factores como:

Seleccionar la dependencia a la cual se hará la identificación, evaluación y tratamiento del riesgo.

Seleccionar el grupo de procesos al que pertenece (Apoyo, Estratégicos, evaluación o misional ) .
Seleccionar el proceso.

Mencionar el objetivo del proceso, para reconocer los principios básicos y el marco general de la actuación para el control y la

Se mencionan los objetivos asociados al proyecto cuatrienal.

El alcance contempla las entradas, actividades y salidas que genera el proceso (esto permite identificar los puntos criticos que
Un activo es cualquier elemento que tenga valor para la organización, sin embargo, en el contexto de seguridad digital, son ac

-Servicios web
-Redes
-Información física o digital
-Tecnologías de información TI
-Tecnologías de operación TO que utiliza la organización para funcionar en el entorno digital

Identificación del riesgo: se podrán identificar los siguientes tres (3) riesgos inherentes de seguridad de la información:
 Pérdida de la confidencialidad
 Pérdida de la integridad
 Pérdida de la disponibilidad

Para cada riesgo se deben asociar el grupo de activos, o activos específicos del proceso, y conjuntamente analizar las posibles
materialización.

Para este efecto, es necesario consultar en este mismo libro de excel:

Guia Vulnerabilidades
Guia Amenazas
a vulnerabilidad no causa daños por sí misma, ya que representa únicamente una debilidad de un activo o un control, para que la vulnerab
Una vulnerabilidad que no tiene una amenaza puede no requerir la implementación de un control.

La descripción del riesgo debe contener todos los detalles que sean necesarios y que sea fácil de entender tanto para el líder d
propone una estructura que facilita su redacción y claridad que inicia con la frase POSIBILIDAD DE y se analizan los siguientes a

Ejecución y administración de procesos Pérdidas derivadas de errores en la ejecución y administración de proc

Fraude externo Pérdida

Pérdida derivada de actos
debido a actos de fraude
de fraude, por personas
actuaciones ajenas a comisión
irregulares, la organizac
de
Fraude interno incumplimiento de regulaciones legales o internas de la entidad en las
Fallas tecnológicas de la organización,
Errores en hardware,sonsoftware,
realizadas de forma intencional
telecomunicaciones, y/o con ánimo
interrupción de se
Pérdidas que surgen de acciones contrarias a las leyes o acuerdos de e
Relaciones laborales
personales o de discriminación.
Fallas negligentes o involuntarias de las obligaciones frente a los usuar
Usuarios, productos y prácticas
frente a éstos.
Pérdida por daños o extravíos de los activos fijos por desastres natural
Daños a activos fijos/ eventos externos vandalismo, orden público.

Análisis preliminar (riesgo inherente): se trata de

determinar los niveles de severidad a través de la
combinación entre la probabilidad y el impacto. Se
definen 4 zonas de severidad en la matriz de calor.
 Nivel

1
Probabilidad
2
Se analiza qué tan posible es que ocurra el riesgo, se
expresa en términos de frecuencia o factibilidad,
donde frecuencia implica analizar el número de 3
eventos en un periodo determinado.
4

Nivel

1
Impacto

las consecuencias que puede ocasionar a la

organización la materialización del riesgo.
2

Para la construcción de la tabla de criterios se definen

los impactos económicos y reputacionales. Cuando se
presenten ambos impactos para un riesgo, tanto
económico c omo reputacional, con diferente nivles se 3
debe tomar el nivel más alto, así por ejemplo: para un
riesgo identificado se define un impacto económico en
nivel insignificante e impacto reputacional en nivel
moderado, se tomará el más alto, en este caso sería el
nivel moderado.
4

5
El riesgo identificado ha presentado eventos
históricos?

un evento es un riesgo materializado, se pueden

considerar incidentes que generan o podrían generar
pérdidas a la entidad, se debe contar con una base
histórica de eventos que permita revisar si el riesgo
fue identificado y qué sucedió con los controles.
Cada control debe cumplir con los siguientes parámetros:

1. Responsable:

2. Periocidad:

3. Proposito:

4. Como se realiza la actividad:

5. Observaciones y desviaciones:

6. Evidencia:

Controles Preventivos: Va a las causas del riesgo Atacan la probabilida

Controles Detectivos: Detecta que algo ocurre y devuelve el proceso a

Tipo
ocurrencia del riesgo.

Controles Correctivos: Atacan el impacto frente a la materialización de

Controles Preventivos: 25%

Peso (valor porcentual que indica la Guía de
Controles Detectivos: 15%
administración del riesgo DAFP)
Controles Correctivos: 10%

Automático: Son actividades de procesamiento o validación de inform

manera automática sin la intervención de personas para su realización
Implementación
Manual: Controles que son ejecutados por una persona, tiene implícito

Automático: 25%
Peso (valor porcentual que indica la Guía de
administración del riesgo DAFP) Manual: 15%

Es la SUMA del PESO (Tipo de control) y Peso (Tipo de implementación

Calificación
Peso (Tipo de control) + Peso (Tipo de implementación) = Calificación

Documentación
Frecuencia
Evidencia
Desempeño del control
Es IMPORTANTE tener en cuenta la valoración
asignada a en los atributos de los controles:
*Tipo (preventivo, detectivo y correctivo).
*Implementación (automático o manual)
Control: Documentado
Control: Sin documentar
La frecuencia del control se desarrolla de manera:
- Continua.
- Aleatoria.
El desarrollo del control permite obtener evidencia?
- Con registro
- Sin registro.
El desarrollo del control permite obtener evidencia?
- Con registro
- Sin registro.
Probabilidad:
Es la multiplicación de la
Probabilidad inherente % y la
calificación del control %;
posteriormente se resta a la
Probabilidad inherente el resultado
de la multiplicación anterior.
1. Probabilidad inherente % (X)
Calificación %.
2. Probabilidad inherente % (-)
Resultado P %.
Aceptar el riesgo: Si el nivel de riesgo residual se ubica en riesgo BAJA

Aceptar o reducir el riesgo: Si el nivel de riesgo residual se ubica en riesgo MODERADA

Reducir, evitar o compartir el riesgo: Si el nivel de riesgo residual se ubica en riesgo ALTA o EXTREMA

Tolerancia 0: No se acepta el riesgo.

Aversión: Rechazo al riesgo.

Es el nivel de riesgo que la entidad
puede aceptar en relación con sus
Cautela: Mesura ante el riesgo. objetivos, el marco legal y las
disposiciones de la alta dirección. El
apetito de riesgo puede ser diferente
Moderación: Tacto ante el riesgo. para los distintos tipos de riesgos
que la entidad debe o desea
gestionar.
Flexibilidad: Maleabilidad ante el riesgo.

Receptividad: Capacidad de resistencia ante el riesgo.

Plan de acción: Asociados a los controles.
Responsable: Estratégico y operativo.
Fecha de implementación: Periodo de inicio a fin en el que se cumplirá el desarrollo de la
acción.
Fecha de seguimiento:
Indicador: Se vincula indicador existente en tablero de indicadores de la entidad.
Estado:

- En curso: Las acciones del plan de acción están en desarrollo.

- Cumplido: Las acciones del plan de acción se llevaron a cabalidad.
- Modificado: El plan de acción recibe modificación las cuales serán consideradas en el
siguiente cuatrimestre.
- Cancelado: Se cancela el plan de acción si este no brinda alcance en el cumplimiento del
control.

Acciones desarrolladas del plan de acción: Se mencionan las actividades que generaron evidencia para el cumplimiento del pl
Avance del indicador: De acuerdo al indicador planteado en el Tratamiento del riesgo, se reporta el avance del mismo durante
Evidencia: Todo soporte que repose en el DRIVE o pagina de web de la entidad.
Observaciones: Las que considere la primera línea de defensa para tener en cuenta en el siguiente cuatrimestre (modificacion

Efectividad de los controles Análisis del avance

Se menciona el cumplimiento o
incumplimiento de las acciones del
Desempeño del control= # eventos materializados / plan de acción frente al reporte que
frecuencia del riesgo (# veces que se hace la actividad) realiza la primera línea de defensa en
cada cuatrimestre.

Mencionar fecha en la que se diligencia el Registro de incidente.

Mencionar fecha en la que se detecto la materialización del riesgo.

Indicar de la lista desplegable la dependencia en la que se materializo el riesgo.

Indicar de la lista desplegable el proceso que pertenece a la dependencia.

Indicar de la lista desplegable el tipo de riesgo que se materializo.

Redactar una descripción detallada que oriente al conocimiento de como se materializo el riesgo.
Mencionar histórico de anteriores registros de incidente que coincida con la materialización del riesgo.
Ejemplo #Caso Toyota

Una maquina tiene un problema de funcionamiento.

2. ¿Por qué se sobrecargó?… Los cojinetes no contaban con suficiente lubricación.
1. ¿Por qué se averió la máquina?… El fusible se quemó debido a una sobrecarga.
3. ¿Por qué no tenían suficiente lubricación?… La bomba de lubricación no estaba haciendo circular suficiente aceite
4. ¿Por qué la bomba no estaba circulando suficiente aceite?… La bomba se encontraba obstruida con virutas de metal
5. ¿Por qué se encontraba obstruida con virutas de metal?… Porque la bomba no cuenta con filtro.
Mencionar causas que aun no se identifican en el mapa de riesgos asociadas al riesgo.
Mencionar consecuencias que aun no se identifican en el mapa de riesgos asociadas al riesgo.
Mencionar los controles relacionados en el mapa de riesgos que fueron vulnerados.
Redactar las acciones que se toman como medidas de reacción y mitigación al riesgo
materializado.

Redactar la lección aprendida para ser socializada y divulgada al interior de la entidad, con el
propósito de evitar la reincidencia de la materialización del riesgo.

Mencionar todos los gestores que participan en la elaboración del registro de incidente.
 Código:
Versión:
Fecha:

1) Políticos
2) Sociales y culturales
3) Legales y reglamentarios
4) Tecnológicos
5) Financieros
6) Económicos

1) Estructura organizacional / Personas

2) Funciones y Responsabilidades
3) Políticas, objetivos y estrategias implementadas / Estratégicos
4) Recursos y conocimientos con que se cuenta / Financieros
5) Relaciones con las partes involucradas / Comunicación interna
6) Cultura Organizacional

1) Objetivo del Proceso Proceso

2) Alcance del Proceso
3) Interrelación con otros procesos
4) Procedimientos asociados
5) Responsable del proceso
6) Activos de seguridad digital del proceso

ento del riesgo.

n o misional ) .

co general de la actuación para el control y la gestión de los riesgos asociados

to permite identificar los puntos criticos que tiene el proceso y en donde indetificar los peligros)
o, en el contexto de seguridad digital, son activos elementos tales como: -Aplicaciones de la organización.

rno digital

ntes de seguridad de la información:

oceso, y conjuntamente analizar las posibles amenazas y vulnerabilidades que podrían causar su
 un activo o un control, para que la vulnerabilidad pueda causar daño, es necesario que una amenaza
ntrol.

ue sea fácil de entender tanto para el líder del proceso como para personas ajenas al proceso. Se
POSIBILIDAD DE y se analizan los siguientes aspectos.

ores en la ejecución y administración de procesos.

de fraude
fraude, por personas
actuaciones ajenas a comisión
irregulares, la organización (no participa
de hechos delictivospersonal
abuso dedeconfianza,
la entidad).
apropiación indebida,
ciones legales o internas de la entidad en las cuales está involucrado por lo menos 1 participante interno
alizadas de forma intencional
ware, telecomunicaciones, y/o con ánimo
interrupción de lucrobásicos.
de servicios para sí mismo o para terceros.
ciones contrarias a las leyes o acuerdos de empleo, salud o seguridad, del pago de demandas por daños
ación.
ntarias de las obligaciones frente a los usuarios y que impiden satisfacer una obligación profesional

víos de los activos fijos por desastres naturales u otros riesgos/eventos externos como atentados,
.
 Frecuencia

La actividad que conlleva el riesgo se ejecuta como máximos 2 veces por año.

La actividad que conlleva el riesgo se ejecuta de 3 a 24 veces por año.

La actividad que conlleva el riesgo se ejecuta de 24 a 500 veces por año.

La actividad que conlleva el riesgo se ejecuta mínimo 500 veces al año y máximo 5000 veces
por año.

La actividad que conlleva el riesgo se ejecuta más de 5000 veces por año.

Afectación Económica

Afectación menor a 10 SMLMV .

Entre 10 y 50 SMLMV

Entre 50 y 100 SMLMV

Entre 100 y 500 SMLMV

Mayor a 500 SMLMV

 a las causas del riesgo Atacan la probabilidad de ocurrencia del riesgo.

ecta que algo ocurre y devuelve el proceso a los controles preventivos Atacan la probabilidad de

acan el impacto frente a la materialización del riesgo.

des de procesamiento o validación de información que se ejecutan por un sistema y/o aplicativo de
ntervención de personas para su realización.

n ejecutados por una persona, tiene implícito el error humano.

de control) y Peso (Tipo de implementación)

eso (Tipo de implementación) = Calificación

e desarrolla de manera:

ermite obtener evidencia?

ermite obtener evidencia?

Impacto:

Es la multiplicación del Impacto inherente % y la calificación del control CORRECTIVO %;

posteriormente se resta al impacto inherente el resultado de la multiplicación anterior.

1. Impacto inherente % (X) Calificación %.

2. Impacto inherente % (-) Resultado I %.

Nota: En caso de no contar con controles correctivos, el impacto residual es el mismo

calculado inicialmente, es importante señalar que no será posible su movimiento en la matriz
para el impacto.

**Cuando se asigna un control de TIPO Correctivo este es el único que permite modificar el
impacto.
RADA

go ALTA o EXTREMA

Tolerancia del riesgo: es el valor de la máxima desviación admisible del nivel de riesgo con
respecto al valor del apetito de riesgo determinado por la entidad.
eraron evidencia para el cumplimiento del plan de acción durante el cuatrimestre en vigencia.
esgo, se reporta el avance del mismo durante el cuatrimestre en vigencia.

ta en el siguiente cuatrimestre (modificaciones, eliminar algo de lo que se menciono en el plan de acción).

Calidad y coherencia del registro o evidencia

Se indica la validez de las evidencias, si estas existen en relación a lo mencionado en el plan

de acción.

rializo el riesgo.
rialización del riesgo.

haciendo circular suficiente aceite

ntraba obstruida con virutas de metal
cuenta con filtro.
sgo.
as al riesgo.
s.

Responsables: mencionar los responsables a intervenir en el desarrollo del plan de acción.

Responsables: mencionar los responsables a intervenir en el desarrollo de la divulgación de

la lección aprendida.

ente.
PM02-MR-005
1
8/31/2021
 Calculo de probabilidad Probabilidad %

Muy Baja 20%

Baja 40%

Media 60%

Alta 80%

Muy Alta 100%

Reputacional Calculo de impacto Impacto %

El riesgo afecta la imagen de algún área de la

Leve 20%
organización.

El riesgo afecta la imagen de la entidad

internamente, de conocimiento general
Menor 40%
nivel interno, de junta directiva y
accionistas y/o de proveedores.

El riesgo afecta la imagen de la entidad con

algunos usuarios de relevancia frente al Moderado 60%
logro de los objetivos.

El riesgo afecta la imagen de la entidad con

efecto publicitario sostenido a nivel de
Mayor 80%
sector administrativo, nivel departamental o
municipal.

El riesgo afecta la imagen de la entidad a

nivel nacional, con efecto publicitario Catastrófico 100%
sostenido a nivel país.
Capacidad de riesgo: es el máximo valor del
nivel de riesgo que una entidad puede
soportar y a partir del cual la alta dirección
consideran que no sería posible el logro de
los objetivos de la entidad.
de acción).

Resultado del indicador Observaciones adicionales

Se mencionan todas aquellas

novedades o acciones que
Se a prueba o no se aprueba el resultado del merecen mejora para ajustar
indicador basado en el resultado anterior del la identificación, valoración,
avance del cuatrimestre y el plan de acción.
control y tratamiento del
riesgo.
Fecha: mencionar la fecha fin de
cumplimiento del plan de acción.

Fecha: mencionar la fecha fin de divulgación

de la lección aprendida.
 VULNERABILIDADES MÁS COMUNES DE LOS ACTIVOS
 TIPO ID

1.1

1.2

1.3

1.4

1.5

1.6

1.7

1. Recursos Humanos 1.8

1.9

1.10

1.11

1.12

1.13

1.14

1.15

2.1

2.2

2.3

2.4

2.5

2.6

2.7
 2.8

2.9

2.10

2.11

2.12

2.13

2.14

2.15

2.16

2.17

2. Procesos
2.18

2.19

2.20

2.21

2.22

2.23

2.24

2.25

2.26

2.27

2.28

2.29

2.30

2.31
 2.32

2.33

2.34

3.1

3.2

3.3

3.4

3.5

3. Infraestructura 3.6
Física /Activo
Hardware 3.7

3.8

3.9

3.10

3.11

3.12

4.1

4.2

4.3

4.4

4.5

4.6

4.7

4.8

4.9

4.10
 4.11

4.12

4.13

4.14

4.15

4.16

4.17

4.18

4. Sistemas de 4.19
Información,
Servicios 4.20
informáticos,
Información 4.21

4.22

4.23

4.24

4.25

4.26

4.27

4.28

4.29

4.30

4.31

4.32

4.33

4.34

4.35
 4.36

4.37

4.38

4.39

5.1

5.2

5.3

5.4

5.5

5. Hardware 5.6

5.7

5.8

5.9

5.10

5.11
VULNERABILIDADES MÁS COMUNES DE LOS ACTIVOS
CAUSAS

Ausencia o carencia de personal idóneo.

Ausencia o carencia de conocimientos y habilidades en informática.

Desconocimiento de políticas, normas, o procedimientos de Seguridad de la Información.

Falta de conciencia en el reporte de incidentes de Seguridad de la Información.

Ausencia o carencia de conocimiento para el manejo de herramientas de seguridad informática.

Falta de conciencia en Seguridad de la Información.

Desconocimiento de las políticas para el buen uso de los activos de información (Red, Correo,
Internet, Sistemas de Información, Chat, Redes Sociales, etc.).

Desconocimiento del marco legal y regulatorio de seguridad de la información.

Desconocimiento de los controles de seguridad informática aplicados a los activos de

información que son de su responsabilidad.

Desconocimiento del marco legal y regulatorio de la protección de los datos personales.

Falta de conciencia en Protección de Datos Personales

Desconocimiento de políticas, normas, o procedimientos para el tratamiento de los datos

personales.

Sobrecarga en la asignación de funciones.

Ausencia de personal de respaldo para los cargos críticos

Capacidad reducida del proceso en cuanto a recursos humanos

Ausencia de segregación de funciones o separación de deberes.

Ausencia de lineamientos para la divulgación de información al público.

Ausencia de procedimientos para la clasificación, etiquetado y manejo de la información.

Ausencia de lineamientos de seguridad de la información en todo el ciclo de la relación con los

proveedores.
Ausencia de lineamientos de seguridad de la información para antes de asumir el empleo,
durante la ejecución del empleo y para la terminación y cambio del empleo.

Ausencia de pruebas de vulnerabilidades técnicas de forma regular.

Ausencia de medidas apropiadas para corregir las vulnerabilidades técnicas.

Ausencia de registros sobre las actividades del usuario, excepciones, fallas y eventos.

Falta de revisión periódica de los registros de eventos de auditoría.

Falta de documentación técnica sobre los componentes tecnológicos.

Falta de integrar la seguridad de la información en todas las fases de la gestión del proyecto.

Ausencia de lineamientos para el tratamiento de los datos personales.

Falta definición de requisitos contractuales para la transmisión o transferencia de datos

personales.
Ausencia de procedimientos claros y de herramientas adecuadas para garantizar la eliminación
segura de la información o datos personales cuando ya no se requieran.
Carencia de procedimientos y herramientas para la atención de consultas, reclamos, peticiones
de rectificación, actualización y supresión de datos personales.

Falta de la autorización por parte del titular para el tratamiento de los datos personales.

Falta de contactos apropiados con las autoridades y grupos de interés de seguridad de la

información.
Inadecuada gestión de los medios removibles (manejo y protección de la información, retiro de
los medios removibles, copias de respaldo, control y registro, habilitación de puertos y
transferencia de información, disposición final).
Falta o deficiencia de los procedimientos para el control en los cambios en las instalaciones de
procesamiento de información y software que puedan afectar la seguridad de la información.

Ausencia de procedimientos para controlar la instalación de software en sistemas operativos.

Falta de reglas para instalación de software por parte de los colaboradores

Falta de acuerdos de confidencialidad o de no divulgación de la información.

Falta de acuerdos para la transferencia de información (internos y externos).

Inadecuada gestión de incidentes y debilidades de seguridad de la información.

Falta de considerar la seguridad de la información en los Planes de Continuidad del negocio.

Falta de revisiones periódicas del cumplimiento técnico y de políticas de seguridad.

Ausencia o deficiencia en los procedimientos de notificación de cambios técnicos y operativos al

personal y grupos de trabajo.

Falta de verificación de la continuidad de seguridad de la información.

Ausencia de controles para restringir el acceso a los códigos fuente de programas.

Ausencia de controles sobre los datos de pruebas.

Ausencia de controles para la protección de los ambientes de desarrollo.

Ausencia de controles para protección de la integridad de los datos que pasan sobre redes
públicas o redes inalámbricas.
Falta de incluir en los procedimientos de gestión de cambios la revisión de los controles y
procedimientos de integridad para asegurar que no se hayan comprometido.
Falta de la revisión técnica de las aplicaciones después de cambios en la plataforma de
operación.

Insuficiencia o mal funcionamiento de controles de acceso físico.

Falta de monitoreo en los controles de acceso físico a las edificaciones y recintos.

Falta de mantenimiento a la infraestructura física: cableado, racks, aire acondicionado, sistemas

de extinción de incendios (detectores de humo, extinguidores etc.), UPS y planta eléctrica.

Ubicación en un área susceptible de inundación.

Ausencia de protección contra la humedad, polvo y suciedad.

Insuficiencia de muebles o archivadores para el almacenamiento de la información.

Ausencia de controles antisísmicos.

Ausencia o deficiencia en los controles para prevención de incendios.

Almacenamiento de documentos impresos sin medidas de protección.

Manejo inadecuado de la información.

Ubicado en una zona de susceptible de vandalismo, protestas y manifestaciones

Acceso a zonas seguras sin control.

Gestión deficiente de contraseñas.

Asignación errada de privilegios o derechos de acceso.

Ausencia o debilidades de mecanismos de identificación y autenticación de usuario.

Inadecuada segregación de funciones, roles y perfiles de usuario.

Ausencia de un proceso formal para la revisión periódica de los permisos de acceso de los
usuarios.

Notificación inoportuna de novedades de usuario a TI.

Ausencia de documentación actualizada de los Sistemas de Información.

Ausencia de protección a los datos de producción en los ambientes de prueba.

Uso de software que no cumple con los requerimientos de los usuarios.

Uso de software desactualizado o con vulnerabilidades.

Falta de control en el cumplimiento de estándares de actualización de software.

Ausencia o insuficiencia de pruebas de aceptación en los sistemas.

Ausencia o insuficiencia de pruebas de la funcionalidad de la seguridad de los sistemas.

Conexiones a redes públicas sin mecanismos de protección.

Configuraciones por defecto.

Los ambientes de pruebas, desarrollo y producción no se encuentran separados.

Incapacidad del sistema para atender un alto volumen de conexiones.

Permitir la ejecución de sesiones simultáneas del mismo usuario en el sistema de información o

servicio.

Ausencia de alertas de seguridad en los componentes tecnológicos.

Uso de protocolos con vulnerabilidades para la protección de la confidencialidad o integridad.

Ausencia o deficiencia en los recursos de almacenamiento y procesamiento.

Ausencia o deficiencia de seguimiento y monitoreo a los recursos de almacenamiento y

procesamiento de información.

Habilitación de servicios de red innecesarios.

Ausencia de documentación de los puertos que utilizan los sistemas de información o servicios
informáticos.

Ausencia de líneas base para la instalación de los componentes tecnológicos.

Ausencia de control para "terminar sesión" luego de un tiempo determinado de inactividad.

Ausencia de controles criptográficos o uso de cifrado débil.

Inadecuado uso y protección a las llaves criptográficas durante su ciclo de vida.

Ausencia de controles de detección, de prevención y de recuperación para proteger contra

códigos maliciosos.

Ausencia de copias de respaldo de la información, software e imágenes de los sistemas.

Falta de pruebas de verificación de las copias de respaldo.

Inadecuada protección de la información de registro.

Protección inadecuada de la información en las redes de la información.

Protección inadecuada a la información manejada por mensajería electrónica.

Falta de integrar la seguridad de la información durante todo el ciclo de vida de los sistemas.
Falta o fallas de sincronización de los relojes de los sistemas de procesamiento de información.

Ausencia de Planes de Recuperación de Desastres (DRP).

Falta de pruebas de verificación a los planes de recuperación de desastres.

Ausencia de sistemas redundantes (Alta Disponibilidad), que permita dar una respuesta más
rápida en eventos de falla.

Mantenimiento insuficiente o inoportuno de los componentes de hardware.

Ausencia de mantenimientos preventivos programados.

Debilidades en la seguridad perimetral de la red de datos.

Arquitectura de red de datos sin cumplir con los requerimientos de seguridad de la información.

Ausencia de control sobre dispositivos móviles.

Dependencia de un sólo proveedor de Internet.

Ausencia o insuficiencia de ANS (Acuerdos de Niveles de Servicio).

Susceptibilidad a las variaciones de temperatura.

Susceptibilidad a las variaciones de voltaje.

Obsolescencia tecnológica.

Uso inadecuado de los componentes tecnológicos (equipos de cómputo, dispositivos de red,

servidores, etc.).
 AMENAZAS MÁS COMUNES
TIPO ID
1.1
1.2
1.3
1.4
1.5
1. Personas 1.6
1.7
1.8

1.9

2.1

2.2

2.3
2.4
2.5
2.6
2. Infraestructura Física 2.7
2.8
2.9
2.10
2.11
2.12
2.13
2.14
3.1
3.2

3.3

3.4

3.5

3.6
3.7
3. Sistemas de Información/Servicios
3.8
informáticos/Información
3.9

3.10

3.11
3.12
3.13
3.14
 3.15
3.16
4.1
4.2
4.3
4.4
4. Hardware
4.5
4.6

4.7
AMENAZAS MÁS COMUNES
AMENAZAS
Sobrecarga laboral.
Ingeniería social.
Coacción.
Sabotaje.
Errores humanos en el cumplimiento de las labores.
Acciones fraudulentas
Entrega indebida de la información.
Modificación indebida de la información.
Situaciones administrativas durante la relación laboral (incapacidades,
vacaciones, muerte, licencias).
Contaminación, Polvo, Corrosión.

Niveles de temperatura o humedad por fuera de los rangos aceptables.

Fallas de electricidad.
Señales de interferencia.
Daño en instalaciones físicas.
Fallas en el aire acondicionado.
Fallas en las UPS.
Fallas en la planta eléctrica.
Desastres naturales.
Incendio.
Inundación.
Asonada/Conmoción civil / Terrorismo/Vandalismo.
Desastre accidental.
Daño en componentes tecnológicos
Ataque informático para acceder a información reservada o clasificada.
Ataque informático para modificar datos.

Ingeniería social.

Interceptación de información.
Cifrado no autorizado de la información por malware o acción mal
intencionada.
Corrupción de los datos por fallas en el software.
Suplantación de usuarios.

Abuso de privilegios.

Elevación de privilegios.
Exposición de información confidencial y de uso interno por errores de
configuración.
Malware / software malicioso.
Denegación de servicios.
Alteración de la información
Divulgación de la información
Uso indebido de la información
Uso no autorizado de la información
Fallas en los componentes de hardware.
Falla de medios de respaldo y recuperación.
Fallas en el aire acondicionado.
Uso de equipos no autorizados como piñas, videocámaras, y grabadoras
entre otros.
Hurto de equipos, medios magnéticos o documentos.
Fallas en el suministro de energía eléctrica
Acceso a información confidencial y de uso interno desde componentes
tecnológicos reciclados o desechados.
 ANEXO A - NTC-ISO-IEC 27001:2013
ID ID Objetivo de
Dominio Objetivo de Control ID Control
Dominio Control
Política de Seguridad de la A.5.1.1
A.5 Política de Seguridad A.5.1
Información A.5.1.2
A.6.1.1
A.6.1.2
Organización de la A.6.1 Organización interna A.6.1.3
A.6 Seguridad de la A.6.1.4
Información A.6.1.5
Dispositivos móviles y A.6.2.1
A.6.2
teletrabajo A.6.2.2
A.7.1.1
A.7.1 Antes de asumir el empleo
A.7.1.2
A.7.2.1
Seguridad de los Durante la ejecución del
A.7 A.7.2 A.7.2.2
Recursos Humanos empleo
A.7.2.3
Terminación o cambio de
A.7.3 A.7.3.1
empleo
A.8.1.1
A.8.1.2
A.8.1 Responsabilidad por los activos
A.8.1.3
A.8.1.4
A.8.2.1
A.8 Gestión de Activos
A:8.2 Clasificación de la información A.8.2.2
A.8.2.3
A.8.3.1
A.8.3 Manejo de Medios A.8.3.2
A.8.3.3
Requisitos del Negocio para A.9.1.1
A.9.1
Control de Acceso A.9.1.2
A.9.2.1
A.9.2.2
A.9.2.3
A.9.2 Gestión de acceso de usuarios
A.9.2.4
A.9.2.5
A.9 Control de Acceso A.9.2.6
Responsabilidades de los
A.9.3 A.9.3.1
usuarios
A.9.4.1
A.9.4.2
Control de Acceso a Sistemas y
A.9.4 A.9.4.3
Aplicaciones
A.9.4.4
A.9.4.5
A.10.1.1
A.10 Criptografía A.10.1 Controles Criptográficos
A.10.1.2
 A.11.1.1
A.11.1.2
A.11.1.3
A.11.1 Áreas Seguras
A.11.1.4
A.11.1.5
A.11.1.6
A.11.2.1
Seguridad Física y del
A.11 A.11.2.2
Entorno
A.11.2.3
A.11.2.4
A-11.2 Equipos A.11.2.5
A.11.2.6
A.11.2.7
A.11.2.8
A.11.2.9
A.12.1.1
Procedimientos Operacionales A.12.1.2
A.12.1
y Responsabilidades A.12.1.3
A.12.1.4
Protección Contra Códigos
A.12.2 A.12.2.1
Maliciosos
A.12.3 Copias de Respaldo A.12.3.1
A.12.4.1
Seguridad de las A.12.4.2
A.12 A.12.4 Registro y Seguimiento
Operaciones A.12.4.3
A.12.4.4
Control de Software
A12.5 A.12.5.1
Operacional
Gestión de la Vulnerabilidad A.12.6.1
A.12.6
Técnica A.12.6.2
Consideraciones sobre
A.12.7 Auditorias de Sistemas de A.12.7.1
Información
A.13.1.1
Gestión de la Seguridad de las
A.13.1 A.13.1.2
Redes
A.13.1.3
Seguridad de las
A.13 A.13.2.1
Comunicaciones
A.13.2.2
A.13.2 Transferencia de Información
A.13.2.3
A.13.2.4
A.14.1.1
Requisitos de seguridad de los
A.14.1 A.14.1.2
sistemas de información
A.14.1.3
A.14.2.1
A.14.2.2
Adquisición, A.14.2.3
A.14 Mantenimiento y A.14.2.4
Desarrollo de Sistemas Seguridad en los procesos de
A.14.2 A.14.2.5
desarrollo y soporte
 Adquisición,
A.14 Mantenimiento y
Desarrollo de Sistemas Seguridad en los procesos de
A.14.2
desarrollo y soporte
A.14.2.6
A.14.2.7
A.14.2.8
A.14.2.9
A.14.3 Datos de prueba A.14.3.1
Seguridad de la información en A.15.1.1
A.15.1 las relaciones con los A.15.1.2
Relaciones con los proveedores
A.15 A.15.1.3
Proveedores
Gestión de la prestación de A.15.2.1
A.15.2
servicios de proveedores A.15.2.2
A.16.1.1
A.16.1.2
Gestión de Incidentes Gestión de incidentes y A.16.1.3
A.16 de Seguridad de la A.16.1 mejoras en la seguridad de la A.16.1.4
Información información A.16.1.5
A.16.1.6
A.16.1.7
A.17.1.1
Aspectos de Seguridad Continuidad de Seguridad de la A.17.1.2
de la Información de la A.17.1
A.17 Información
Gestión de Continuidad A.17.1.3
de Negocio
A.17.2 Redundancias A.17.2.1
A.18.1.1
A.18.1.2
Cumplimiento de requisitos
A.18.1 A.18.1.3
legales y contractuales
A.18.1.4
A.18 Cumplimiento
A.18.1.5
A.18.2.1
Revisiones de seguridad de la
A.18.2 A.18.2.2
información
A.18.2.3
NTC-ISO-IEC 27001:2013

Control

A.5.1.1-Políticas para la seguridad de la información

A.5.1.2-Revisión de la política de seguridad de la información
A.6.1.1-Seguridad de la información roles y responsabilidades
A.6.1.2-Separación de deberes
A.6.1.3-Contacto con las autoridades
A.6.1.4-Contacto con grupos de interés especial
A.6.1.5-Seguridad de la información en gestión de proyectos
A.6.2.1-Política para dispositivos móviles
A.6.2.2-Teletrabajo
A.7.1.1-Selección
A.7.1.2-Términos y condiciones del empleo
A.7.2.1-Responsabilidades de la dirección
A.7.2.2-Toma de conciencia, educación y formación en la seguridad de la información
A.7.2.3-Proceso disciplinario
A.7.3.1-Terminación o cambio de responsabilidades de empleo
A.8.1.1-Inventario de activos
A.8.1.2-Propiedad de los activos
A.8.1.3-Uso aceptable de los activos
A.8.1.4-Devolución de activos
A.8.2.1-Clasificación de la información
A.8.2.2-Etiquetado de la información
A.8.2.3-Manejo de activos
A.8.3.1-Gestión de medios de soporte removibles
A.8.3.2-Disposición de los medios de soporte
A.8.3.3-Transferencia de medios de soporte físicos
A.9.1.1-Política de control de acceso
A.9.1.2-Acceso a redes y a servicios en red
A.9.2.1-Registro y cancelación del registro de usuarios
A.9.2.2-Suministro de acceso de usuarios
A.9.2.3-Gestión de derechos de acceso privilegiado
A.9.2.4-Gestión de información de autenticación secreta de usuarios
A.9.2.5-Revisión de los derechos de acceso de usuarios
A.9.2.6-Retiro o ajuste de los derechos de acceso
A.9.3.1-Uso de información de autenticación secreta
A.9.4.1-Restricción de acceso a información
A.9.4.2-Procedimiento de ingreso seguro
A.9.4.3-Sistema de gestión de contraseñas
A.9.4.4-Uso de programas utilitarios privilegiados
A.9.4.5-Control de acceso a códigos fuente de programas
A.10.1.1-Política sobre el uso de controles criptográficos
A.10.1.2-Gestión de Llaves
A.11.1.1-Perímetro de seguridad física
A.11.1.2-Controles de acceso físico
A.11.1.3-Seguridad de oficinas, recintos e instalaciones
A.11.1.4-Protección contra amenazas externas y ambientales
A.11.1.5-Trabajo en áreas seguras
A.11.1.6-Áreas de carga, despacho y acceso público
A.11.2.1-Ubicación y protección de los equipos
A.11.2.2-Servicios públicos de soporte
A.11.2.3-Seguridad del cableado
A.11.2.4-Mantenimiento de los equipos
A.11.2.5-Retiro de activos
A.11.2.6-Seguridad de los equipos y activos fuera de las instalaciones
A.11.2.7-Disposición segura o reutilización de equipos
A.11.2.8-Equipos de usuario desatendido
A.11.2.9-Política de escritorio limpio y pantalla limpia
A.12.1.1-Documentación de los procedimientos de operación
A.12.1.2-Gestión del cambios
A.12.1.3-Gestión de la capacidad
A.12.1.4-Separación de los ambientes de desarrollo, pruebas y operación
A.12.2.1-Controles contra códigos maliciosos.
A.12.3.1-Copias de respaldo de la información
A.12.4.1-Registro de eventos
A.12.4.2-Protección de la información de registro
A.12.4.3-Registros del administrador y del operador
A.12.4.4-Sincronización de relojes
A.12.5.1-Instalación de software en sistemas operativos
A.12.6.1-Gestión de las vulnerabilidades técnicas
A.12.6.2-Restricciones sobre la instalación de software.

A.12.7.1-Controles de auditorías de sistemas de información.

A.13.1.1-Controles de redes
A.13.1.2-Seguridad de los servicios de red.
A.13.1.3-Separación en las redes
A.13.2.1-Políticas y procedimientos de transferencia de información
A.13.2.2-Acuerdos sobre transferencia de información
A.13.2.3-Mensajes electrónicos
A.13.2.4-Acuerdos de confidencialidad o de no divulgación
A.14.1.1-Análisis y especificación de requisitos de seguridad de la información
A.14.1.2-Seguridad de servicios de las aplicaciones en redes públicas
A.14.1.3-Protección de transacciones de servicios de aplicaciones
A.14.2.1-Política de desarrollo seguro
A.14.2.2-Procedimientos de control de cambios en sistemas
A.14.2.3-Revisión técnica de aplicaciones después de cambios en la plataforma de
operaciones
A.14.2.4-Restricciones en los cambios a los paquetes de software
A.14.2.5-Principios de construcción de los sistemas seguros
A.14.2.6-Ambiente de desarrollo seguro
A.14.2.7-Desarrollo contratado externamente
A.14.2.8-Pruebas de seguridad de sistemas
A.14.2.9-Prueba de aceptación de sistemas
A.14.3.1-Protección de datos de prueba
A.15.1.1-Política de seguridad de la información para las relaciones con proveedores
A.15.1.2-Tratamiento de la seguridad dentro de los acuerdos con proveedores
A.15.1.3-Cadena de suministro de tecnología de información y comunicación
A.15.2.1-Seguimiento y revisión de los servicios de los proveedores
A.15.2.2-Gestión de cambios a los servicios de los proveedores
A.16.1.1-Responsabilidades y procedimientos
A.16.1.2-Reporte de eventos de seguridad de la información
A.16.1.3-Reporte de debilidades de seguridad de la información
A.16.1.4-Evaluación de eventos de seguridad de la información y decisiones sobre ellos.
A.16.1.5-Respuesta a incidentes de seguridad de la información
A.16.1.6-Aprendizaje obtenido de los incidentes de seguridad de la información
A.16.1.7-Recolección de evidencia
A.17.1.1-Planificación de la continuidad de la seguridad de la información
A.17.1.2-Implementación de la continuidad de la seguridad de la información
A.17.1.3-Verificación, revisión y evaluación de la continuidad de la seguridad de la información
A.17.2.1-Disponibilidad de instalaciones de procesamiento de información
A.18.1.1-Identificación de la legislación aplicable y de los requisitos contractuales
A.18.1.2-Derechos de propiedad intelectual
A.18.1.3-Protección de registros
A.18.1.4-Privacidad y protección de información de datos personales
A.18.1.5-Reglamentación de controles criptográficos
A.18.2.1-Revisión independiente de la seguridad de la información
A.18.2.2-Cumplimiento con las políticas y normas de seguridad
A.18.2.3-Revisión del cumplimiento técnico