Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Matriz de riesgos
Politécnico Grancolombiano
Gestión de Identidad – Grupo U01
CARLOS ENRIQUE MONTENEGRO NARVAEZ
12 de julio de 2022
Objetivo:
Evaluar las medidas de seguridad necesarias para proteger los activos de información es a través del
análisis de riesgo a fin de que se pueda determinar cuál riesgo es más importante mitigar o cuáles
activos se encuentran más expuestos.
Está metodología de análisis de riesgos se enfoca en tres variables que afectan la percepción del
valor de los datos personales para un atacante:
1) Beneficio para el atacante: Aquellos datos personales que representen mayor beneficio tienen
más probabilidad de ser atacados (por ejemplo, beneficio económico por venderlos o usarlos).
2) Accesibilidad para el atacante: Aquellos datos personales que sean de fácil acceso tienen mayor
probabilidad de ser atacados (por ejemplo, miles de personas pueden acceder a la vez a una base de
datos a través de un sitio web, pero sólo unas cuantas lo podrían hacer a un archivero).
3) Anonimidad del atacante. Aquellos datos personales cuyo acceso represente mayor anonimidad
tienen más probabilidad de ser atacados (por ejemplo, internet es un medio más anónimo que
presentarse físicamente a las instalaciones de una empresa).
MIGRACIÓN COLOMBIA
De acuerdo con Decreto 4062 del 31 de octubre de 2011, son funciones de Migración Colombia, las
siguientes:
6. Formular, dirigir, coordinar y evaluar los planes, programas y proyectos en materia de control
migratorio, extranjería y verificación migratoria, en desarrollo y de conformidad con la política
migratoria.
8. Recaudar y administrar los recursos provenientes de la tasa que trata la Ley 961 de 2005
modificada por la Ley 1238 de 2008 y demás disposiciones que la modifiquen o adicionen.
VISION
En el año 2022, Migración Colombia, como la Autoridad Migratoria, será reconocida a nivel
mundial por ser innovadora y modelo de buenas prácticas en gestión migratoria.
MISON
Ejercer control como autoridad migratoria a ciudadanos nacionales y extranjeros en el territorio
colombiano de manera técnica y especializada, brindando servicios de calidad, en el marco de la
Constitución y la ley.
OBJETIVOS ESTRATEGICOS
Para el desarrollo de las funciones y de los procesos del Sistema Integrado de Gestión – SIG, se
establecen como Objetivos Estratégicos:
a). Fortalecer las competencias y el desarrollo integral de los servidores públicos de Migración
Colombia para dar respuesta a las necesidades y expectativas de nuestras partes interesadas.
b). Lograr que la plataforma tecnológica institucional sea efectiva para facilitar y optimizar las
actividades misionales y de soporte de la Entidad.
c). Implementar y mantener un Sistema Integrado de Gestión que conlleve a mejorar el desempeño
de la Entidad.
2. Análisis de brecha o diagnóstico sobre la gestión de riesgos (preguntas claves para saber si
la empresa cuenta o no con un sistema de gestión de riesgos o una matriz de riesgos).
Migración Colombia cuenta con una oficina de Tecnología de la información que es la encargada de
canalizar todo lo referente los procesos de la entidad desde el ámbito de la prestación del servicio de
conectividad y seguridad de la información y en general de la infraestructura Física, planta y
equipos.
¿Qué ha hecho la organización en términos de identificación, análisis y evaluación de riesgos?
4. Identificación de vulnerabilidades, amenazas y riesgos por cada activo (mínimo 3). (Hoja de
excel)
5. Análisis de vulnerabilidades.
EFECTO VULNERABILIDAD
* Interrupción de las operaciones de la entidad por 1 ¿Afectar al grupo de funcionarios del proceso? x
*Impacto que afecte la ejecución presupuestal en un valor
más de tres (3) días.
≥30%.
* Intervención por parte de un ente de control u
* Pérdida de cobertura en la prestación de los servicios de * Afectación muy grave de la integridad de la información debido al
CATASTRÓFICO
CATASTRÓFICO
otro ente regulador.
la entidad ≥30%. interés particular de los empleados y terceros
*Pérdida de información crítica para la entidad que
* Pago de indemnizaciones a terceros por acciones legales Afectación ≥X% de la población * Afectación muy grave de la disponibilidad de la información debido al
no se puede recuperar.
10 que pueden afectar el presupuesto total de la entidad en un 5 Afectación ≥X% del presupuesto anual de la entidad interés particular de los empleados y terceros ¿Afectar el cumplimiento de metas y objetivos de la dependencia?
* Incumplimiento en las metas y objetivos 2 x
valor ≥30%. Afectación muy grave del Medio Ambiente que requiere de ≥X años de recuperación * Afectación muy grave confidencialidad de la información debido al
institucionales afectando de forma grave la
* Pago de sanciones económicas por incumplimiento en la interés particular de los empleados y terceros
ejecución presupuestal.
normatividad aplicable ante un ente regulador, las cuales
* Imagen institucional afectada en el orden
afectan en un valor ≥30% del presupuesto general de la
nacional o regional por actos o hechos de
entidad.
corrupción comprobados.
3 ¿Afectar el cumplimiento de misión de la Entidad? x
* Interrupción de las operaciones de la entidad por 4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad? x
* Impacto que afecte la ejecución presupuestal en un valor más de dos (2) días.
≥10%. * Pérdida de información crítica que puede ser
* Pérdida de cobertura en la prestación de los servicios de recuperada de forma parcial o incompleta. * Afectación grave de la integridad de la información debido al interés
la entidad ≥10%. * Sanción por parte del ente de control u otro ente Afectación ≥X% de la población particular de los empleados y terceros
MAYOR
MAYOR
* Pago de indemnizaciones a terceros por acciones legales regulador. Afectación ≥X% del presupuesto anual de la entidad * Afectación grave de la disponibilidad de la información debido al interés
8 que pueden afectar el presupuesto total de la entidad en un * Incumplimiento en las metas y objetivos 4 Afectación importante del Medio Ambiente que requiere de ≥X meses de particular de los empleados y terceros 5 ¿Generar pérdida de confianza de la Entidad, afectando su reputación? x
valor ≥10%. institucionales afectando el cumplimiento en las recuperación * Afectación grave de la confidencialidad de la información debido al
* Pago de sanciones económicas por incumplimiento en la metas de gobierno. interés particular de los empleados y terceros
normatividad aplicable ante un ente regulador, las cuales * Imagen institucional afectada en el orden
afectan en un valor ≥10% del presupuesto general de la nacional o regional por incumplimientos en la
entidad. prestación del servicio a los usuarios o
6 ¿Generar pérdida de recursos económicos? x
ciudadanos
* Interrupción de las operaciones de la entidad por 7 ¿Afectar la generación de los productos o la prestación de servicios? x
un (1) día.
* Impacto que afecte la ejecución presupuestal en un valor * Reclamaciones o quejas de los usuarios que
≥5%. podrían implicar una denuncia ante los entes
* Pérdida de cobertura en la prestación de los servicios de reguladores o una demanda de largo alcance para * Afectación moderada de la integridad de la información debido al
la entidad ≥5%. la entidad. interés particular de los empleados y terceros
MODERADO
MODERADO
Afectación ≥X% de la población ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del
* Pago de indemnizaciones a terceros por acciones legales * Inoportunidad en la información, ocasionando * Afectación moderada de la disponibilidad de la información debido al 8 x
Afectación ≥X% del presupuesto anual de la entidad bien o servicios o los recursos públicos?
6 que pueden afectar el presupuesto total de la entidad en un retrasos en la atención a los usuarios. 3 interés particular de los empleados y terceros
Afectación leve del Medio Ambiente requiere de ≥X semanas de recuperación
valor ≥5%. * Reproceso de actividades y aumento de carga * Afectación moderada de la confidencialidad de la información debido al
* Pago de sanciones económicas por incumplimiento en la operativa. interés particular de los empleados y terceros
normatividad aplicable ante un ente regulador, las cuales * Imagen institucional afectada en el orden
afectan en un valor ≥5% del presupuesto general de la nacional o regional por retrasos en la prestación
entidad. del servicio a los usuarios o ciudadanos.
9 ¿Generar pérdida de información de la Entidad? x
* Investigaciones penales, fiscales o
disciplinarias.
MENOR
INSIGNIFICANTE
7. Análisis cuantitativo de los riesgos analizados a partir del análisis cualitativo realizado.
TIPOS DE RIESGO
De acuerdo con análisis realizado para esta matriz para nuestros activos de la información
seleccionado. Podemos concluir que están en el tipo de riegos de seguridad Digital como riesgo
mayor.
Servidores
Almacenamiento
red de datos
Red eléctrica
Bases de datos