Análisis de riesgos de la información

Matriz de riesgos

Carlos Erdulfo Romero Martínez

Código 100192216
Diana Mabel Padilla Candela
Código 100106302

Politécnico Grancolombiano
Gestión de Identidad – Grupo U01
CARLOS ENRIQUE MONTENEGRO NARVAEZ
12 de julio de 2022
Objetivo:
Evaluar las medidas de seguridad necesarias para proteger los activos de información es a través del
análisis de riesgo a fin de que se pueda determinar cuál riesgo es más importante mitigar o cuáles
activos se encuentran más expuestos.
Está metodología de análisis de riesgos se enfoca en tres variables que afectan la percepción del
valor de los datos personales para un atacante:

1) Beneficio para el atacante: Aquellos datos personales que representen mayor beneficio tienen
más probabilidad de ser atacados (por ejemplo, beneficio económico por venderlos o usarlos).

2) Accesibilidad para el atacante: Aquellos datos personales que sean de fácil acceso tienen mayor
probabilidad de ser atacados (por ejemplo, miles de personas pueden acceder a la vez a una base de
datos a través de un sitio web, pero sólo unas cuantas lo podrían hacer a un archivero).

3) Anonimidad del atacante. Aquellos datos personales cuyo acceso represente mayor anonimidad
tienen más probabilidad de ser atacados (por ejemplo, internet es un medio más anónimo que
presentarse físicamente a las instalaciones de una empresa).

1.Descripción de la empresa con las principales evidencias de sus activos.

El proceso de análisis de riesgos considera la evaluación cuantitativa y cualitativa sobre la

posibilidad de que un activo de información pueda sufrir una pérdida o daño. Contempla la
identificación de activos, el estudio de causas y consecuencias de las amenazas y vulnerabilidades
en los sistemas de tratamiento de datos personales, y permite establecer parámetros para ponderar
los efectos de posibles vulneraciones de seguridad.

MIGRACIÓN COLOMBIA

De acuerdo con Decreto 4062 del 31 de octubre de 2011, son funciones de Migración Colombia, las
siguientes:

1. Apoyar al Ministerio de Relaciones Exteriores y demás instituciones del Estado en la

formulación y ejecución de la Política Migratoria.

2. Ejercer la vigilancia y el control migratorio de nacionales y extranjeros en el territorio nacional.

3. Llevar el registro de identificación de extranjeros y efectuar en el territorio nacional la

verificación migratoria de los mismos.
4. Ejercer funciones de Policía Judicial, en coordinación con la Fiscalía General de la Nación, para
las actividades relacionadas con el objetivo de la entidad, en los términos establecidos en la ley.

5. Capturar, registrar, procesar, administrar y analizar la información de carácter migratorio y de

extranjería para la toma de decisiones y consolidación de políticas en esta materia.

6. Formular, dirigir, coordinar y evaluar los planes, programas y proyectos en materia de control
migratorio, extranjería y verificación migratoria, en desarrollo y de conformidad con la política
migratoria.

7. Expedir los documentos relacionados con cédulas de extranjería, salvoconductos y prórrogas de

permanencia y salida del país, certificado de movimientos migratorios, permiso de ingreso, registro
de extranjeros y los demás trámites y documentos relacionados con migración y extranjería que
sean asignados a la entidad, dentro de la política que para tal efecto establezca el Gobierno
Nacional.

8. Recaudar y administrar los recursos provenientes de la tasa que trata la Ley 961 de 2005
modificada por la Ley 1238 de 2008 y demás disposiciones que la modifiquen o adicionen.

9. Recaudar y administrar las multas y sanciones económicas señaladas en el artículo 3° de la Ley

15 de 1968, en el artículo 98 del Decreto 4000 de 2004 y demás disposiciones que la modifiquen o
adicionen.

10. Coordinar el intercambio de información y cooperación con otros organismos nacionales e

internacionales, bajo los lineamientos del Ministerio de Relaciones Exteriores y las demás entidades
competentes.

11. Coordinar con el Ministerio de Relaciones Exteriores, la adopción y cumplimiento de los

compromisos internacionales del Estado en materia migratoria.

12. Las demás que le sean asignadas.

Parágrafo. Para el ejercicio de las funciones migratorias y de extranjería, la Policía Nacional

brindará a Migración Colombia la información necesaria, en especial la proveniente de las bases de
datos de la Oficina Central Nacional -QCN- Interpol y de antecedentes judiciales. Así mismo,
Migración Colombia debe brindar la información que requieran las demás entidades públicas para
el ejercicio de sus funciones, dentro de los términos establecidos en la ley.

VISION
En el año 2022, Migración Colombia, como la Autoridad Migratoria, será reconocida a nivel
mundial por ser innovadora y modelo de buenas prácticas en gestión migratoria.

MISON
Ejercer control como autoridad migratoria a ciudadanos nacionales y extranjeros en el territorio
colombiano de manera técnica y especializada, brindando servicios de calidad, en el marco de la
Constitución y la ley.

OBJETIVOS ESTRATEGICOS

El objetivo de Migración Colombia, es ejercer las funciones de autoridad de vigilancia y control

migratorio y de extranjería del Estado Colombiano, dentro del marco de la soberanía nacional y de
conformidad con las leyes y la política que en la materia defina el Gobierno Nacional.

Para el desarrollo de las funciones y de los procesos del Sistema Integrado de Gestión – SIG, se
establecen como Objetivos Estratégicos:

a). Fortalecer las competencias y el desarrollo integral de los servidores públicos de Migración
Colombia para dar respuesta a las necesidades y expectativas de nuestras partes interesadas.

b). Lograr que la plataforma tecnológica institucional sea efectiva para facilitar y optimizar las
actividades misionales y de soporte de la Entidad.

c). Implementar y mantener un Sistema Integrado de Gestión que conlleve a mejorar el desempeño
de la Entidad.

2. Análisis de brecha o diagnóstico sobre la gestión de riesgos (preguntas claves para saber si
la empresa cuenta o no con un sistema de gestión de riesgos o una matriz de riesgos).

Migración Colombia cuenta con una oficina de Tecnología de la información que es la encargada de
canalizar todo lo referente los procesos de la entidad desde el ámbito de la prestación del servicio de
conectividad y seguridad de la información y en general de la infraestructura Física, planta y
equipos.
¿Qué ha hecho la organización en términos de identificación, análisis y evaluación de riesgos?

 Migración Colombia por tener un sistema de gestión de calidad tiene identificados,

analizados y evaluados los riesgos. Pero más enfocado en el tema de la calidad y no
referente al sistema de gestión de seguridad de la información. En el momento posee una
matriz de riesgos enmarcadas dentro del sistemas de gestión de la calidad.

 Existe un área o departamento dentro de la organización que trabaje la seguridad de la

información.

 Se tiene un grupo de personas encargadas del tema de la seguridad de la información que es

apoyada por la coordinación de seguridad de instalaciones e infraestructura. Quienes son
los que se encargar de evaluar los riesgos de la seguridad de la información, planta y
equipos.

 Existe una política para salvaguardar la información.

 Existe actualmente una política para salvaguardar la información y con planes de

contingencia, para proteger y mitigar la posible vulnerabilidad de los activos.

 La organización si tiene contemplando el análisis de riesgos de la información

 Migración Colombia tiene contemplado el análisis de riesgos de la información y todos los

protocolos y procedimientos para tal efecto.

 Solo que la mayoría ya están desactualizados y no se aplican con toda rigurosidad

presentando vacíos dentro de ese análisis.

3. Clasificación de activos de información (mínimo 5).

SERVIDORES: Migración Colombia cuenta con los siguientes servidores locales
 Web service
 Servidor de correo
 Servidor de aplicación pqrs
 Servidor de aplicativo chek mig
  Servidor de dominio
 Servidor Biomig

ALMACENAMIENTO: De los servidores anteriormente mencionados se tiene el servidor back up

ubicado dentro del mismo centro de datos y el servidor de espejo localizado fuera de la entidad
RED DE DATOS: se tiene LAN (red interna) – GTON (Red externa permite la interconexión con
otras ciudades donde opera el servicio)
RED DE ELECTRICA: Red que cubre todas las regionales - UPS y de EMERGENCIA
BASE DE DATOS: Platinum – Biomig – Chek mig -Orfeo

4. Identificación de vulnerabilidades, amenazas y riesgos por cada activo (mínimo 3). (Hoja de
excel)
5. Análisis de vulnerabilidades.

EFECTO VULNERABILIDAD

Falta de actualización de los sistemas

Contaminación o daño el equipo operativos
Confidencialidad de la información
Contraseñas poco seguras
expuesta
 (Configuración y gestión del
Contaminación o daño el equipo sistema)
falta de disponibilidad de la
falta de seguridad de acceso
información

Perdida de información fallas físicas en dispositivos

perdida de integridad de la  (Configuración y gestión del

información sistema)

No prestación del servicio no contar con firewalls

Daños y perdida de información conciencia en el personal de ti

perdida o exposición de información poca capacitación del personal de ti

daños en la infraestructura no contar con reguladores de tensión

fallas en la prestación del servicio daños en la red externa. No pago.

no prestación del servicio. fallo general en generadora

Indisponibilidad acceso no autorizado a datos

 No trazabilidad en cambios falta de pruebas antes de producción
Abuso de los privilegios de la base de
Perdida de información
datos

6. Indicación de relación impacto y probabilidad de ocurrencia por cada riesgo

identificado. Esta relación es inicialmente cualitativa.

Impacto determinado por migración Colombia para sus procesos.


RIESGOS DE GESTIÓN
NIVEL VALOR IMPACTO (CONSECUENCIAS) CUANTITATIVO
*Impacto que afecte la ejecución presupuestal en un valor
≥30%.
* Pérdida de cobertura en la prestación de los servicios de
CATASTRÓFICO
la entidad ≥30%.
* Pago de indemnizaciones a terceros por acciones legales
10 que pueden afectar el presupuesto total de la entidad en un
valor ≥30%.
* Pago de sanciones económicas por incumplimiento en la
normatividad aplicable ante un ente regulador, las cuales
afectan en un valor ≥30% del presupuesto general de la
entidad.
* Impacto que afecte la ejecución presupuestal en un valor
≥10%.
* Pérdida de cobertura en la prestación de los servicios de
la entidad ≥10%.
MAYOR
* Pago de indemnizaciones a terceros por acciones legales
8 que pueden afectar el presupuesto total de la entidad en un
valor ≥10%.
* Pago de sanciones económicas por incumplimiento en la
normatividad aplicable ante un ente regulador, las cuales
afectan en un valor ≥10% del presupuesto general de la
entidad.
* Impacto que afecte la ejecución presupuestal en un valor
≥5%.
* Pérdida de cobertura en la prestación de los servicios de
la entidad ≥5%.
MODERADO
* Pago de indemnizaciones a terceros por acciones legales
6 que pueden afectar el presupuesto total de la entidad en un
valor ≥5%.
* Pago de sanciones económicas por incumplimiento en la
normatividad aplicable ante un ente regulador, las cuales
afectan en un valor ≥5% del presupuesto general de la
entidad.
* Impacto que afecte la ejecución presupuestal en un valor
≥3%.
* Pérdida de cobertura en la prestación de los servicios de
la entidad ≥3%.
MENOR
* Pago de indemnizaciones a terceros por acciones legales
4 que pueden afectar el presupuesto total de la entidad en un
valor ≥3%.
* Pago de sanciones económicas por incumplimiento en la
normatividad aplicable ante un ente regulador, las cuales
afectan en un valor ≥3% del presupuesto general de la
entidad.
* Impacto que afecte la ejecución presupuestal en un valor
≥0,5%.
* Pérdida de cobertura en la prestación de los servicios de
INSIGNIFICANTE
la entidad ≥0,5%.
* Pago de indemnizaciones a terceros por acciones legales
2 que pueden afectar el presupuesto total de la entidad en un
valor ≥0,5%.
* Pago de sanciones económicas por incumplimiento en la
normatividad aplicable ante un ente regulador, las cuales
afectan en un valor ≥0,5% del presupuesto general de la
entidad.
CRITERIOS PARA CALIFICAR EL IMPACTO
RIESGOS DE SEGURIDAD DIGITAL RIESGOS DE CORRUPCIÓN
IMPACTO (CONSECUENCIAS) IMPACTO (CONSECUENCIAS) PREGUNTA: RESPUESTA (Marcar con X)
NIVEL VALOR IMPACTO (CONSECUENCIAS) CUANTITATIVO N°
CUALITATIVO CUALITATIVO Si el riesgo de corrupción se materializa podría… SI NO
* Interrupción de las operaciones de la entidad por 1 ¿Afectar al grupo de funcionarios del proceso? x
más de tres (3) días.
* Intervención por parte de un ente de control u
* Afectación muy grave de la integridad de la información debido al
CATASTRÓFICO
otro ente regulador.
interés particular de los empleados y terceros
*Pérdida de información crítica para la entidad que
Afectación ≥X% de la población * Afectación muy grave de la disponibilidad de la información debido al
no se puede recuperar.
5 Afectación ≥X% del presupuesto anual de la entidad interés particular de los empleados y terceros ¿Afectar el cumplimiento de metas y objetivos de la dependencia?
* Incumplimiento en las metas y objetivos 2 x
Afectación muy grave del Medio Ambiente que requiere de ≥X años de recuperación * Afectación muy grave confidencialidad de la información debido al
institucionales afectando de forma grave la
interés particular de los empleados y terceros
ejecución presupuestal.
* Imagen institucional afectada en el orden
nacional o regional por actos o hechos de
corrupción comprobados.
3 ¿Afectar el cumplimiento de misión de la Entidad? x
* Interrupción de las operaciones de la entidad por 4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad? x
más de dos (2) días.
* Pérdida de información crítica que puede ser
recuperada de forma parcial o incompleta. * Afectación grave de la integridad de la información debido al interés
* Sanción por parte del ente de control u otro ente Afectación ≥X% de la población particular de los empleados y terceros
MAYOR
regulador. Afectación ≥X% del presupuesto anual de la entidad * Afectación grave de la disponibilidad de la información debido al interés
* Incumplimiento en las metas y objetivos 4 Afectación importante del Medio Ambiente que requiere de ≥X meses de particular de los empleados y terceros 5 ¿Generar pérdida de confianza de la Entidad, afectando su reputación? x
institucionales afectando el cumplimiento en las recuperación * Afectación grave de la confidencialidad de la información debido al
metas de gobierno. interés particular de los empleados y terceros
* Imagen institucional afectada en el orden
nacional o regional por incumplimientos en la
prestación del servicio a los usuarios o
6 ¿Generar pérdida de recursos económicos? x
ciudadanos
* Interrupción de las operaciones de la entidad por 7 ¿Afectar la generación de los productos o la prestación de servicios? x
un (1) día.
* Reclamaciones o quejas de los usuarios que
podrían implicar una denuncia ante los entes
reguladores o una demanda de largo alcance para * Afectación moderada de la integridad de la información debido al
la entidad. interés particular de los empleados y terceros
MODERADO
Afectación ≥X% de la población ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del
* Inoportunidad en la información, ocasionando * Afectación moderada de la disponibilidad de la información debido al 8 x
Afectación ≥X% del presupuesto anual de la entidad bien o servicios o los recursos públicos?
retrasos en la atención a los usuarios. 3 interés particular de los empleados y terceros
Afectación leve del Medio Ambiente requiere de ≥X semanas de recuperación
* Reproceso de actividades y aumento de carga * Afectación moderada de la confidencialidad de la información debido al
operativa. interés particular de los empleados y terceros
* Imagen institucional afectada en el orden
nacional o regional por retrasos en la prestación
del servicio a los usuarios o ciudadanos.
9 ¿Generar pérdida de información de la Entidad? x
* Investigaciones penales, fiscales o
disciplinarias.
* Interrupción de las operaciones de la entidad por
10 ¿Generar intervención de los órganos de control, de la Fiscalía, u otro ente? x
12 horas.
* Reclamaciones o quejas de los usuarios, que Afectación ≥X% de la población * Afectación leve de la integridad
MENOR
implican investigaciones internas disciplinarias. Afectación ≥X% del presupuesto anual de la entidad * Afectación leve de la disponibilidad
2
* Imagen institucional afectada localmente por Afectación leve del Medio Ambiente requiere de ≥X días de recuperación * Afectación leve de la confidencialidad
retrasos en la prestación del servicio a los
usuarios o ciudadanos. 11 ¿Dar lugar a procesos sancionatorios? x
* No hay interrupción de las operaciones de la
INSIGNIFICANTE
12 ¿Dar lugar a procesos disciplinarios? x
entidad. * Sin afectación de la integridad
Afectación ≥X% de la población
* No se generan sanciones económicas o * Sin afectación de la disponibilidad
Afectación ≥X% del presupuesto anual de la entidad
administrativas. 1 * Sin afectación de la confidencialidad
No hay Afectación medioambiental
* No se afecta la imagen institucional de forma
significativa.
13 ¿Dar lugar a procesos fiscales? x
 CRITERIOS PARA CALIFICAR LA PROBABILIDAD
Nivel Descriptor Descripción Frecuencia
Se espera que el evento ocurra en la mayoría de las
5 Casi seguro Más de 1 vez al año.
circunstancias
Es viable que el evento ocurra en la mayoría de las
4 Probable Al menos 1 vez en el último año.
circunstancias
Al menos 1 vez en los últimos 2
3 Posible El evento podrá ocurrir en algún momento
años.
Al menos 1 vez en los últimos 5
2 Improbable El evento puede ocurrir en algún momento
años.
El evento puede ocurrir solo en circunstancias No se ha presentado en los
1 Rara vez
excepcionales (poco comunes o anormales) últimos 5 años.
En los casos que la entidad no cuente con datos históricos sobre el número de eventos que se hayan materializado en un periodo de
tiempo, se trabajará de acuerdo con la experiencia de los responsables que desarrollan el proceso y el análisis de los factores
internos y externos

7. Análisis cuantitativo de los riesgos analizados a partir del análisis cualitativo realizado.

TIPOS DE RIESGO

Posibilidad de ocurrencia de eventos que afecten los procesos

misionales de la entidad. Está relacionado con las deficiencias o fallas en
el recurso humano, los procesos, la tecnología, la infraestructura o
Riesgos operativos
acontecimientos externos que afecten la capacidad de la Entidad para
ofrecer los productos y servicios de acuerdo con las características
previstas.
Posibilidad de ocurrencia de un evento que afecte la imagen, buen
Riesgos reputacionales
nombre o reputación de la Entidad ante sus clientes y partes interesadas
Posibilidad de ocurrencia de eventos que afecten el manejo de los
recursos de la Entidad que incluyen, la ejecución presupuestal, la
Riesgos financieros
elaboración de los estados financieros, los pagos, cartera, manejos de
excedentes de tesorería y el manejo sobre los bienes

Posibilidad de ocurrencia de eventos que afecten la situación jurídica o

Riesgos legales contractual de la organización debido a un incumplimiento o desacato
de la normatividad legal y las obligaciones contractuales

Posibilidad de que, por acción u omisión, se use el poder para desviar la

Riesgos de corrupción
gestión de lo público hacia un beneficio privado

Riesgos de seguridad Posibilidad de combinación de amenazas y vulnerabilidades en el

digital entorno digital. Puede debilitar el logro de objetivos económicos y
sociales, afectar la soberanía nacional, la integridad territorial, el orden
 constitucional y los intereses nacionales. Incluye aspectos relacionados
con el ambiente físico, digital y las personas
Posibilidad de ocurrencia de eventos que afecten los objetivos
Riesgos estratégicos estratégicos de la organización pública y por tanto impactan toda la
entidad

Aquellos factores o eventos que afectan negativamente un aspecto

Riesgos ambientales
ambiental
Son aquellos generados por exposición a factores o eventos que pueden
Riesgos de Seguridad y
afectar la salud o seguridad de los trabajadores, con potencial de
Salud en el Trabajo
generar enfermedades o accidentes laborales

De acuerdo con análisis realizado para esta matriz para nuestros activos de la información
seleccionado. Podemos concluir que están en el tipo de riegos de seguridad Digital como riesgo
mayor.

Servidores
Almacenamiento
red de datos
Red eléctrica
Bases de datos

8. Identificación de posibles controles para los riesgos identificados. (En la matriz)

9. Análisis de riesgo puro y riesgo residual, de acuerdo con los riesgos identificados y los
controles propuestos. (En la matriz)