Diagnostico para Determinar El Nivel de Seguridad y Privacidad de La Información Del (Inm)

DIAGNÓSTICO PARA DETERMINAR EL NIVEL DE SEGURIDAD Y PRIVACIDAD
DE LA INFORMACIÓN DEL INSTITUTO NACIONAL DE MUSEOS (INM)
EDDIE LUIS RADA GONZÁLEZ
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
CEAD BARRANQUILLA
BOGOTÁ
2016
DIAGNÓSTICO PARA DETERMINAR EL NIVEL DE SEGURIDAD Y PRIVACIDAD
DE LA INFORMACIÓN DEL INSTITUTO NACIONAL DE MUSEOS (INM)
EDDIE LUIS RADA GONZÁLEZ

72018801
Proyecto Investigativo Y Simulación Para Optar El Título De Especialista En

Seguridad Informática
Ingeniero: Salomón González García

Director
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA.
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
CEAD BARRANQUILLA
2016
Nota de Aceptación
Presidente del Jurado
Jurado
Jurado
Bogotá 20 de Noviembre del 2016
3
DEDICATORIA
Al Padre eterno como toda la energía creadora de Luz, a mis padres, hermanas,
hija y a todas aquellas personas que me han aportado en mi aprendizaje de forma
positiva y superación profesional.
4
AGRADECIMIENTOS
A mis padres por el apoyo y motivación contaste en esta especialización, la cual

es de mucha importancia para mi vida profesional, a mis hermanas y mi novia, al
director del curso y todos los tutores que me han colaborado con todo el apoyo el
amor y paciencia que han tenido en mí proceso de aprendizaje.
5
CONTENIDO
pág.
GLOSARIO.............................................................................................................15
RESUMEN............................................................................................................. 17
INTRODUCCIÓN................................................................................................... 18
1. OBJETIVOS....................................................................................................... 19
1.1 OBJETIVO GENERAL..................................................................................... 19
1.2 OBJETIVOS ESPECÍFICOS............................................................................19
2. ALCANCE.......................................................................................................... 20
3. PLANTEAMIENTO DEL PROBLEMA................................................................21
4. JUSTIFICACIÓN................................................................................................22
5. MARCO DE REFERENCIA................................................................................23
5.1 MARCO TEÓRICO..........................................................................................23
5.1.1 Seguridad de la información modelo PDCA..................................................26
6
5.1.2 Modelo de seguridad y privacidad de la información....................................28
5.1.3 Ciclo de operación del modelo de seguridad y privacidad de la información.

............................................................................................................................... 28
5.1.4 Fase De Diagnóstico.....................................................................................29
5.2 MARCO CONCEPTUAL..................................................................................31
5.2.1 Tipos de amenazas informáticas...................................................................34
5.3 MARCO LEGAL.............................................................................................. 36
6. DIAGNÓSTICO BASADO EN LA NORMA ISO 27001:2013..............................40
6.1 IDENTIFICAR EL ESTADO ACTUAL, CON REFERENCIA A LA SEGURIDAD

Y PRIVACIDAD DE LA INFORMACIÓN AL INTERIOR DEL INSTITUTO.............40
6.1.1 Apoyo de la alta dirección.............................................................................41
6.1.2 Definición de responsabilidades y roles de seguridad..................................42
6.1.2.1 Etapa I. Identificar roles y responsabilidades.............................................42
6.1.2.2 Establecimiento del plan estratégico de seguridad de la información........46
6.1.2.3 Objetivos estratégicos del instituto.............................................................46
6.1.2.4 Implementación de una herramienta para gestionar el SGSI.....................46
6.2 LEVANTAMIENTO DE INFORMACIÓN..........................................................47
6.2.1 Dominio 5. Políticas de seguridad de la información.....................................48
7
6.2.2 Dominio 6. Aspectos organizativos de la seguridad de la información..........49
6.2.3 Dominio 7. Seguridad ligada a los recursos humanos..................................50
6.2.4 Dominio 8. Gestión de activos.......................................................................51
6.2.5 Dominio 9. Control de accesos......................................................................52
6.2.6 Dominio 10. Criptografía............................................................................... 53
6.2.7 Dominio 11. Seguridad física y ambiental.....................................................54
6.2.8 Dominio 12. Gestión de operaciones............................................................55
6.2.9 Dominio 13. Seguridad en las comunicaciones.............................................56
6.2.10 Dominio14. Adquisición, desarrollo y mantenimiento de sistemas..............57
6.2.11 Dominio 15. Relación con proveedores.......................................................58
6.2.12 Dominio 16. Gestión de incidentes de seguridad de la información............59
6.2.13 Dominio 17. Aspectos de seguridad de la información de la gestión de la

continuidad del negocio..........................................................................................60
6.2.14 Dominio 18. Cumplimiento..........................................................................61
6.2.15 Resultado de entrevista para identificar el estado actual............................62
6.3 EVALUACIÓN DE APLICABILIDAD................................................................63
6.4.1 Definición de puntajes..................................................................................70
8
6.4.2 Resultados De La Evaluación.......................................................................71
6.5 ESTRATIFICACIÓN DE LA ENTIDAD............................................................72
7. IDENTIFICACIÓN Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN.......76
7.1 TIPOLOGÍAS DE LOS ACTIVOS DE INFORMACIÓN...................................77
7.2 IDENTIFICAR LOS ACTIVOS DE INFORMACIÓN.........................................78
7.3 CLASIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN..............................78
7.4 EVALUACIÓN DE AMENAZAS Y RIEGOS DE SEGURIDAD........................87
8. DISEÑO DE LAS PRUEBAS TÉCNICAS DE EFECTIVIDAD............................98
8.1 PRUEBAS Y ANÁLISIS...................................................................................98
8.1.1Tipo de pruebas de efectividad......................................................................99
8.1.2 Alcance de las pruebas.................................................................................99
9. RESULTADOS E IMPACTOS..........................................................................101
9.1 RESULTADOS INGENIERÍA SOCIAL INTERNA.........................................101
9.2 RESULTADOS ANÁLISIS DE VULNERABILIDADES CON ACUNETIX......103
9.3 IMPACTOS....................................................................................................108
9
10. CRONOGRAMA.............................................................................................109
11. CONCLUSIONES...........................................................................................110
12. RECOMENDACIONES GENERALES DE MEJORA Y REMEDIACIÓN........111
12.1 RECOMENDACIONES A NIVEL DE INFRAESTRUCTURA......................111
12.2 RECOMENDACIONES A NIVEL DE SOFTWARE.....................................112
12.3 RECOMENDACIONES A NIVEL DE APLICACIONES................................112
12.4 RECOMENDACIONES A NIVEL DE INGENIERÍA SOCIAL........................113
13. DIVULGACIÓN...............................................................................................115
BIBLIOGRAFÍA.................................................................................................... 117
ANEXO A. REGISTROS DE ACTIVOS DE INFORMACIÓN DEL INM................118
10
LISTA DE TABLAS
pág.
Tabla 1. Descripción de roles y responsabilidades 45
Tabla 2. Entrevista Dominio 5. Políticas de seguridad 49
Tabla 3. Entrevista Dominio 6. Aspectos organizativos de la seguridad la

información 50
Tabla 4. Entrevista Dominio 7. Seguridad ligada a los recursos humanos 51
Tabla 5. Entrevista Dominio 8. Gestión de activos 52
Tabla 6. Entrevista Dominio 9. Control de accesos 53
Tabla 7. Entrevista Dominio 10. Criptografía 54
Tabla 8. Entrevista Dominio 11. Seguridad física y ambiental 55
Tabla 9. Entrevista Dominio 12. Gestión de operaciones 56
Tabla 10. Entrevista Dominio 13. Seguridad en las comunicaciones 57
Tabla 11. Entrevista Dominio 14. Adquisición, Desarrollo y mantenimiento. 58
Tabla 12. Entrevista Dominio 15. Relación con proveedores 59
Tabla 13. Entrevista Dominio 16. Gestión de incidentes de seguridad de la

información 60
Tabla 14. Entrevista Dominio 17. Aspectos de seguridad de la información

de la gestión de la continuidad del negocio 61
Tabla 15. Entrevista Dominio 18. Cumplimiento 62
Tabla 16. Evaluación de aplicabilidad con objetivo de control por dominio 64
Tabla 17. Plantilla criterios de evaluación 70
Tabla 18. Puntaje de implementación 72
11
Tabla 19. Puntaje monitoreo de control 73
Tabla 20. Escala de Evaluación 73
Tabla 21. Escala de Evaluación. Esquema de estratificación de entidades 74
Tabla 22. Nivel estratificación del Instituto 77
Tabla 23. Tipologías de los activos de información 79
Tabla 24. Clasificación de los activos de información 80
Tabla 25. Inventario de activos a evaluar 91
Tabla 26. Análisis de riego al proceso de auditoría de control interno 92
Tabla 27. Análisis de riego al proceso Vigilancia paleontológica 93
Tabla 28. Análisis de riego al proceso contrataciones de proveedores 94
Tabla 29. Análisis de riego al proceso de gestión administrativa 95
Tabla 30. Valoración del riesgo del proceso auditoría de control interno 96
Tabla 31. Valoración del riesgo del proceso de vigilancia paleontológica 97
Tabla 32. Valoración del riesgo del proceso contrataciones de proveedores 98
Tabla 33. Valoración del riesgo del proceso de gestión administrativa 99
Tabla 34. Resultado de ingeniería social interna 103
Tabla 35. Vulnerabilidades detectadas 106
Tabla 36. Terminales con más vulnerabilidades 107
Tabla 37. Cronograma. 111
Tabla 38. Resultados comparativos con anterior escaneo 112
12
LISTA DE GRÁFICAS
pág.
Gráfica 1. Vulnerabilidades detectadas 131
13
LISTA DE FIGURAS
pág.
Figura 1. Ciclo PHVA 29
Figura 2. Marco de Seguridad y Privacidad de la Información 31
Figura 3. Etapas previas a la implementación 32
Figura 4. Fases metodológicas para la implementación de MSPI 42
Figura 5. Gráficas de tortas como el resumen de resultados de las entrevistas 64
Figura 6. Ciclo del inventario de activos 78
Figura 7. Nivel de Confidencialidad 81
Figura 8. Nivel de Integridad 82
Figura 9. Nivel de disponibilidad 83
Figura 10. Clasificación criterios de contenedores 84
Figura 11. Listado de servidores 85
Figura 12. Listado de equipos de comunicaciones 86
Figura 13. Criterios según la confidencialidad, Integridad y Disponibilidad 89
Figura 14. Categorización según la confidencialidad, Integridad y Disponibilidad 90
Figura 15. Matriz de Calificación, Evaluación y respuesta a Riesgos 90
Figura 16. Resumen de vulnerabilidades en el aplicativo VIGIPAL 108
Figura 17. Vulnerabilidad alta en el aplicativo VIGIPAL 109
Figura 18. Vulnerabilidades de nivel riesgo alto en las comunicaciones 107
Figura 19. Resumen de vulnerabilidades en el aplicativo VIGIPAL 108
Figura 20. Vulnerabilidad alta en el aplicativo VIGIPAL 109
14
Figura 21. Detalles de vulnerabilidad host header attack 110
15
LISTA DE ANEXOS
pág.
Anexo A. Inventario de activos de información 106
16
GLOSARIO
ACTIVO: es un recurso, proceso, producto o sistema que tiene algún valor para la
organización y por lo tanto debe ser protegido.
AMENAZAS: cualquier circunstancia natural o hecha por el hombre o evento que

pueda tener un impacto adverso o no deseado, menor o mayor sobre una
organización. Es una causa potencial de un incidente no deseado la cual puede
terminar en el daño o la denegación del sistema de la organización.
CONFIDENCIALIDAD: evitar el uso no autorizado ó la divulgación de información,

asegurando que la información es únicamente accedida por aquellos autorizados a
tener acceso a ella. Privacidad es un concepto cerrado que está relacionado con
la información personal, la Privacidad asegura la confidencialidad de los datos
personales.
DISPONIBILIDAD: asegura que los usuarios autorizados tengan confiable y rápido

acceso a la información y activos asociados cuando sea requerido.
EVENTO DE SEGURIDAD DE LA INFORMACIÓN: es una ocurrencia identificada

de un sistema, servicio, o estado de la red indicando un posible rompimiento de la
política de seguridad de información o falla de garantías, o previamente una
situación no conocida que puede ser relevante a seguridad.
EXPLOIT: es el nombre dado a los programas que hacen uso de los errores o
bugs de las aplicaciones o sistemas, los cuales pertenecen a alguien externo que
causa que este realice algo para lo cual no fue creado. Código escrito con el fin de
aprovechar un error de programación para obtener diversos privilegios, software o
explotar una vulnerabilidad.
VULNERABILIDAD: es cualquier defecto o falla que un atacante puede utilizar

para ganar acceso a un sistema o la red. Es una debilidad de un activo o un grupo
de activos que puede ser explotada por una amenaza.
POLÍTICAS: una política de seguridad forma la base del programa de seguridad

de la información de las organizaciones. Son declaraciones formales de reglas que
deben ser acatadas por las personas que tienen acceso a la tecnología de la
organización y a los activos de información.
PHISHING: es una forma de actividad criminal que usa técnicas de ingeniería

social, caracterizado por intentar adquirir de forma fraudulenta información
sensible como passwords y detalles de tarjetas de crédito. Una forma de lograrlo
es hacerse pasar por personas confiables o enviando mensajes de negocio con la
17
apariencia de una comunicación electrónica oficial utilizando e- mail ó mensajería
instantánea. El término surge de usar sofisticados señuelos para pescar
información financiera de usuarios y passwords.
RIESGO: posibilidad de que una amenaza concreta pueda explotar una

vulnerabilidad para causar una pérdida o daño en un activo de información. Suele
considerarse como una combinación de la probabilidad de un evento y su
consecuencia.
SEGURIDAD DE LA INFORMACIÓN: preservación de la confidencialidad,

integridad y disponibilidad de la información en adición a otras propiedades tales
como, autenticidad, contabilidad, no repudiación y la fiabilidad también puede ser
incluido.
INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN: es indicado por uno o

varios eventos de seguridad de la información no deseada o no esperada que
tienen una significativa probabilidad de comprometer la operación del negocio y el
tratamiento de la seguridad de la información.
INTEGRIDAD: certificar la exactitud y totalidad de la información y los métodos de

procesamiento, Esto asegura que modificaciones a los datos no sean hechos por
usuarios ó procesos no autorizados. Los datos son interna y externamente
consistente, dicho en otras palabras, para una entrada dada hay una salida
esperada.
18
RESUMEN
Las organizaciones sin importar su tamaño deben contar con el mayor nivel de
confidencialidad, integridad y disponibilidad como los tres pilares que fundamentan
al Modelo De Seguridad Y Privacidad De La Información, por lo tanto este
proyecto investigativo y aplicado está basado en la realización de un diagnostico
al sistema de seguridad del Instituto Nacional De Museo, en el cual se determinó
en primer lugar la situación actual con referencia a la seguridad y privacidad de la
información teniendo en cuenta los dominios con sus objetivos de control que se
proponen en la norma ISO 27001-2013, seguidamente se identificaron los activos
de información, se analizaron sus riesgos y amenazas, luego se realizaron
pruebas de vulnerabilidades para determinar las brechas de seguridad para la
cual se recomiendan algunos procedimientos y procesos mitigando así el mayor
número riesgos y amenazas posibles para el instituto.
PALABRAS CLAVES: Activo, Amenazas, Confidencialidad, Diagnostico,

Disponibilidad, Integridad, Políticas, Pruebas, Riesgo, Vulnerabilidad.
19
INTRODUCCIÓN
En la actualidad los recursos y servicios de tecnología en conjunto con la

seguridad de la información, ya no se manejan a criterio propio porque existen
métodos y normas para su administración, como ISO 27001, que es una norma
certificable la cual permite administrar la seguridad de la información.
Los intrusos informáticos cuentan con muchas herramientas de fácil acceso en

internet, como los scanners de puertos, el carcking de passwords, software de
análisis de vulnerabilidades, los exploits y la ingeniera social como la más
significativa. Un buen administrador puede contar con todas ellas empleadas para
bien, como también los logs, los sistemas de detección de intrusos, los sistemas
de rastreos de intrusiones y el acompañamiento de empresas expertas en
consultoría en seguridad informática.
Los directivos junto con varios funcionarios del instituto son conscientes en la
necesidad de realizar un diagnóstico para determinar el nivel de seguridad y
privacidad de la información del Instituto Nacional de Museos (INM) como la
herramienta que permita identificar y minimizar los riesgos a los cuales se expone
toda la información, ayudando a la reducción de costos operativos y financieros,
estableciendo una cultura de seguridad y garantizando el cumplimiento de los
requerimientos legales, contractuales, regulatorios.
En el siguiente proyecto se realizan varias pruebas de vulnerabilidades con la

herramienta de escaneo Acunetix al sistema informático del INM como proyecto de
grado del curso proyecto de seguridad informática II. Se realiza bajo la gestión del
grupo de especialistas en seguridad informática, designados por parte de los
directivos del Instituto para elaboración de los documentos solicitados en la
gestión documental del SGSI, bajo la normativa ISO/IEC 27001:2013 para la
administración de la tecnología estableciendo los roles y responsabilidades dentro
de los procesos como calidad, riesgos, continuidad y seguridad y verificación de la
información.
20
1. OBJETIVOS
1.1 OBJETIVO GENERAL
Realizar un diagnóstico para determinar el nivel de seguridad y privacidad de la

información del Instituto Nacional de Museos (INM) conforme a la norma ISO
27001:2013
1.2 OBJETIVOS ESPECÍFICOS
 Identificar el estado actual, con referencia a la seguridad y privacidad de la

información al interior del Instituto basado en la norma ISO 27001:2013.
 Identificar los activos de información, amenazas y riesgos al interior del

Instituto Nacional de Museos (INM).
 Diseñar las pruebas técnicas de efectividad que permitan conocer la

seguridad de la información al interior del Instituto.
 Realizar las pruebas de vulnerabilidades y recomendaciones para mitigar

las posibles vulnerabilidades encontradas al interior del Instituto Nacional
de Museos (INM).
21
2. ALCANCE
El presente proyecto está fundamentado en la realización de la fase del

diagnóstico de seguridad y privacidad de la información del Instituto Nacional De
Museos INM, como proyecto investigativo y simulación con un tipo de estudio
basado en el enfoque educativo, dicho diagnóstico corresponde a la primera fase
para una futura implementación del modelo de seguridad y privacidad de la
información del Instituto Nacional de Museos (INM) conforme a la norma ISO
27001:2013
Este diagnóstico se aplicará exclusivamente a la oficina de tecnologías de la

información del INM, debido a que realiza procesos completos y transversales a
todos los que se llevan actualmente en el instituto.
22
3. PLANTEAMIENTO DEL PROBLEMA
El Instituto Nacional de Museos – INM como muchas otras entidades del estado,
ejecutan gran parte de su presupuesto y esfuerzo para brindar la seguridad
apropiada a sus activos de información como el insumo para la toma de
decisiones. El brindar seguridad en la información no es solamente la
implementación de un Antivirus, Anti spam o un Firewall en la red. Si no que va
mucho más allá, y debe ir bajo los Lineamientos institucionales, políticas vigentes
y las directrices del Ministerio de las Tics y los demás entes que puedan intervenir.
A pesar de haber algunas políticas de seguridad informática y controles con

formatos establecidos, el instituto en la actualidad no cuenta con un diagnostico el
cual determine el nivel de seguridad y privacidad de la información, donde se
evalúen y se realice un control y seguimiento a los temas críticos de seguridad en
las diferentes áreas donde se pueda asegurar la continuidad del negocio,
minimizar los daños y maximizar el retorno de las inversiones.
¿Un diagnostico a la seguridad y privacidad de la información le proporcionará al

Instituto INM los mecanismos, elementos y lineamientos para el diseño e
implementación del modelo de seguridad y privacidad de la información MSPI
como parte del sistema de gestión de la seguridad de la información SGSI.?
23
4. JUSTIFICACIÓN
Tanto para el Instituto Nacional de Museos (INM), como para otras entidades
públicas en el estado colombiano, la seguridad de la información en sus etapas
tempranas se ha centrado en la protección de la tecnología de la información
orientada a servicio de procesamiento y almacenamiento, más que a la
información en sí misma, que es a lo que se le denomina seguridad informática.
Para el caso del Instituto INM es necesario extender el alcance centrado en la

tecnología y apuntar a una seguridad integral, en la que se proteja la información
sin importar cómo se maneja, se procesa o se almacena. El "Diagnostico al
Modelo de seguridad y Privacidad de la información - MPSI" Es la primera etapa
previa a la implementación dentro del marco de seguridad, con la cual se pretende
realizar un análisis bajo los lineamientos de la estrategia de gobierno en Línea -
GEL, liderada por El Ministerio de Tecnologías de la información y las
comunicaciones. Por lo tanto, esta primera etapa es de vital importancia como
base primordial para poder garantizar mínimamente los tres principios básicos de
la seguridad de la información: la integridad, la confidencialidad y la disponibilidad
de la información.
Este diagnóstico se realizará para conocer el estado actual de Seguridad y

Privacidad de la Información utilizando las herramientas técnicas y metodológicas
necesarias bajo el marco de referencia de Arquitectura TI. Lo anterior con el
objetivo de poder contrarrestar los posibles ataques cibernéticos tanto internos
como externos, minimizando al máximo el impacto ante la materialización de
cualquier amenaza, situación de la que no está exenta ninguna institución.
También permitirá mejorar los procesos y responder a los incidentes relacionados
con la seguridad de la información de forma eficiente y efectiva.
24
5. MARCO DE REFERENCIA
5.1 MARCO TEÓRICO
El siguiente marco teórico que fundamenta este proyecto investigativo y

simulación permitirá tener a los lectores muchos conceptos y definiciones de forma
clara y concisa que abarcan toda la terminología sobre el diagnostico a la
seguridad y privacidad de la información.
De acuerdo con el señor Antonio Villalón1 existen muchas definiciones del término
seguridad. Simplificando, y en general, podemos definir la seguridad como: "El
conjunto de característica y normas aplicadas que indica que un sistema
informático está libre de todo peligro, daño o riesgo.”
Cuando se habla de seguridad de la información se está indicando que dicha

información tiene una relevancia especial en un contexto determinado y que, por lo
tanto, la información debe estar resguardada.
Desde las apariciones de los sistemas informáticos, la información se considera

como un activo primordial y de mucho interés en las organizaciones debido a que
con esa información se pueden tomar grandes decisiones que impactan el éxito o
fracaso de la organización. Esta información inicialmente se guardaba en papel y
se guardaba en grandes cantidades de abultados archivadores. Todos los datos
de los usuarios o proveedores de la organización, o de los funcionarios quedaban
registrados en papel, con todos los problemas que luego acarreaba su
almacenaje, transporte, acceso y procesado.
Hoy en día gracias a los avances tecnológicos el proceso de la digitalización de la

información de los grandes volúmenes de información se ha ido reduciendo cada
día. Con este proceso sustancialmente se facilita y agiliza así la búsqueda,
análisis y procesamiento de la información. Pero seguidamente con este proceso
de digitalización surgen nuevos problemas asociados a la seguridad de la
información, debido a que si es más fácil transportar la información también hay
más probabilidades de que dicha información desaparezca 'en el camino'.
Igualmente si es más rápido acceder a ella también es más rápido modificar su
contenido.
1
VILLALON, Antonio. Seguridad En Unix Y Redes Versión 2.1 España. Julio, 2002. Disponible en
http://gseguridad.unicauca.edu.co/articulos/unixsec.pdf.
25
Desde la primera aparición de los grandes sistemas de información aislados y
obsoletos hasta nuestros días, en los que el trabajo en red es lo más habitual, los
problemas de la seguridad de la información han ido evolucionando en la medida
que avanzan las nuevas tecnologías de la información.
Existen muchas definiciones sobre seguridad informática. La mayoría de los

autores que hablan del tema se identifican con el concepto que ofrece la norma
ISO/IEC 27001:1203 que dice:
La seguridad de la información está fundamentada en la conservación de tres

términos los cuales se constituyen como los tres pilares sobre la que se cimienta
todo el ente de la seguridad de la información: La confidencialidad, integridad y
disponibilidad, así como también los sistemas implicados en su tratamiento, dentro
de la organización.
• Confidencialidad: Es la propiedad mediante la cual se determina que la

información solo se coloca a disposición de entidades, usuarios autorizados o
procesos documentados y aprobados.
• Integridad: Se refiere al principio básico de conservar su originalidad, garantizado

que la información sea confiable sin modificaciones no autorizadas.
• Disponibilidad: Este término se emplea para garantizar que la información o

activos de información almacenada o trasmitida por cualquier medio siempre esté
disponible solo al usuario o entidad autorizada.
La ISO/IEC 27001:2013, permite administrar la seguridad de la información de la

mano con un proceso sistemático debidamente gestionado, documentado y
fundamentado en el Modelo de privacidad seguridad de la información.2
Con esta norma se establecen varios mecanismos de control que permiten
identificar y hacer frente para recuperarnos lo más rápido posible ante cualquier
ataque cibernético o amenaza de seguridad, o evitar su materialización. También
se establece el sistema de gestión de la continuidad del negocio, el cual va
acompañado de auditorías internas y externas, las cuales le permiten identificar y
verificar a qué riesgos están expuesto el instituto, si se emplean los controles
establecidos para así minimizar el impacto ante las posibles incidentes de
2
ISO 27001.ES Sistema de Gestión de la Seguridad de la información, 2012. Disponible en
http://www.iso27000.es
26
seguridad que se puedan presentar sobre el mismo, y poder garantizar la
continuidad funcional del negocio.
El eje central de ISO 27001 es proteger la confidencialidad, integridad y

disponibilidad de la información en una empresa. Esto lo hace investigando cuáles
son los potenciales problemas que podrían afectar la información (es decir, la
evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar
que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).
Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de
riesgos: investigar dónde están los riesgos y luego tratarlos sistemáticamente. Las
medidas de seguridad (o controles) que se van a implementar se presentan, por lo
general, bajo la forma de políticas, procedimientos e implementación técnica (por
ejemplo, software y equipos). Sin embargo, en la mayoría de los casos, las
empresas ya tienen todo el hardware y software, pero utilizan de una forma no
segura; por lo tanto, la mayor parte de la implementación de ISO 27001 estará
relacionada con determinar las reglas organizacionales (por ejemplo, redacción de
documentos) necesarias para prevenir violaciones de la seguridad.
Como este tipo de implementación demandará la gestión de múltiples políticas,

procedimientos, personas, bienes, etc., ISO 27001 ha detallado cómo amalgamar
todos estos elementos dentro del sistema de gestión de seguridad de la
información (SGSI). Por eso, la gestión de la seguridad de la información no se
limita solamente a la seguridad de TI (por ejemplo, cortafuegos, anti-virus, etc.),
sino que también tiene que ver con la gestión de procesos, de los recursos
humanos, con la protección jurídica y la protección física.
Para evitar incidentes es necesario contar con un plan de continuidad como

respuesta prevista para aquellas situaciones de riesgo que se puedan afectar de
forma crítica. En el pasado a este plan de continuidad se le conocía como plan de
contingencias.
27
Según la estrategia de gobierno en línea La seguridad de la información de las
organizaciones cobra cada vez mayor importancia, razón por la cual es más
frecuente encontrar en ellas sistemas de gestión de la seguridad de la información,
SGSI por lo tanto este diagnóstico es fundamental para el cumplimiento de las
políticas y normas vigentes.
Para lograr un excelente diagnostico que identifique el nivel de seguridad de la

información al interior del instituto se requiere soportar este proceso en normas
como el conjunto de normas ISO 27000 de las cuales se destacan las ISO 27001,
27002 para los futuros pilares del SGSI. Es por esto que se toman como
referencia para el desarrollo del proyecto, así como las metodologías de auditoría
en los controles que en este caso cumplen con la misión de la organización que
corresponde a la creación de aplicaciones web, para esto se necesario referenciar
la metodología seleccionada en este caso COBIT, ya que abarcan la mayoría de
las actividades de la institución.
5.1.1 Seguridad de la información modelo PDCA. Dentro del Instituto el tema de la

seguridad de la información es muy importante por lo tanto se requiere dedicarle
tiempo y recursos. En el Instituto debe plantearse un Sistema de Gestión de la
Seguridad de la Información (SGSI).
El objetivo de un SGSI es proteger la información y para ello lo primero que debe

hacer un diagnóstico donde se identifiquen los 'activos de información' que deban
ser protegidos y en qué grado.
Luego se debe aplicar el plan PDCA ('PLAN – DO – CHECK – ACT'), es decir
Planificar, Hacer, Verificar, Actuar y volver a repetir el ciclo.
La seguridad de información no es producto final terminado que se pueda definir

como un proceso que nunca termina ya que los riesgos nunca se eliminan, y están
en constante evolución. Los riesgos no son solo de naturaleza tecnológica, y por lo
tanto jamás se eliminan en su totalidad sino que se mitigan.
Un SGSI por lo general cumple cuatro niveles redundantes:

Planificar, hacer, verificar y terminan en Actuar, consiguiendo así regenerar la
seguridad.
28
Figura 1. Ciclo PHVA
Fuente:http://recursostic.educacion.es/observatorio/web/images/upload/
elvira_mifsud/Introduccion_seguridad_html_m3824b9db.png
 PLANIFICAR (Plan): Es la etapa donde se analizan los tiempos, recursos,

técnicas, metodología, normas políticas de seguridad, se determinan los
controles junto con el análisis de aplicabilidad.
 HACER (Do): Aquí se realiza la implementación de los controles de cada

dominio del MSPI en sintonía con el plan de riesgos.
 VERIFICAR (Check): Consiste en constatar con auditorias cada una de las

actividades previamente descrita.
 ACTUAR (Act): Se refiere al proceso de poner en marcha las tareas de

mantenimiento, actividades preventivas y correctivas, los planes de
mejoramiento3.
3
MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES Estrategia
De Gobierno En Linea Articulo 8253 Modelo de Seguridad, 2016. Disponible en
http://mintic.gov.co/gestionti/615/articles-5482_Modelo_de_Seguridad_Privacidad.pdf
29
5.1.2 Modelo de seguridad y privacidad de la información. MSPI es la sigla
empleada para referirse al Modelo de Seguridad y Privacidad de la información,
como un componente trasversal a la estrategia de gobierno en línea GEL, alineada
a componente TIC. MSPI no es una cuestión solamente tecnológica o técnica de
la oficina de tecnología de la información sino de la alta dirección, la cual tiene la
responsabilidad de gestionar los riesgos y los impactos del negocio.
Desde el punto de vista del alcance del MSPI, desarrollado por el ministerio de las
tecnologías de la información y las comunicaciones de Colombia (MINTIC),
establece el conjunto de lineamientos, políticas, normas, procesos e instrucciones
que provee y promueven la puesta en marcha, supervisión, mejora y control de la
implementación del modelo, así como a la implementación de la Estrategia de
gobierno en línea, establecida en manual GEL. El termino MSPI debe estar
contemplado siempre en el Instituto.
A través del componente de TIC para Gobierno Abierto se alinea con el

componente de Seguridad y Privacidad de la Información para buscar que la
información de los usuarios internos y externos sea resguardada garantizando que
la información se trate un tesoro valioso. También busca generar un plan de
Seguridad y Privacidad de la Información alineado con el plan de negocio misional.
Mejorando el nivel de confianza, mediante la identificación, determinación,
mitigación de los riesgos de seguridad.
Se puede decir que esta perspectiva de la estrategia de gobierno en línea esta

afinada para el mejoramiento de los aspectos de la gestión pública, fomentando el
dialogo realimentado entre las entidades públicas y los ciudadanos mediantes de
acciones permanentes con el uso de canales electrónicos.
5.1.3 Ciclo de operación del modelo de seguridad y privacidad de la información.

El modelo de seguridad y privacidad de la información está conformada por un
ciclo de operación que consta de cinco (5) fases, las cuales hacen posible que las
entidades puedan gestionar adecuadamente la seguridad y privacidad de sus
activos de información de forma sostenible.
30
Figura 2. Marco de Seguridad y Privacidad de la Información
Fuente: http://estrategia.gobiernoenlinea.gov.co/623/articles-
8253_modelo_seguridad.pdf
La primera fase es el diagnóstico, en esta fase se enfocará la realización del

proyecto por lo que se expresó en la formulación del problema que el instituto en
la actualidad no cuenta con un diagnóstico al modelo de seguridad y privacidad de
la información, donde se evalúen y se realice un control y seguimiento a los temas
críticos de seguridad en las diferentes áreas.
5.1.4 Fase De Diagnóstico. La fase de diagnóstico es fundamental ya que entrega

los lineamientos para el trabajo a desarrollar en las fases siguientes. Desde el
punto de vista de Seguridad de la Información, se enfatiza la capacidad de generar
valor mediante el uso de políticas, estándares, procedimientos y buenas prácticas
de seguridad que, en complemento con las TIC, conforman un sistema de gestión
administrativo, sin embargo, el objetivo no es la incorporación de dichas
tecnologías a la normativa interna, sino la mejora de la gestión de los organismos
a través de ellas. 4
Lo más importante en esta fase es identificar el estado actual de la organización

con respecto a los requerimientos del Modelo de Seguridad y Privacidad de la
Información.
4
http://mintic.gov.co/gestionti/615/articles-5482_Modelo_de_Seguridad_Privacidad.pdf.
31
Figura 3. Etapas previas a la implementación
Fuente:http://estrategia.gobiernoenlinea.gov.co/623/articles-
8253_modelo_seguridad.pdf
En la fase de diagnóstico del MSPI se pretende alcanzar las siguientes metas:5
Determinar el estado actual de la gestión de seguridad y privacidad de la

información al interior de la Entidad.
 Determinar el nivel de madurez de los controles de seguridad de la

información.
 Identificar el avance de la implementación del ciclo de operación al interior

de la entidad.
 Identificar el nivel de cumplimiento con la legislación vigente relacionada

con protección de datos personales.
 Identificación del uso de buenas prácticas en ciberseguridad.
Para realizar dicha fase las entidades deben efectuar la recolección de la

información con la ayuda de la herramienta de diagnóstico y la metodología de
pruebas de efectividad.
5
http://mintic.gov.co/gestionti/615/articles-5482_Modelo_de_Seguridad_Privacidad.pdf
32
Una vez se tenga el resultado del diagnóstico inicial y se haya determinado el nivel
de madurez de la entidad se procede al desarrollo de la fase de Planificación. Los
resultados asociados a la fase de Diagnostico previas a la implementación deben
ser revisados y socializados por las partes interesadas.
Se podría resumir de gran manera que la seguridad de la información está

conformado por un conjunto de medidas técnicas, organizativas y legales que
permiten a las organizaciones garantizar los tres pilares fundamentales de la
información, como lo son: la confidencialidad, integridad y disponibilidad de
cualquier sistema de información.
5.2 MARCO CONCEPTUAL
Identificación de activos de información: de acuerdo con la norma ISO/IE 27001,

“activo de información” se define como cualquier elemento que tenga valor para la
organización y, en consecuencia, deba ser protegido.
La clasificación de activos de información se debe realizar acorde con el alcance

definido para la implementación del MSPI (es decir a los procesos en los que se
implementara seguridad de la información) la gestión de activos debe estar
alineada con el Dominio 8 Gestión de Activos del anexo A de la norma ISO
27001:2013, y la guía de controles del modelo de seguridad y privacidad de la
información, para garantizar el cumplimiento de los puntos descritos a
continuación:6
Inventario de activos: se deben identificar los activos asociados con la información

y las instalaciones de procesamiento de información, y se debería elaborar y
mantener un inventario de estos activos.
Propiedad de los activos: los activos mantenidos en el inventario corresponderían

a cada uno de los propietarios.
6
De Gobierno Guia 5 para la gestión y clasificación de activos de información 2016. Disponible en
http://mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_clasificacion.pdf
33
Uso aceptable de los activos: se deberían identificar, documentar e implementar
reglas para el uso aceptable de información y de activos asociados con
información e instalaciones de procesamiento de información.
Devolución de activos: todos los empleados y usuarios de partes externas

deberían devolver todos los activos de la organización que se encuentren a su
cargo, al terminar su empleo, contrato o acuerdo.
Clasificación de la información: la información se debería clasificar en función de

los requisitos legales, valor, criticidad y susceptibilidad a divulgación o a
modificación no autorizada.
Etiquetado de la información: se debería desarrollar e implementar un conjunto

adecuado de procedimientos para el etiquetado de la información, de acuerdo con
el esquema de clasificación de información adoptado por la organización.
Manejo de activos: se deberían desarrollar e implementar procedimientos para el

manejo de activos, de acuerdo con el esquema de clasificación de información
adoptado por la organización.
Información: conjunto de datos procesados y relacionados que tienen significado

para la toma de decisiones en el instituto. La información es un activo que, como
otros activos importantes de la organización, es esencial para las actividades de la
entidad y, en consecuencia, necesita una protección adecuada.
La definición dada por la ley 1712 del 2014, se refiere a un conjunto organizado de
datos contenido en cualquier documento que los sujetos obligados generen,
obtengan, adquieran, transformen o controlen.
Información pública: es toda información que un sujeto obligado genere, obtenga,

adquiera, o controle en su calidad.
Información pública clasificada: es aquella información que estando en poder o

custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio,
particular y privado o semi-privado de una persona natural o jurídica por lo que su
acceso podrá ser negado o exceptuado, siempre que se trate de las circunstancias
34
legítimas y necesarias y los derechos particulares o privados consagrados en el
artículo 18 de la ley 1712 del 2014.
Información pública reservada: es la información que estando en poder de un

sujeto, es exceptuada, de acceso a la ciudadanía por daño a intereses públicos y
bajo el cumplimiento de la totalidad de los requisitos consagrados en el artículo de
esta ley.
Clasificación de la Información: es el ejercicio por medio del cual se determina que

la información pertenece a uno de los niveles de clasificación estipulados en la
Entidad. Tiene como objetivo asegurar que la información recibe el nivel de
protección adecuado.
Propietario de la Información: es una parte designada de la entidad, un cargo,

proceso, o grupo de trabajo que tiene la responsabilidad de garantizar que la
información y los activos asociados con los servicios de procesamiento de
información se clasifican adecuadamente, y de definir y revisar.
Periódicamente las restricciones y clasificaciones del acceso, teniendo en cuenta

las políticas aplicables sobre el control del acceso.
Custodio: es una parte designada de la entidad, un cargo, proceso, o grupo de

trabajo encargado de administrar y hacer efectivos los controles de seguridad que
el propietario de la información haya definido, tales como copias de seguridad,
asignación privilegios de acceso, modificación y borrado.
Usuario: Cualquier persona, entidad, cargo, proceso, sistema automatizado o

grupo de trabajo, que genere, obtenga, transforme, conserve o utilice información
en papel o en medio digital, físicamente o a través de las redes de datos y los
sistemas de información de la Unidad, para propósitos propios de su labor y que
tendrán el derecho manifiesto de uso dentro del inventario de información.
Vulnerabilidad: en el campo de la informática, la vulnerabilidad es el punto o

aspecto del sistema que es susceptible de ser atacado o de dañar la seguridad del
35
mismo. Representan las debilidades o aspectos falibles o atacables en el sistema
informático.7
5.2.1 Tipos de amenazas informáticas. Hay diversas clasificaciones de las

amenazas al sistema informático, todo depende del punto de vista cómo se
analicen. Una primera clasificación es según el efecto causado en el sistema, las
amenazas pueden clasificarse en cuatro tipos:
 Intercepción
 Modificación
 Interrupción
 Generación
Intercepción: cuando una persona, programa o proceso logra el acceso a una

parte del sistema a la que no está autorizada. Por ejemplo, la escucha de una
línea de datos, o las copias de programas o archivos de datos no autorizados.
Estas son más difíciles de detectar ya que en la mayoría de los casos no alteran la
información o el sistema.
Modificación: este tipo de amenaza se trata no sólo de acceder a una parte del
sistema a la que no se tiene autorización, sino también de cambiar su contenido o
modo de funcionamiento. Por ejemplo, el cambiar el contenido de una base de
datos, o cambiar líneas de código en un programa.
Interrupción: se trata de la interrupción mediante el uso de algún método el

funcionamiento del sistema. Por ejemplo, la saturación de la memoria o máximo
de procesos en el sistema operativo, la destrucción de algún dispositivo hardware.
Generación: generalmente se refiere a la posibilidad de añadir información a

programas no autorizados en el sistema. Por ejemplo, el añadir campos y registros
en una base de datos, o adicionar código en un programa (virus).
Análisis de Riesgos: es una herramienta de diagnóstico que permite establecer la

exposición real a los riesgos por parte de una organización. Este análisis tiene
7
De Gobierno Guia 5 para la gestión y clasificación de activos de información 2016. Disponible en
http://mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_clasificacion.pdf.
36
como los siguientes objetivos la identificación de los riesgos (mediante la
identificación de sus elementos), lograr establecer el riesgo total y posteriormente
el riesgo residual luego de aplicadas las contramedidas en términos cuantitativos o
cualitativos.
Estándar Cobit empleada para el Análisis y Evaluación de Riesgos de TI: Modelo

para evaluar y/o auditar la gestión y control de los de Sistemas de Información y
Tecnología relacionada (IT).
SGSI: abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad

de la Información. ISMS es el concepto equivalente en idioma inglés, Información
es el conjunto de datos organizados en poder de una entidad que posean valor
para la misma, indistintamente como se guarde o transmita (escrita, imágenes,
oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por
correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la
propia organización o de fuentes externas) o de la fecha de elaboración.8
8
http://mintic.gov.co/gestionti/615/articles-5482_Modelo_de_Seguridad_Privacidad.pdf.
37
5.3 MARCO LEGAL
La seguridad informática, es la especialidad del área de la informática que se

concentra en la protección de los activos de infraestructura física y lógica
computacional y todo lo relacionado con esta. Por lo tanto existen una serie de
normas, leyes, reglas, herramientas legislativas que rigen todo el tema de la
seguridad de la información.
En el año 2009 el congreso de la República Colombiana promulgó la Ley 1273,

con la cual se actualiza el Código Penal, creando un nuevo bien jurídico protector
denominado “De la Protección de la información y de los datos” esta ley regula los
delitos informáticos preservando integralmente los sistemas que utilicen las
tecnologías de la información y las comunicaciones, entre otras disposiciones.9
Esta ley consta de los siguientes artículos, los cuales se citan literalmente: Artículo
269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin
autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema
informático protegido o no con una medida de seguridad, o se mantenga dentro
del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo,
incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y
en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
Artículo 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O

RED DE TELECOMUNICACIÓN. El que, sin estar facultado para ello, impida u
obstaculice el funcionamiento o el acceso normal a un sistema informático, a los
datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en
pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de
100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta
no constituya delito sancionado con una pena mayor.
Artículo 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS. El que, sin

orden judicial previa intercepte datos informáticos en su origen, destino o en el
interior de un sistema informático, o las emisiones electromagnéticas provenientes
de un sistema informático que los trasporte incurrirá en pena de prisión de treinta y
seis (36) a setenta y dos (72) meses.
9
DELTAASESORES.COM Delitos Informáticos en Colombia, 2014 Disponible en
38
Artículo 269D: DAÑO INFORMÁTICO. El que, sin estar facultado para ello,
destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema
de tratamiento de información o sus partes o componentes lógicos, incurrirá en
pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de
100 a 1000 salarios mínimos legales mensuales vigentes.
Artículo 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para
ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga
del territorio nacional software malicioso u otros programas de computación de
efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y
seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales
vigentes.
Artículo 269F: VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado

para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga,
ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o
emplee códigos personales, datos personales contenidos en ficheros, archivos,
bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y
ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos
legales mensuales vigentes.
La información es el activo más importante en el mundo actual, es por ello que el

17 de octubre de 2012 el Gobierno Nacional expidió la Ley Estatutaria 1581 de
2012 mediante la cual se dictan disposiciones generales para la protección de
datos personales, en ella se regula el derecho fundamental de hábeas data y se
señala la importancia en el tratamiento del mismo tal como lo corrobora la
Sentencia de la Corte Constitucional C – 748 de 2011 donde se estableció el
control de constitucionalidad de la Ley en mención. La nueva ley busca proteger
los datos personales registrados en cualquier base de datos que permite realizar
operaciones, tales como la recolección, almacenamiento, uso, circulación o
supresión (en adelante tratamiento) por parte de entidades de naturaleza pública y
privada.10, esta ley consta de algunos artículos como son:
Artículo 4°. Principios para el Tratamiento de datos personales. En el desarrollo,

interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e
integral, los siguientes principios:
10
COLOMBIADIGITAL.NET ABC para proteger los datos personales ley 1581 decreto 1377 2012.
39
a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que
se refiere la presente ley es una actividad reglada que debe sujetarse a lo
establecido en ella y en las demás disposiciones que la desarrollen.
b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de

acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.
c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento,

previo, expreso e informado del Titular. Los datos personales no podrán ser
obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o
judicial que releve el consentimiento.
d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser

veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el
Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del

Titular a obtener del Responsable del Tratamiento o del Encargado del
Tratamiento, en cualquier momento y sin restricciones, información acerca de la
existencia de datos que le conciernan.
f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los

límites que se derivan de la naturaleza de los datos personales, de las
disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento
sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas
previstas en la presente ley.
Los datos personales, salvo la información pública, no podrán estar disponibles en

Internet u otros medios de divulgación o comunicación masiva, salvo que el
acceso sea técnicamente controlable para brindar un conocimiento restringido sólo
a los Titulares o terceros autorizados conforme a la presente ley.
g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable

del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se
deberá manejar con las medidas técnicas, humanas y administrativas que sean
necesarias para otorgar seguridad a los registros evitando su adulteración,
pérdida, consulta, uso o acceso no autorizado o fraudulento.
40
h) Principio de confidencialidad: Todas las personas que intervengan en el
Tratamiento de datos personales que no tengan la naturaleza de públicos están
obligadas a garantizar la reserva de la información, inclusive después de finalizada
su relación con alguna de las labores que comprende el Tratamiento, pudiendo
sólo realizar suministro o comunicación de datos personales cuando ello
corresponda al desarrollo de las actividades autorizadas en la presente ley y en
los términos de la misma. 11
11
ALCALDIADEBOGOTA.GOV.CO normas 49981 2013.
41
6. DIAGNÓSTICO BASADO EN LA NORMA ISO 27001:2013
Como primera medida se plantea el siguiente diagnóstico basado en la norma

técnica colombiana NTC ISO/IEC 27001: 2013, con los estándares de seguridad
de la información actualizados y alineados con el marco de referencia de
arquitectura TI, el cual permite evaluar la situación actual en que se encuentra el
Instituto Nacional De Museos INM, por medio de cada dominio con su respectivo
objetivo de control.
El marco de seguridad y privacidad de la información comprende las

recomendaciones de la organización para la Cooperación Y El Desarrollo
Económico (OCDE), el convenio de Budapest, Organización De Estados
Americanos entre otras, para beneficiar las instituciones del estado apoyados en
legislación colombiana con la identificación de las infraestructuras críticas
llevándolas al robustecimiento del nivel de seguridad mejorando así la respuesta
ante las amenazas contra la seguridad y privacidad de la información de la
información.
6.1 IDENTIFICAR EL ESTADO ACTUAL, CON REFERENCIA A LA SEGURIDAD

Y PRIVACIDAD DE LA INFORMACIÓN AL INTERIOR DEL INSTITUTO
A continuación, se muestran las fases metodológicas desarrolladas para la

identificación de controles y mejores prácticas para el análisis del diagnóstico.
Figura 4. Fases Metodológicas para la Implementación de MSPI
Identificación de Acciones de
Controles mejora
 Línea base del  Técnicos
MSPI  Administrativos  Identificación
 Brecha Madurez de proyectos
Análisis de
Diagnostico
Fuente: El autor
42
Análisis de diagnóstico: En esta etapa se toman los resultados de la ejecución del
instrumento de diagnóstico de seguridad y privacidad de la información y se
analiza la brecha que existe contra el modelo de seguridad y privacidad de la
información (MSPI) propuesto por GEL, para así alcanzar el nivel optimizado del
modelo de madurez planteado en el MSPI.
Identificación de controles: en esta etapa se identifican los controles sugeridos

basados en las buenas prácticas y estándares, como Cobit 5, ISO 27002, CISRT.-
CERT, CSF-NIST.
Identificación de proyectos: según la identificación de controles se plantean las

acciones de mejora mediante planes que la entidad debe considerar y priorizar
para mejorar su postura actual frente a la seguridad de la información.
6.1.1 Apoyo de la alta dirección. La implicación de la alta dirección es clave para

lograr la implementación del MSPI. Desde el inicio se debe asumir que la gestión
de la seguridad de la información afecta transversalmente las actividades en el
Instituto y requiere que las decisiones se tomen desde la alta dirección.
Desde el punto de vista del alcance del MSPI, el termino dirección de la

organización debe estar contemplado siempre. En las tareas fundamentales del
Sistema de Gestión de seguridad y privacidad de la información que la norma ISO
27001 asigna a la dirección donde se detallan los siguientes elementos:
 Establecer la política y objetivos de la seguridad de la información y todo el

marco normativo para su implantación.
 Integrar los requisitos del Sistema de Gestión de Seguridad de la

Información en los procesos de la Institución.
 Disponer los recursos para la implementación y operación del MSPI.
 Asegurar que el SGSI logre los resultados previstos.
43
 Apoyar otros roles pertinentes de la dirección para demostrar su liderazgo
aplicado a sus áreas de responsabilidad.
 Asegurar que las responsabilidades y autoridades de los roles pertinentes a

la seguridad de la información se asignen y comuniquen.
Revisar el SGSI del Instituto con el conjunto de actividades planificadas, para

asegurarse de su aplicación, adaptación, eficiencia y eficacia continua. Los jefes
deben revisar con regularidad el cumplimiento de políticas, aplicación de controles,
normas de seguridad adecuadas que garanticen las buenas prácticas.
6.1.2 Definición de responsabilidades y roles de seguridad. La asignación de las

responsabilidades de seguridad de la información se debería mencionar desde las
políticas de la seguridad de la información. Dentro de las responsabilidades por
definir se deben considerar las de los usuarios de los activos de TI, los
propietarios, los custodios, los dueños de los riesgos de seguridad de la
información y terceras partes con acceso a los activos de información.
Adicionalmente, se recomienda nombrar formalmente un gerente u oficial de

seguridad de la información, a través del Departamento Administrativo de la
función pública, que asuma la responsabilidad de todos los procesos definidos en
el alcance y que la obtención de recursos y la implementación de controles con
frecuencia estarán a cargo de los directores individuales.
El gerente u oficial de seguridad de la información y su equipo de trabajo a apoyo

deben ser competentes en el área y se les deben brindar oportunidades para
mantenerse actualizados con los avances en este tema. El equipo de trabajo
deberá estar conformado por profesionales con conocimientos en las leyes,
tecnología y personal especializado en seguridad informática.
6.1.2.1 Etapa I. Identificar roles y responsabilidades. EL Departamento de

Sistemas Informático u Oficina de Tecnología de la información OTI del Instituto
Nacional de Museos INM; está conformada por 5 áreas especializadas con cada
uno de sus profesionales responsables en cabeza del Jefe nacional; Juan Alonso
Bravo como se describe a continuación.
44
Tabla 1. Descripción de roles y responsabilidades
ROLES Y RESPONSABILIDADES
Jefe OTI
Perfil Ingeniero de sistemas, Maestría en telecomunicaciones
profesional
Capacidades y Persona altamente capacitada por sus estudios y con buenos
principios principios morales y éticos, conforme a los principios vigentes
en nuestra sociedad y al código de ética del ingeniero de
sistemas.
1. Infraestructura Y Comunicaciones.
Líder
Perfil
Especialización en telecomunicaciones, ingeniero de sistemas,
profesional
10 años de experiencia en administración de redes.
Persona altamente capacitada por sus estudios y con buenos
Capacidades y principios morales y éticos, conforme a los principios vigentes
principios en nuestra sociedad y al código de ética del ingeniero de
sistemas.
a.) Realiza tareas técnicas relacionadas con el diseño y

la instalación, mantenimiento de la plataforma de
redes y comunicación.
b.)Implementa los controles definidos en las políticas de

c.)Garantiza la disponibilidad de los servicios: sistemas

Nivel de acceso de información, correo electrónico, internet, voz ip, datos
a la información a través de la red corporativa.
d.)Administrar los elementos y servicios que conforman

la infraestructura tecnológica con un equipo de trabajo
que atiende las líneas de servicios.
45
Tabla 1. (Continuación)
2. Sistema De Información
Líder:
Especialización en gestión de proyectos, ingeniero de
Perfil profesional sistemas, trece años de experiencia en gestión informática.

sistemas.
La gestión y el seguimiento de las operaciones diarias se
generan y procesan a través de los sistemas de información,
que facilitan el registro de las operaciones en las diferentes
etapas de los procesos estratégicos, misionales y de apoyo.
b.) Los sistemas de información son herramientas
fundamentales para desarrollo del ICA; ya que permiten la
Nivel de acceso sistematización y automatización de los procesos en diferentes
a la información áreas, lo que trae ventajas competitivas sostenibles en el
tiempo.
c.)Desarrollar las actividades diarias de forma eficiente en el
menor tiempo posible y que los resultados se reflejen en los
indicadores de gestión.
d.)Los sistemas de información están compuesta por diferentes
aplicaciones.
3. Administración Y Desarrollo Tecnológico
Líder:
Especialización en Administración de recursos tecnológicos,
ingeniero de sistemas, 20 años de experiencia en
Perfil profesional
administración informática.

principios morales y éticos, conforme a los principios vigentes
Capacidades y
en nuestra sociedad y al código de ética del ingeniero de
principios
sistemas.
46
Evaluar la infraestructura tecnológica de la entidad u proponer

procesos de modernización tecnológica apropiados.
b.) Aprovechar las tendencias tecnológicas para el beneficio de
la entidad.
Nivel de acceso c.)Generar proyectos de tecnología asegurando la efectividad
a la información recepción, la apropiación y la transferencia de tecnología.
e.)Evaluar y asesorar proyectos de tecnología desde la
perspectiva estratégica financiera.
f.)Asesorar proyectos de modernización tecnológica y de
implementación de sistemas de información gerencial.
4. Mesa De Ayuda
Líder:
Especialización Soporte tecnológico, ingeniero de sistemas, 8

Perfil profesional
años de experiencia en administración de soporte tecnológico.

sistemas.
Es un conjunto de recursos tecnológicos y humanos diseñados

para atender y solucionar los requerimientos e incidentes
reportados por los usuarios ocasionados por los diferentes
agentes que intervienen en los servicios de infraestructura
tecnológica.
Nivel de acceso
b.) El personal encargado de la mesa de ayuda proporciona
a la información
respuestas y soluciones a los usuarios finales, clientes o
beneficiarios en productos y servicios.
e.) La mesa de ayuda proporciona el soporte a través de
registro en línea (Discovery), el correo electrónico o la llamada
telefónica.
Autor: Instituto Nacional de Museos
47
6.1.2.2 Establecimiento del plan estratégico de seguridad de la información. Tanto
para el Instituto Nacional de Museos como para otras entidades del estado, la
seguridad de la información en sus etapas tempranas, se ha centrado en la
protección de la tecnología de la información orientada a servicios de
procesamientos y almacenamiento, más que a la información en sí misma, que es
a lo que se le denomina seguridad informática.
Para el caso del Instituto en lo que respecta al diagnóstico para determinar el nivel
de seguridad de la información es necesario extender el alcance centrado en la
tecnología y apuntar a una seguridad integral, mas halla de la aplicación de las
políticas y los controles de seguridad en la que se proteja la información, sin
importar cómo se maneja, procesa o almacena.
Con este objetivo se sugiere desarrollar un plan estratégico de seguridad de la

información (PESI) que permita identificar el portafolio de proyectos que deben ser
desarrollados por el INM y asignar el presupuesto anual de manera priorizada con
miras a propender que los riesgos de la información sean administrados
apropiadamente. Igualmente, se deben identificar los requerimientos del MSPI,
alineado con las mejores prácticas, estándares y objetivos del negocio.
El PESI debe definirse y priorizarse teniendo en cuenta, entre otras cosa lo

siguiente:
6.1.2.3 Objetivos estratégicos del instituto. La gestión de los riegos, que se

clasifican de acuerdo con su responsabilidad e impacto, para mitigarlos y reducir
sus potenciales impactos a niveles aceptables. La optimización de los recursos,
que utilice el conocimiento en seguridad y, de forma eficiente y efectiva, la
infraestructura existente.
6.1.2.4 Implementación de una herramienta para gestionar el SGSI. Se

recomienda la adquisición e implementación de una herramienta automatizada
que apoye el cumplimiento de todos los requisitos del SGSI, para esto se manejó
el ciclo PHVA el cual permite su integración con otros sistemas de gestión (por
ejemplo, ISO 9001) Se sugiere tener en cuenta entre otros los siguientes
requisitos para la selección de la herramienta:
 Gestión documental
 Definición de objetivos y métricas
48
 Gestión de Activos
 Seguimientos a controles
 Actualización y seguimientos a los planes de tratamientos de riesgo
 Seguimiento a planes de capacitación
 Seguimiento a auditorías internas
 Seguimiento a las revisiones de la dirección
 Seguimiento a acciones correctivas y preventivas
 Gestión de incidentes
Para dar cumplimiento a este objetivo específico como fase previa a la

implementación de un modelo de seguridad y privacidad de la información MSPI
se utilizaron los siguientes mecanismos de recolección de información:
 Entrevista
 Consultas
 Observaciones
 Revisión de documentación
6.2 LEVANTAMIENTO DE INFORMACIÓN
Como parte del conjunto de actividades programadas que permiten el

levantamiento de información de la infraestructura física, lógica, y metodológica de
la seguridad del instituto, como parte del estudio de la situación actual de
seguridad.
Con base a los 14 dominios, 35 objetivos de control y 124 controles de la ISO

27001 del 2013 se aplicaron las siguientes entrevistas a las cinco áreas
especializadas a las cuales pertenecen el proceso de tecnologías de la
información, como se describió previamente en el alcance de este proyecto.
49
6.2.1 Dominio 5. Políticas de seguridad de la información. Resultado de las
entrevistas aplicadas a las siguientes áreas: Infraestructura y comunicaciones,
Seguridad de la información, Sistemas de información, Administración y desarrollo
tecnológico, Mesa de ayuda.
Entrevista como herramienta de medición con base a los siguientes objetivos:
Objetivo de la entrevista: Analizar el nivel de apoyo y orientación de la alta

dirección con respecto a las reglas de negocio, las regulaciones y leyes vigentes.
Población estadística: 50 funcionarios,

Muestra: 10 funcionarios
Fecha: Agosto del 2016.
Tabla 2. Entrevista Dominio 5. Políticas de seguridad

Enunciado R
¿Usted considera que existen un grupo de políticas completas para la
seguridad de la información definidas por la dirección?
¿Las políticas de seguridad de la información son aprobadas por la dirección?
¿Están publicadas y comunicadas las políticas de seguridad de la información

a todos los funcionarios y usuarios y partes externas?
¿Las políticas de seguridad son revisadas a intervalos planificados?
¿Las políticas de seguridad son actualizadas con las normas vigentes?
¿Se revisan las políticas de seguridad cuándo se producen cambios

significativos para garantizar su conveniencia, suficiencia y eficacia continua?
¿Actualmente existe normativa relativa a la seguridad de los SI?

¿Existen procedimientos, normas relacionadas a la seguridad del SI?
¿Existe un roles con responsable de las políticas, normas y procedimientos?
¿Existe una metodología pedagogía para la comunicación a los usuarios de las

normas
¿Existen controles regularmente documentados para verificar la efectividad de
las políticas?
Fuente: El autor
50
6.2.2 Dominio 6. Aspectos organizativos de la seguridad de la información.
Resultado de entrevistas aplicadas a las siguientes áreas: Infraestructura y
comunicaciones, Seguridad de la información, Sistemas de información,
Administración y desarrollo tecnológico, Mesa de ayuda.

Objetivo de la entrevista: Identificar si existe un marco de trabajo de la dirección
para controlar la implementación y funcionamiento al interior del instituto.
Población estadística: 50 funcionarios

Muestra: 10 funcionarios.
Tabla 3. Entrevista Dominio 6. Aspectos organizativos de la seguridad de la

información
Enunciado R
¿Existen roles y responsabilidades definidos para las personas implicadas
en la seguridad?
¿Existe responsable encargado de evaluar la adquisición y cambios de SI?
¿La Gerencia y las áreas administrativas de la Organización participan en

los temas de seguridad de la información?
¿Existen actualmente condiciones contractuales de seguridad con terceros
y outsourcing?
¿Existen criterios definidos para la seguridad en el manejo con terceros?
¿Existen programas de formación y capacitación en seguridad para los
funcionarios, usuarios internos y externos, terceros?
¿Existen acuerdos de confidencialidad de la información que se accesa?
¿Se revisa la organización de la seguridad periódicamente por una

empresa externa?
¿Existen roles y responsabilidades definidos para las personas implicadas

en la seguridad?
Existe un responsable encargado de evaluar la adquisición y cambios de
Sistema de información?
Fuente: El autor
51
6.2.3 Dominio 7. Seguridad ligada a los recursos humanos. Resultado de las
entrevistas aplicadas a las siguientes áreas: Infraestructura y comunicaciones,
Seguridad de la información, Sistemas de información, Administración y desarrollo
tecnológico.
La siguiente entrevista se aplicó como herramienta de medición con base a los

siguientes objetivos:
Objetivo de la entrevista: Analizar el nivel de aseguramiento con que los

empleados y contratistas comprenden sus responsabilidades y determinar si son
aptos para los roles los cuales fueron previamente considerados.
Población estadística: 50funcionarios, Muestra: 10 funcionarios.
Tabla 4. Entrevista Dominio 7. Seguridad ligada a los recursos humanos

Enunciado R
¿Se verifican los antecedentes judiciales en cada uno de los candidatos

al empleo de acuerdo con las leyes vigentes, regulaciones y normas y en
proporción a los requisitos del negocio, la clasificación de la información
y los riegos percibidos?
¿Existen acuerdos contractuales con los empleados y contratistas en

donde se indique sus responsabilidades y las de la organización en
cuanto a seguridad de la información?
¿La alta dirección solicita a todos los empleados y contratistas que

apliquen la seguridad de la información de acuerdo con las políticas y
procedimientos establecidos por el instituto?
¿Los funcionarios del instituto reciben información adecuada en

concientización y actualizaciones regulares en las políticas y
procedimientos establecidos?
¿Existe un proceso disciplinario formal y sabido por los funcionarios para

tomar acciones en contra de los empleados que hayan cometido una
infracción a la seguridad y privacidad de la información?
¿Existe comunicación de las responsabilidades y funciones de la

seguridad de la información que siguen en vigor después de la
desvinculación o cambio de la relación laboral?
Fuente: El autor
52
6.2.4 Dominio 8. Gestión de activos. Resultado de las entrevistas aplicadas a las
siguientes áreas: Infraestructura y comunicaciones, Seguridad de la información,
Sistemas de información, Administración y desarrollo tecnológico.
Objetivo de la entrevista: Determinar la seguridad en los activos del instituto, las

responsabilidades de protección pertinentes.
Población: 50 funcionarios
Tabla 5. Entrevista Dominio 8. Gestión de activos

Enunciado R
¿Existen un inventario de activos de información actualizado?
¿El Inventario contiene activos de datos, software, equipos y servicios?
¿Se dispone de una clasificación de la información según la criticidad de

la misma?
¿En la actualidad existe un responsable de los activos?
¿Existen procedimientos para clasificar la información?
¿Existen procedimientos de etiquetado y rotulado de la información?
¿Los activos que se mantienen en inventario pertenecen a un dueño?
¿Al finalizar el contrato laboral todos los funcionarios y usuarios de

terceras partes devuelven todos los activos que pertenecen al instituto?
¿Se implementan procedimientos para gestión de medios removibles?

¿Se eliminan los medios de forma segura cuando no se necesitan más?
¿Se protegen contra acceso no autorizado todos los medios que
contienen información para uso inadecuado o corrupción durante el
trasporte?
Fuente: El autor
53
6.2.5 Dominio 9. Control de accesos. La entrevista se aplicó a funcionarios de las
oficinas de tecnología de la información.
Entrevista oficina de tecnología de la información y las comunicaciones.
Objetivo de la entrevista: Analizar cómo está el acceso a los sistemas de

información, bases de datos y servicios de información en el instituto.
Tabla 6. Entrevista Dominio 9. Control de acceso

Enunciado R
¿Los sistemas operativos de los servidores se parchan con
frecuencia?
¿El nivel de seguridad poseen los protocolos para establecer

conexiones a los usuarios son considerables?
¿Se realizan hacking ético, pent testing, con regularidad en el INM?
¿El nivel de las contraseñas de acceso a los diferentes aplicativos en

producción es alto?
¿Usted posee conocimientos acerca de la seguridad de la

información?
¿El Nivel de seguridad de la información que usted considera que

posee el instituto es considerable?
¿El nivel en que se encuentran los controles de riesgos de seguridad

es alto o considerable?
¿Con frecuencias se hacen revisiones periódicas para incluir cambios
a los roles?
¿Se exige el uso de las buenas prácticas de seguridad en la
información confidencial para la autenticación?
¿El grado tecnológico con que cuenta el instituto a nivel de seguridad
es bueno?
Fuente: El autor
54
6.2.6 Dominio 10. Criptografía. La entrevista de aplico a funcionarios de las áreas
de: Infraestructura y comunicaciones, Seguridad de la información, Sistemas de
información, Administración y desarrollo tecnológico.
Objetivo de la entrevista: Analizar el uso de sistemas y herramientas técnicas

criptográficas para la protección de la información en el instituto.
Tabla 7. Entrevista Dominio 10. Criptografía

Enunciado R
¿Usted conoce las políticas de los controles criptográficos?
¿Se desarrolla o implementa una política sobre el uso, protección y
ciclo de vida de las claves criptográficas a través de todo su ciclo?
¿Las credenciales de acceso caducan cada 30 días?
¿Se realizan seguimientos y auditorias relacionadas con las gestiones
de claves criptográficas?
¿Las claves criptográficas son destruidas cuando caducan?
¿Usted considera que las claves criptográficas de accesos son
seguras?
¿Todas las aplicaciones validan el acceso contra el directorio activo del
instituto con claves criptográficas?
¿Existe un único servidor de autenticación a las diferentes
aplicaciones?
¿Las firmas digitales son validadas con una entidad externa?
¿Existe en algunas bases de datos contraseñas o datos confidenciales

almacenados de forma plana?
¿Los niveles de entropías en las credenciales son altas?
¿Utiliza usted dispositivos móviles para realizar trasmites con
identificación y/o firmas electrónicas?
Fuente: El autor
55
6.2.7 Dominio 11. Seguridad física y ambiental. La entrevista de aplico a
funcionarios de las áreas de: Infraestructura y comunicaciones, Seguridad de la
información.
Objetivo de la entrevista: Analizar el nivel de seguridad con el uso adecuado y

eficaz de los controles a los accesos físicos no autorizados, daños e interferencia
contra las instalaciones de procesamiento de la información.
Fecha: Agosto del 2016
Tabla 8. Entrevista Dominio 11. Seguridad física y ambiental

Enunciado R
¿El Datacenter se encuentra resguardado del acceso exterior?
¿Existe un centro de datos con todas las normas de seguridad?
¿Existe personal de vigilancia en el instituto?
¿Las horas laborales extras al trabajo cotidiano son auditadas?
¿En la entidad se utilizan controles de accesos físicos?
¿El edificio posees salidas de emergencias señalizadas?
¿El área de almacén es suficiente para guardar todos los suministros?
¿NO existen materiales inflamables dentro del área de TI?
¿Existe oficina externa al instituto donde llegue la correspondencia?
¿Existen barreras físicas que aíslen áreas coyunturales de la entidad?
¿Se utilizan circuitos cerrados de televisión en las áreas comunes?
¿Existe un control de activos de entrada y salida en INM?
¿El estado de las canaletas y cableados eléctricos son buenos?
¿Existe un Firewall en la entidad y se entiende para que debe existir?
¿En la entidad NO hay equipos de cómputos en el piso?
¿NO se utilizan aire acondicionados en el Datacenter?
¿Hay reguladores y UPS en todos los equipos de cómputo?
¿Existe planta eléctrica para la generación en caso de emergencia?
Fuente: El autor
56
6.2.8 Dominio 12. Gestión de operaciones. La entrevista de aplico a funcionarios
de las áreas de: Infraestructura y comunicaciones, Seguridad de la información.
Objetivo de la entrevista: Analizar los controles y procedimientos de las

operaciones, el desarrollo y mantenimiento con su respectiva documentación
actualizada en la OTI.
Tabla 9. Dominio 12. Resultado de entrevista de gestión de operaciones

Enunciado R
¿Los procedimientos operativos se encuentran documentado?
¿Se controlan los cambios que afectan la seguridad de la información en la
organización y procesos internos, instalaciones procesamientos de
información?
¿Se monitorea los recursos con proyecciones de requisitos de capacidad ?
¿Los ambientes de desarrollo, pruebas, capacitación y producción están por
separados?
¿Existe un software versionador estándar y centralizado para todos los grupos
de desarrollo?
¿Periódicamente se implementan controles para la detección y prevención y
recuperación antes afectaciones de Malware?
¿A las copias de seguridad y archivos sensibles se aplica técnica de cifrado?
¿Se realizan registros de fallas y operadores para garantizar la identificación
de los problemas de SI?
¿Se implementan procedimientos para controlar la instalación de software en
sistemas operacionales?
¿Se realiza informes de vulnerabilidades a los responsables involucrados?
¿Las reglas que rigen la instalación de software son establecidas para su
implementación?
¿Los procedimientos y requerimientos responsables de auditorías son
documentados?
Fuente: El autor
57
6.2.9 Dominio 13. Seguridad en las comunicaciones. La entrevista de aplico a
información.
Análisis de resultados de las entrevistas realizadas seguidamente aplicadas las

diferentes entrevistas a las oficinas y dependencias del INM. Se prosiguió con el
respectivo análisis determinando la tendencia de los resultados de cada pregunta.
Objetivo de la entrevista: determinar cómo se encuentra la protección de la

información que se comunica por redes telemáticas y la protección de la
infraestructura de soporte.
Tabla 10. Entrevista Dominio 13. Seguridad en las comunicaciones

Enunciado R
¿Se administran y controlan las redes para proteger la información en sistemas
y aplicaciones?
¿Se identifican e incluyen en los acuerdos de servicios (CLA), los mecanismos
de seguridad, niveles de servicios y requisitos para administrar servicios de
red?
¿Las redes son desagregadas en función de los grupos de servicios, usuarios
y sistemas de información?
¿Existen políticas y procedimientos de intercambio de información?
¿En la mensajería electrónica se protege adecuadamente la información?
¿Ha firmado un acuerdo de confidencialidad diferente al del contrato laboral?
¿Están definidas las responsabilidades y los procedimientos para el
tratamiento de los eventos y debilidades de la seguridad de la información?
¿Usted considera se realiza un proceso de mejora continua al monitoreo,
evaluación, y gestión de incidentes de seguridad de la información?
¿Cuándo se halla evidencia, esta se recolecta y documenta para garantizar el
cumplimiento de los requisitos legales?
¿Se realizan copias de seguridad a los activos de información programadas?
Fuente: El autor
58
6.2.10 Dominio14. Adquisición, desarrollo y mantenimiento de sistemas. La
entrevista de aplico a funcionarios de las áreas de: Infraestructura y
comunicaciones, Seguridad de la información.
Objetivo de la entrevista: Analizar y determinar el nivel de aseguramiento de los

sistemas de información en todo el ciclo, incluyendo los requisitos para los
sistemas de información que proporcionan servicios en las redes públicas.
Tabla 11. Entrevista Dominio 14. Adquisición, desarrollo y mantenimiento de

sistemas
Enunciado R
¿Usted considera que los ambientes de desarrollo son seguros?
¿Existe un marco de seguridad o framework de referencia para el desarrollo
seguro de aplicaciones?
¿Se utiliza una metodología o técnicas para las buenas prácticas de desarrollo
de aplicaciones?
¿Existen políticas que garanticen los ambientes de desarrollos y pruebas que
soporten la efectividad y eficiencia?
¿Se realiza la documentación de cada una de las fases gestionadas en cada
uno de los proyecto?
¿En la actualidad la evaluación del riesgo TI está integrada con la evaluación
del riesgo del instituto?
¿Existe algún procedimiento o mecanismo para la gestión de cambios o
requerimientos durante el desarrollo, compra o adquisición de aplicativos?
¿Se generan acciones preventivas y correctivas después de los análisis de
vulnerabilidades y posibles amenazas o riesgos?
¿Se realizan pruebas de funcionalidad en aspectos de seguridad durante las
etapas del desarrollo?
¿Los datos de las bases de los aplicativos en ambientes de pruebas,
ambientes desarrollo o de capacitación son datos ficticios?
Fuente: El autor
59
6.2.11 Dominio 15. Relación con proveedores. La entrevista de aplico a los
información, Mesa de ayuda.
Objetivo de la entrevista: Determinar el nivel de protección en seguridad de los

activos del instituto a los que tienen acceso los proveedores. Analizar la seguridad
de la información en las relaciones con los proveedores.
Tabla 12. Entrevista Domino 15. Relación con proveedores

Enunciado R
¿Los requisitos de seguridad de la información para mitigar los riegos asociados
al acceso de proveedor a los activos de la organización se acuerdan y
documentan junto con el proveedor?
¿Todos los requisitos de Seguridad de la información son definidos y acordados
con cada proveedor que acceda, procese, almacene, comunique o proporcione
componentes de infraestructura de TI?
¿Los acuerdos con los proveedores incluyen los requisitos para abordar los
riesgos de seguridad de la información asociados a los servicios de TI y las
comunicaciones y cadena de suministro?
¿El instituto supervisa, revisa y audita la entrega de los servicios del proveedor?
¿Se gestionan los cambios al suministro de los servicios por parte de los
proveedores donde se incluya el mantenimiento y la mejora de las políticas de
seguridad de la información existente, procedimientos y controles?
¿Se analiza el nivel de criticidad de la información del negocio, los sistemas y
los procesos involucrados y la reevaluación de los riesgos?
Fuente: El autor
60
6.2.12 Dominio 16. Gestión de incidentes de seguridad de la información. La
entrevista se aplicó a funcionarios de las áreas de: Infraestructura y
comunicaciones, Seguridad de la información, Sistemas de información,
Administración y desarrollo tecnológico, Mesa de ayuda.
Objetivo de la entrevista: Analizar el nivel de aseguramiento con el enfoque

consistente y eficaz sobre la gestión de los incidentes de seguridad de la
información.
Tabla 13. Entrevista Dominio 16. Gestión de operaciones

Enunciado R
¿Se hace el requerimiento que los funcionarios o usuarios que observen
cualquier debilidad en la seguridad de la información en los sistemas o
servicios puedan reportar los incidentes o sospecha?
¿Se comunican internamente las debilidades de seguridad?
¿Existe definidas las responsabilidades antes un incidente?
¿Existe un procedimiento formal de respuesta?
¿Se comunican o informan con anterioridad los eventos de seguridad
mediante los canales de gestión apropiados?
¿Se establecen responsabilidades y procedimientos de gestión para asegurar
una respuesta rápida, eficaz y metodológica a los incidentes de seguridad de
la información?
¿El instituto define y aplica los procedimientos para la identificación,
recolección, adquisición y conservación de información, que pueda servir de
evidencia?
¿Se aplica el conocimiento adquirido al analizar y resolver incidentes de
seguridad de la información para mitigar su probabilidad de materialización?
¿Los incidentes de seguridad de la información son atendidos de acuerdo a los
procedimientos documentados?
Fuente: El autor
61
6.2.13 Dominio 17. Aspectos de seguridad de la información de la gestión de la
continuidad del negocio. La entrevista se aplicó a funcionarios de las áreas de:
Infraestructura y comunicaciones, Seguridad de la información, Sistemas de
información, Administración y desarrollo tecnológico, Mesa de ayuda.
Objetivo de la entrevista: Analizar si se incorpora los aspectos de seguridad de la

información con la gestión de la continuidad del negocio en el instituto.
Determinar el nivel de disponibilidad de las instalaciones de procesamiento de la
información.
Tabla 14. Entrevista Dominio 17. Aspectos de seguridad de la información de la

gestión de la continuidad del negocio
Enunciado R
¿Existen procesos para la gestión de la continuidad?
¿Existe un plan de continuidad del negocio y análisis de impacto?
¿Existe un diseño, redacción e implantación de planes de continuidad?
¿Existe un marco de planificación para la continuidad del negocio?
¿Existen prueba, mantenimiento y reevaluación de los planes de continuidad
del negocio?
¿Existen procesos para la gestión de la continuidad?
¿Existe un plan de continuidad del negocio y análisis de impacto?
¿Existe un diseño, redacción e implantación de planes de continuidad?
¿Se verifica de manera periódica, los controles de continuidad de la seguridad
de la información definida e implementada?
¿Las instalaciones de procesamientos son implementadas con la redundancia
suficiente para cumplir con los requisitos de disponibilidad?
Fuente: El autor
62
6.2.14 Dominio 18. Cumplimiento. La entrevista se aplicó a funcionarios de las
áreas de: Infraestructura y comunicaciones, Seguridad de la información, Sistemas
de información, Administración y desarrollo tecnológico, Mesa de ayuda.
Objetivo de la entrevista: Analizar los cumplimientos con los requisitos legales y

contractuales con referencia a la seguridad de la información y todos los requisitos
de seguridad. Determinar el aseguramiento y disponibilidad de las instalaciones de
procesamiento de la información.
Tabla 15. Entrevista Dominio 18. Cumplimiento

Enunciado R
¿Se tiene en cuenta el nivel de cumplimiento con la legislación vigente por
parte de los sistemas de información en el instituto?
¿Existe el resguardo de la propiedad intelectual, derechos de autor en los
desarrollos de aplicaciones y soluciones propios del instituto?
¿Existe el resguardo de los registros de la organización?
¿Existe una revisión general y periódica de la política de seguridad y de la
conformidad técnica en el instituto?
¿Existen consideraciones sobre las auditorías de los sistemas?
¿Se tiene en cuenta el cumplimiento con la legislación por los sistemas?
¿Existe el resguardo de la propiedad intelectual?

¿Los requisitos estatutarios, regulatorios y contractuales están definidos y
documentados explícitamente para cada sistema de información?
¿Los registros se protegen contra pérdida, destrucción, falsificación, acceso
sin autorización y emisión sin autorización?
¿Se asegura la privacidad y protección de la información de identificación
personal, como se exige en la legislación y regulaciones pertinentes a
Colombia?
¿Se utilizan controles criptográficos que cumplan con los acuerdos, leyes, y
regulaciones pertinentes?
Fuente: El autor
63
6.2.15 Resultado de entrevista para identificar el estado actual. Actualmente en el
Instituto no se lleva a cabo el 85 % de los controles de la ISO 2700:2013 como se
evidencia en los resultados de las entrevistas aplicadas a los funcionarios que
pertenecen a las cinco (5) áreas del proceso de tecnología de la información.
Figura 5. Gráficas de tortas como el resumen de resultados de las entrevistas

RESULTADO GENERAL DE LAS ENTREVISTAS APLICADAS.
15 85
si no
si
15%
no
85%
POR ÁREAS
5. POLÍTICAS DE SEGURIDAD 6. ORGANIZACIÓN DE LA SEGURIDAD 7. RECURSOS HUMANOS
si
si si 11%
117% 25%
no
no no 89%
83% 75%
8. GESTIÓN DE ACTIVOS 9.CONTROL DE ACCESOS 10. CRIPTPGRAFÍA
si si si
6% 11%
17%
no no
94%
no
83%
89%
11. SEGURIDAD FÍSICA Y

12. GESTIÓN DE OPERACIONES 13. SEGURIDAD EN LAS COMUNICACIONES
AMBIENTAL
si Si si
5% 9% 20%
no no
no 80%
95% 91%
14. ADQUISICIÓN, DESARROLLO Y 15. RELACIÓN CON PROVEEDORES 16. GESTIÓN DE INCIDENTES DE SEGURIDAD
MANTENIMIENTO
si
si 20%
si
20%
40%
no
60%
no
no
80%
80%
17. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 18. CUMPLIMIENTO
si
si 6%
17%
no
no
94%
83%
Fuente: El autor
64
6.3 EVALUACIÓN DE APLICABILIDAD
Seguidamente se realiza un análisis de aplicación teniendo en cuenta los 14

dominios, 35 objetivos de control con los 114 controles de la ISO 27001:2013.
Tabla.16. Evaluación de aplicabilidad con objetivo de control por dominio

APLIC
DOMINIO OBEJTIVO DE CONTROL A OBS
Directrices de la dirección en
POLITICA DE
SEGURIDAD
5.1 seguridad de la información. SI

Conjunto de políticas para la
5.1.1 seguridad de la información. SI
Revisión de las políticas para la
5.1.2 seguridad de la información. SI
6.1 Organización Interna. SI
ASPECTOS ORGANIZATIVOS
DE LA SEGURIDAD DE LA
Asignación de responsabilidades para

6.1.1 la seguridad de la información. SI
INFORMACION
6.1.2 Segregación de tareas. SI

6.1.3 Contacto con las autoridades. SI
Contacto con grupo de interés
6.1.4 especial. SI
Seguridad de la información en la
6.1.5 gestión de proyecto. SI
6.2 Dispositivos Móviles y trabajo remoto. SI
6.2.1 Políticas de los dispositivos móviles. SI
6.2.2 Trabajo remoto. SI
7.1 Antes de la contratación. SI
7.1.1 Investigación de antecedentes. SI
SEGURIDAD LIGADA A LOS
RECURSOS HUMANOS
Términos y condiciones de
7.1.2 contratación. SI
7.2 Durante la contratación. SI
7.2.1 Responsabilidades de gestión. SI
Concientización, educación y
formación en seguridad de la
7.2.2 información. SI
7.2.3 Proceso disciplinario. SI
7.3 Desvinculación y cambio de empleo. SI
Responsabilidades en la
7.3.1 desvinculación o cambio de empleo. SI
65
DOMINIO OBEJTIVO DE CONTROL APLICA OBS
8.1 Responsabilidades de los activos SI
8.1.1 Inventarios de activos. SI
ADMINISTRACIÓN DE ACTIVOS
8.1.2 Propiedad de los activos. SI
8.1.3 Uso aceptable de los activos. SI
8.1.4 Devolución de activos. SI
8.2 Clasificación de la información. SI
8.2.1 Directrices de la clasificación. SI
8.2.2 Etiquetado y manipulado de la información SI
8.2.3 Manipulación de activos SI
8.3 Manejo de los soportes de SI
almacenamiento
8.3.1 Gestión de soportes extraíbles SI
8.3.2 Eliminación de soportes SI
8.3.3 Soportes físicos en tránsito. SI
9.1 Requisitos del negocio para el control de SI
accesos.
9.1.1 Políticas de control de accesos. SI
9.1.2 Control de acceso a las redes y servicios SI
asociados.
9.2 Gestión de acceso de usuario SI
CONTROL DE ACCESO
9.2.1 Gestión de altas/bajas en el registro de SI

usuarios
9.2.2 Gestión de los derechos de acceso SI
asignados a usuarios.
9.2.3 Gestión de los derechos de acceso con SI
privilegios especiales
9.2.4 Gestión de información confidencial de SI
autenticación de usuario
9.2.5 Revisión de los derechos de acceso de los SI
usuarios
9.2.6 Retirada o adaptación de los derechos de SI
acceso
9.3 Responsabilidades del usuario SI
9.3.1 Uso de información confidencial para la SI
autenticación.
66
DOMINIO OBEJTIVO DE CONTROL APLICA OBS
Control de acceso a sistemas y
9.4 aplicaciones. SI
9.4.1 Restricción del acceso a la información. SI
Procedimientos seguros de inicio de
9.4.2 sesión. SI
9.4.3 Gestión de contraseña de usuario. SI
Uso de herramientas de administración
9.4.4 de sistemas. SI
Control de acceso al código fuente de
9.4.5 los programas. SI
10.1 Controles criptográficos. SI
CRIPTOG
RAFÍA
Políticas de uso de los controles

10.1.1 criptográficos. SI
10.1.2 Gestión de claves. SI
11.1 Áreas seguras. SI
11.1.1 Perímetro de seguridad física. SI
11.1.2 Controles físicos de entrada SI
Seguridad de oficinas, despachos y
11.1.3 recursos. SI
Protección contra las amenazas
SEGURIDAD FISICA Y AMBIENTAL
11.1.4 externas y ambientales. SI

11.1.5 El trabajo en áreas seguras. SI
Áreas de acceso público, carga y
11.1.6 descarga. SI
11.2 Seguridad de los equipos. SI
11.2.1 Emplazamiento y protección de equipos. SI
11.2.2 Instalaciones de suministro. SI
11.2.3 Seguridad del cableado. SI
11.2.4 Mantenimiento de los equipos. SI
Salida de activos fuera de las
11.2.5 dependencias. SI
Seguridad de los y activos fuera de las
11.2.6 instalaciones. SI
Reutilización o retirada segura de
11.2.7 dispositivos de almacenamiento. SI
Equipo informático de usuario
11.2.8 desentendido. SI
11.2.9 Política de puesto de trabajo despejado. SI
67
DOMINI OBJETIVO DE CONTROL APLIC OS
O A B
12.1 Procedimientos operacionales y SI
responsabilidades.
12.1. Documentación de procedimientos de SI
1 operaciones.
12.1. Gestión de cambios. SI
2
12.1. Gestión de capacidades. SI
3
12.1. Separación de entornos de SI
4 desarrollo, prueba y producción.
12.2 Protección contra el código malicioso. SI
12.2. Controles central el código malicioso. SI
SEGURIDAD DE LAS OPERACIONES
1
12.3 Copias de seguridad. SI
12.3. Copias de seguridad de la SI
1 información.
12.4 Registro de actividad y supervisión. SI
12.4. Registro y gestión de eventos de SI
1 actividad.
12.4. Protección de los registro de SI
2 información.
12.4. Registro de actividad del SI
3 administrador y operador del sistema.
12.4. Sincronización de relojes. SI
4
12.5 Control del software en explotación. SI
12.5. Instalación del software en sistemas SI
1 en producción.
12.6 Gestión de la vulnerabilidad técnica. SI
12.6. Gestión de las vulnerabilidades SI
1 técnicas.
12.6. Restricciones en la instalación de SI
2 software.
12.7 Consideraciones de las auditorias de SI
los sistemas de información.
12.7. Controles de auditoria de los SI
1 sistemas de información.
68
69
DOMINIO OBJETIVOS DE CONTROL APLICA OBS
13.1 Gestión de la seguridad en las redes. SI
TELECOMUNICACIONES 13.1.1 Control de red. SI
SEGURIDAD EN LAS
13.1.2 Mecanismos de seguridad asociados a SI

servicios en red
13.1.3 Segregación de redes. SI
13.2 Protección contra código malicioso. SI
13.2.1 Políticas y procedimientos de intercambio de SI
información.
13.2.2 Acuerdos de intercambio. SI
13.2.3 Mensajería electrónica SI
13.2.4 Acuerdos de confidencialidad y secreto. SI
14.1 Requisitos de seguridad de los sistemas de SI
ADQUISICION, DESARROLLO Y MANTENIMIENTO DEL SISTEMA
información.
14.1.1 Análisis y especificación de los requisitos de SI
seguridad.
14.1.2 Seguridad de las comunicaciones en SI
servicios accesibles por redes públicas.
14.1.3 Protección de las transacciones por redes SI
telemáticas.
14.2 Seguridad en los procesos de desarrollo y SI
soporte.
14.2.1 Política de desarrollo seguro SI
14.2.2 Procedimientos de control de cambios en los SI
sistemas.
14.2.3 Revisión técnica de las aplicaciones tras SI
efectuar cambios en el sistema operativo
14.2.4 Restricciones a los cambios en los paquetes SI
de software.
14.2.5 Uso de principios de ingeniera en protección SI
de sistemas.
14.2.6 Seguridad en entornos de desarrollo. SI
14.2.7 Externalización del desarrollo de software. SI
14.2.8 Pruebas de funcionalidad durante el SI
desarrollo de los sistemas.
14.2.9 Pruebas de aceptación. SI
14.3 Datos de prueba. SI
14.3.1 Protección de datos utilizados en pruebas. SI
70
DOMINIO OBJETIVO DE CONTROL APLICA OBS
15.1 Seguridad de la información en las SI
RELACION CON PROVEEDORES relaciones con el proveedor.
15.1.1 Política de seguridad de la información SI
para las relaciones con los proveedores.
15.1.2 Abordar la seguridad dentro de los SI
acuerdos del proveedor.
15.1.3 Cadena de suministro de tecnologías de la SI
información y comunicaciones
15.2 Gestión de entrega del servicio del SI
proveedor.
15.2.1 Supervisor y revisión de los servicios de los SI
servicios del proveedor.
15.2.2 Gestión de cambios a los servicios del SI
proveedor.
16.1 Gestión de incidentes de seguridad de la SI
GESTION DE INCIDENTES
EN LA SEGURIDAD DE LA
información y mejoras.
16.1.1 Responsabilidades y procedimientos. SI
INFORMACION
16.1.2 Notificación de los eventos de seguridad. SI

16.1.3 Notificación de puntos débiles de la SI
seguridad.
16.1.4 Valoración de eventos de la seguridad de la SI
información y decisiones
16.1.5 Respuestas a los incidentes de seguridad SI
16.1.6 Aprendizaje de los incidentes de seguridad SI
16.1.7 Recopilación de evidencia. SI
17.1 Continuidad de la seguridad de la SI
ASPECTOS DE SEGURIDAD
información.
EN LA GESTIÓN DE LA
CONTINBUIDAD DEL
17.1.1 Planificación de la continuidad de la SI

seguridad de la información
17.1.2 Implantación de la continuidad de la SI
NEGOCIO
17.1.3 Verificación, revisión y evaluación de la SI
continuidad de la seguridad de la
información.
17.2 Redundancias. SI
17.2.1 Disponibilidad de instalaciones para el SI
procesamiento de la información.
71
DOMINIO OBJETIVO DE CONTROL APLICA OBSB
18.1.2 Derechos de propiedad intelectual (DPI) SI
Protección de los registros de la
18.1.3 organización. SI
Protección de datos y privacidad de la
CUMPLIMIENTO
18.1.4 información personal. SI

18.1.5 Regulación de los controles criptográficos. SI
Revisiones de la seguridad de la
18.2 información. SI
Revisión independiente de la seguridad de la
18.2.1 información. SI
Cumplimiento de las políticas y normas de
18.2.2 seguridad. SI
18.2.3 Comprobación del cumplimiento. SI
Fuente: El autor
6.4 CRITERIOS DE EVALUACIÓN
La siguiente plantilla de evaluación está basada en los 14 dominios, 35 objetivos

de control y 124 controles de la ISO 27001 del 2013.
Con esta plantilla se evalúan los tres siguientes aspectos básicos:
I. Si el control existe.
II. Determinar cuál sería el nivel de formalización e implementación.
III. Si se realiza el seguimiento y/o monitoreo a los controles.
Se especifican aspectos y definiciones que pueden ser diligenciados en cada

campo de la plantilla.
72
Tabla 17. Plantilla criterios de evaluación
CAMPO DETALLES POSIBLES RESPUESTAS
Responder si
Existencia del
el control SI NO
control
existe
Cuando el
control no
existe se
Cual
tiene que
describir el
motivo.
Se describe
si el control
Nivel de Implementado
esta Implementad Implementado
formalización e documentado
formalizado, o pero no documentado
implementació pero no
divulgado y si documentado y divulgado
n divulgado
hay
responsables.
¿Existen
No existe
indicadores, Si existe
Seguimiento y No existe indicadores de
monitoreo, indicadores y
monitoreo del mecanismo medición, se
para se realiza
control de medición realiza
ejecución de monitoreo
monitoreo
control.
Fuente: El autor
6.4.1 Definición de puntajes. Se determina el puntaje el cual permite definir el

promedio como resultado.
Tabla 18. Puntaje de implementación

CAMPO PUNTAJE
Implementado pero no documentado 1
Implementado documentado pero no divulgado 2
Implementado documentado y divulgado 3
Fuente: El autor
73
Tabla 19. Puntaje monitoreo de control
CAMPO PUNTAJE
No existe mecanismo de medición 0
No existe indicadores de medición, se realiza monitoreo 1
Si existe indicadores y se realiza monitoreo 2
Fuente: El autor
6.4.2 Resultados De La Evaluación. La sumatoria de formalización,

implementación más la de seguimiento y monitoreo del control, permite concebir
el puntaje por cada objetivo de control.
Tabla 20. Resultado de evaluación

ESCALA CARACTERÍSTICAS
No Existe: El instituto no reconoce que existe un problema para
0
solucionar.
Inicial: Hay evidencias donde el instituto reconoce que los problemas
1 existen. NO existe un proceso estándar. El enfoque administrativo
general
Repetible: Los procesos se realizan con procedimientos similares en

2 las distintas áreas donde se aplica la misma actividad. No existe
capacitación formal de los procedimientos estándares.
Definido: Los procesos estándares están documentado. Se divulgan a

3 través de capacitaciones. El cumplimiento de Los procesos no es de
obligatoriedad.
Administrador: Cuando los procesos no funcionan de forma objetiva

4 se monitorean pero no se puede medir el cumplimiento de los
procedimientos para tomar medidas de cambios.
Optimizado: Procesos basados en resultados de mejoras constantes.

El cumplimiento de los objetivos se monitorea y se miden los
5
indicadores. La seguridad se administra de forma integral,
automatizando el flujo de trabajo.
Fuente: El autor
74
6.5 ESTRATIFICACIÓN DE LA ENTIDAD
Dado el abanico de entidades (desde las pequeñas de orden territorial, con bajos
presupuestos y ubicadas en zonas remotas del país, hasta las grandes de orden
nacional), es necesario definir una escala o "estratificación", que permita definir de
antemano un nivel de responsabilidad de la entidad en cuanto a la seguridad de la
información. Esta clasificación se enfocará en definir el "nivel" asociado a
responsabilidades y requerimientos tecnológicos que deberá cumplir la entidad en
cuanto a seguridad de la información.
Para determinar el nivel de estratificación del Instituto Nacional De Museo

tomamos como referencia la guía # 2 Estratificación de las entidades públicas
versión 2.0.0 MINTIC.
Tabla 21. Escala de Evaluación. Esquema de estratificación de entidades

PARÁMETROS DE
RANGOS PUNTOS
CLASIFICACIÓN
1. Menos de 3.000 millones de pesos.

2. Entre 3.000 millones y 50.000 millones
de pesos. 3
PRESUPUESTO
3. Más de 50.000 millones de pesos.
1. Menos de 100 computadores.
NÚMERO TOTAL DE
2. Entre 100 y 500 computadores.
COMPUTADORES
3. Más de 500 computadores. 3
1. Menos de 4 Servidores.
NÚMERO DE 2. Entre 4 y 20 Servidores. 2
SERVIDORES
3. Más de 20 Servidores.
1. Menos de 6 empleados.
2. Entre 6 y 50 empleados.
NÚMERO DE
EMPLEADOS DE
2
SISTEMAS
(TECNOLOGÍA) 3. Más de 50 empleados.
75
PARÁMETROS DE
RANGOS PUNTOS
CLASIFICACIÓN
1. No existe un área de sistemas de
tecnología de la información o sistemas
propiamente.
2. Si Existe un área de tecnología de la
información o sistemas propiamente.
enfocada en la operación del día a día,
que cumple labores en su mayoría
EXISTENCIA Y FUNCIÓN REACTIVAS
DEL ÁREA DE SISTEMAS 3. Si existe un área de tecnología de la 2
(TECNOLOGÍA) información o sistemas, además de
desarrollar funciones del punto anterior,
con la planeación y desarrollo de
proyectos nuevos o de actualización,
administra su propio presupuesto con el
desarrollo de labores PROACTIVAS a
través de comités y participación en
decisiones empresariales.
1. WAN pública (p.ej. Internet) sólo para
USAR correo y navegar. Incluye
servidores de correo y Web en hosting.
2. WAN pública (p.ej. Internet) con
EXISTENCIA Y OBJETO servicios ofrecidos al ciudadano. Puede
DE LA WAN o no haber desarrollos sofisticados de 3
transaccionalidad.
3. Lo anterior más la existencia de una
WAN privada (no incluye VPN a través
de Internet).
1. Solo ofrece servicios de consulta
(páginas WEB estáticas y correo
electrónico)
2. Transaccionalidad local. Generación
TRANSACCIONALIDAD de servicios y seguimiento de trámites,
EN LA WEB solo con base en datos y aplicativos
3
propios
3. Lo anterior más interacción con
aplicativos, datos y servicios de otras
entidades y/o terceros.
76
PARÁMETROS DE RANGOS PUNTOS
CLASIFICACIÓN
1. No desarrolla software. Incluye

aquellas entidades que tienen en hosting
una página WEB básica e informativa y
un servidor de correo.
DESARROLLO DE 2. Sí desarrolla software solo aplicativos

internos. Se aclara que este desarrollo 3
SOFTWARE.
puede ser interno o en outsourcing
externo.
3. Sí desarrolla software para aplicativos

externos. Sí publica información
transaccional. Puede o no desarrollar
software para aplicativos internos. Hay
que aclarar que este desarrollo puede ser
interno o en outsourcing (realizado por
terceros).
Fuente: El autor
Análisis de los resultados:
Las respuestas fueron seleccionadas teniendo en cuenta la información que fue

suministrada en las entrevistas realizadas a los diferentes funcionarios del
instituto.
El puntaje total de la estratificación se determinó por la suma de los rangos de

valores escogidos en la tabla, en el caso de la entidad este es igual a 21 puntos.
El nivel de estratificación del instituto de acuerdo con el puntaje anterior se define

en relación a los rangos de valores de la siguiente tabla.
77
Tabla 22. Nivel estratificación del Instituto
PUNTOS CLASIFICACIÓN
Menor a 11 BAJO
Entre 11 y 22 MEDIO
Mayor a 22 ALTO
Fuente: El autor
Conforme al puntaje de 21 puntos obtenido por el instituto, el nivel de

estratificación de este se encuentra en MEDIO.
78
7. IDENTIFICACIÓN Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
El siguiente objetivo se desarrolla con base a las recomendaciones trazadas en la

guía número 5 versión 1.0 del 15/03/2016 para la gestión y clasificación de activos
de la información del modelo de seguridad y privacidad de la información impartida
por el Ministerio de las Tecnologías de la Información y las comunicaciones
MINTIC.
Para el desarrollo de este objetivo también se tuvieron en cuenta las

recomendaciones de la Norma ISO 27005 del 2009, la ley 1712 del 2014 mediante
la cual se creó la Ley de Trasparencia y del derecho de acceso a la información
pública nacional.
La clasificación de activos de información debe realizarse en función de los

requerimientos legales vigentes, el valor, la criticidad y susceptibilidad en la
divulgación o no autorizada que se mencionan en las políticas del modelo de
seguridad y privacidad de la información.
Figura 6. Ciclo del inventario de activos
Fuente:http://mintic.gov.co/gestionti/615/articles
5482_G5_Gestion_clasificacion.pdf
79
7.1 TIPOLOGÍAS DE LOS ACTIVOS DE INFORMACIÓN
Tabla 27. Tipologías de los activos de información

COMPONENTES TIPOLOGÍAS DESCRIPCIÓN
Todos los tipos de archivos en los

diferentes formatos como por
Digital
ejemplo: Bases de datos, fotos,
Tipos de audios, textos, videos. Etc.
almacenamiento de
activos de
información Toda la información en medio
impresa como por ejemplo:
Físico
Revistas, periódicos, carteleras,
memorandos.
Equipos complementarios de
Hardware apoyo para las operaciones sobre
algún activo de información.
Ubicación y/o Almacenamiento extraíble

contenedores de Almacenamiento complementarios como USB, CD,
activos de Electrónico DVD, discos duros externos,
información entre otros.
Instalaciones, redes, etc. para

desarrollar una actividad
Infraestructura
específica, que ofrezca servicio
Física
requerido por INM con el
alojamiento de la información.
Funcionario que realiza las
Responsables y Recurso funciones críticas para el Instituto,
custodios Humano cuya ausencia desencadena el
incumplimiento de las funciones.
Todo sistema de información o

Aplicaciones de programa requerido que requiera
Software
procesamiento activos de información para
cumplir tareas.
Fuente: El autor
7.2 IDENTIFICAR LOS ACTIVOS DE INFORMACIÓN.
80
La identificación y clasificación de los activos de información es de mucha
importancia debido a que se determina cuáles son los activos que posee el
instituto y de qué manera son utilizados los roles y responsabilidades que tiene
cada funcionario con los mismos, con este proceso también se reconoce el nivel
de clasificación según su confidencialidad, integridad y disponibilidad de la
información la cual debe tener a cada activo de información.
Con esta guía el líder o jefe del proceso debe solicitar la revisión por lo menos
anualmente de la definición de los activos por parte del funcionario responsable
del activo de información para validar si corresponde la idoneidad de este rol a
dicho funcionario asignado por parte del instituto.
7.3 CLASIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN.
La siguiente plantilla de clasificación permite identificar de forma estructurada y

fácil los activos de información, con las siguientes pautas:
a.) Identificar de forma organizada los activos de información.
b.) Describir las características básicas de los activos de información.
c.) Clasificar los activos de información.
Tabla 24. Clasificación de los activos de información

CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD
PÚBLICA BAJA NO CRÍTICO.
USO INTERNO MEDIA MENOS CRÍTICO.
CONFIDENCIAL ALTA MISIÓN CRÍTICA.
Fuente: El autor
Dependiendo de la respuesta se establecerá el nivel de sensibilidad.
81
CONFIDENCIALIDAD: El nivel de confidencialidad se determina cuando la
respuesta es SI a cualquiera de las siguientes premisas.
Figura 7. Nivel de Confidencialidad
Fuente: El autor
82
INTEGRIDAD: El nivel de integridad se determina cuando la respuesta es SI a
cualquiera de las siguientes premisas.
Figura 8. Nivel de Integridad
Fuente: El autor
83
DISPONIBILIDAD: El nivel de disponibilidad se determina cuando la respuesta es
SI a cualquiera de las siguientes premisas.
Figura 9. Nivel de disponibilidad
Fuente: El autor
84
b.) Identificar y clasificar los activos de información con la tabla de retención
documental del instituto.
Ver Anexo A.
C.) Identificar los contenedores críticos.
Teniendo en cuenta la anterior clasificación de los activos, ahora se debe

seleccionar los contenedores que tiene cada activo de información crítico para el
instituto. Por lo tanto es importante confirmar si el activo de información cumple
con las condiciones que se describen a continuación:
Figura 10. Clasificación criterios de contenedores

CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CRISTICIDAD DEL CONTENEDOR
Confidencial Alta Misión Crítica Alta
Confidencial Alta Menos Crítico Alta
Confidencial Alta NO Critico Alta
Confidencial Media Misión Crítica Alta
Confidencial Media Menos Crítico Media
Confidencial Media NO Critico Media
Confidencial Baja Misión Crítica Alta
Confidencial Baja Menos Crítico Media
Confidencial Baja NO Critico Media
Uso Interno Alta Misión Crítica Alta
Uso Interno Alta Menos Crítico Alta
Uso Interno Alta NO Critico Media
Uso Interno Media Misión Crítica Media
Uso Interno Media Menos Crítico Media
Uso Interno Media NO Critico Media
Uso Interno Baja Misión Crítica Media
Uso Interno Baja NO Critico Media
Uso Interno Baja Menos Crítico Media
Público Alta NO Critico Media
Público Alta Misión Crítica Alta
Público Alta Menos Crítico Media
Público Media NO Critico Media
Público Media Misión Crítica Bajo
Público Media Menos Crítico Bajo
Público Bajo Misión Crítica Media
Público Bajo Menos Crítico Bajo
Público Bajo NO Critico Bajo
Fuente: El autor
85
A Continuación se describen los activos explorados mediante la identificación de
los procesos misionales de la oficina de las tecnologías de la información para el
Instituto Nacional de Museos INM.
Figura 11. Listado de servidores
Fuente: Instituto Nacional de Museos
86
Figura 12. Listado de equipos de comunicaciones
Item Equipo Marca Modelo Sistema Operativo Rol
1 Switch Cisco WS-C3750G-48PS-S 12.2(35)SE5 H o ri z o n ta l P i so 1
2 Switch Avaya H o ri z o n ta l P i so 1
3 Switch Cisco WS-C3750G-48PS-S 12.2(35)SE5 H o ri z o n ta l P i so 2
4 Switch Cisco WS-C2960-24TC-L 12.2(44)SE6 H o ri z o n ta l P i so 2
5 Switch Cisco WS-C3750G-48PS 12.2(35)SE5 H o ri z o n ta l P i so 2
8 Switch Avaya H o ri z o n ta l P i so 3
9 Switch Cisco WS-C3750X-48 12.2(55)SE3 C O R E I n f ra e struc tura I C A
10 Switch HP A5120-48G-PoE+ 5.20.99 H o ri z o n ta l P i so 3
11 Switch Cisco WS-C3750G-12S 12.2(35)SE5                   
12 Switch HP A5120-48G-PoE+ 5.20.99 H o ri z o n ta l P i so 3
13 Switch Cisco WS-C2960S-24PS-L 12.2(53)SE2 H o ri z o n ta l P i so 4
23 Switch HP A5120-48G-PoE+ 5.20 L N D V B l o q ue 4
26 Switch HP A5120-24G EI 5.20 L N D V B l o q ue 7
27 Switch HP A5120-48G-PoE+ 5.20 L N D V B l o q ue A d m i n i stra ti vo
28 Switch HP A5120-24G-PoE+ 5.20 L N D V B l o q ue d e M ue stra s
29 Switch HP A5500-24G-4SFP 5.20.99 L N D V C o re
30 Switch HP A5120-48G-PoE+ 5.20 L N D V L a b o ra to ri o 2A
31 Switch HP A5120-24G-PoE+ 5.20 L N D V L a b o ra to ri o 2B
32 Switch HP L N D V B l o q ue 2
33 Switch Cisco WS-C3560X-48 12.2(55)SE3 A e ro p ue rto D o ra d o
34 Switch Cisco WS-C2960-24TC-L 12.2(50)SE5 G ua j i ra
35 Switch Cisco WS-C2960-24TC-L 12.2(50)SE4 S in c e l e j o
36 Switch Avaya P330 3.0.5 T i b a i ta ta
37 AP HP MSM 460 6.5.2.0-22155 R e d I n a l a m b ri c a P i so 1
87
Figura 12. (Continuación)
53 Controladora HP MSM 720 6.5.2.0-22155 C o n tro l a d o ra A P
54 Planta Telefonica Cisco C3845-IPVOICEK9-M 12.4(20)T5 P l a n ta T e l e f on ic a B o g o ta C M 1
55 Planta Telefonica Cisco C3825-SPSERVICESK9-M 12.4(22)T4 P l a n ta T e l e f on ic a B o g o ta C M 2
56 Voz Analoga Cisco VG224 12.4(13r)T7 Voz A n a l og a 1
57 Voz Analoga Cisco VG224 12.4(22)T3 Voz A n a l og a 2
60 Planta Telefonica Panasonic TDE 100 N/A P l a n ta A e ro p ue rto D o ra d o
61 Planta Telefonica Panasonic TDE 100 N/A P l a n ta B a rra n q ui l l a
62 Planta Telefonica Panasonic NCP500 N/A P l a n ta C a rta g e n a
63 Planta Telefonica Panasonic NCP500 N/A P l a n ta D ui ta m a
64 Planta Telefonica Panasonic TDE 100 N/A P l a n ta B uc a ra m a n g a
65 Planta Telefonica Panasonic TDE 100 N/A P l a n ta C e re te
66 Planta Telefonica Panasonic TDE 100 N/A P l a n ta C uc uta
67 Planta Telefonica Panasonic TDE 100 N/A P l a n ta F l o re n c i a
68 Planta Telefonica Panasonic TDE 100 N/A P l a n ta I b a g ue
69 Planta Telefonica Panasonic TDE 100 N/A P l a n ta B o g o ta I d e n ti f i c a
70 Planta Telefonica Panasonic TDE 100 N/A P l a n ta M a n iz a l e s
71 Planta Telefonica Panasonic TDE 100 N/A P l a n ta M e d e l l in
72 Planta Telefonica Panasonic TDE 100 N/A P l a n ta C o rd o b a
73 Planta Telefonica Panasonic TDE 100 N/A P l a n ta N e i va
74 Planta Telefonica Panasonic NCP500 N/A P l a n ta P a sto
75 Planta Telefonica Panasonic TDE 100 N/A P l a n ta P e re i ra
76 Planta Telefonica Panasonic TDE 100 N/A P l a n ta P ue rto A si s
77 Planta Telefonica Panasonic TDA 100 N/A P l a n ta A rm e n i a
78 Planta Telefonica Panasonic NCP500 N/A P l a n ta R ioha c ha
79 Planta Telefonica Panasonic NCP500 N/A P l a n ta S in c e l e j o
80 Planta Telefonica Panasonic TDE 100 N/A P l a n ta Va l l e d e l C a uc a
81 Planta Telefonica Panasonic TDE 100 N/A P l a n ta V a l l e d up a r
82 Planta Telefonica Panasonic TDE 100 N/A P l a n ta V i l l a vi c e n c i o
83 Planta Telefonica Panasonic TDE 100 N/A P l a n ta Y op a l
84 Planta Telefonica Panasonic NCP1000 N/A P l a n ta B o g o ta C e i sa
85 Telefono Cisco 7940 N/A T e l e f on ia I P
90 Telefono Panasonic NT366 N/A T e l e f on ia I P
88
Figura 12. (Continuación)
91 Telefono Panasonic NT346 N/A T e l e f on ia I P
92 Firewall Checkpoint SG 4800 Gaia R77.20 F i re wa l l
93 Videoconferencia Polycom QDX-6000 Release 4.0.1-3040 A e ro p ue rto D o ra d o
94 Videoconferencia Polycom QDX-6000 Release 4.0.1-3040 A n ti o q ui a
95 Videoconferencia Polycom QDX-6000 Release 4.0.1-3040 B a rra n q ui l l a
96 Videoconferencia Polycom QDX-6000 Release 4.0.1-3040 C a rta g e n a
97 Videoconferencia Polycom QDX-6000 Release 4.0.1-3040 D ui ta m a
98 Videoconferencia Polycom QDX-6000 Release 4.0.1-3040 M a n iz a l e s
99 Videoconferencia Polycom QDX-6000 Release 4.0.1-3040 V a l l e d up a r
100 Videoconferencia Polycom QDX-6000 Release 4.0.1-3040 M o n te ri a
101 Videoconferencia Polycom QDX-6000 Release 4.0.1-3040 R ioha c ha
102 Videoconferencia Polycom QDX-6000 Release 4.0.1-3040 N e i va
103 Videoconferencia Polycom QDX-6000 Release 4.0.1-3040 V i l l a vi c e n c i o
104 Videoconferencia Polycom QDX-6000 Release 4.0.1-3040 P a sto
105 Videoconferencia Polycom QDX-6000 Release 4.0.1-3040 C uc uta
106 Videoconferencia Polycom QDX-6000 Release 4.0.1-3040 P e re i ra
107 Videoconferencia Polycom QDX-6000 Release 4.0.1-3040 B uc a ra m a n g a
108 Videoconferencia Polycom QDX-6000 Release 4.0.1-3040 S in c e l e j o
109 Videoconferencia Polycom QDX-6000 Release 4.0.1-3040 I b a g ue
110 Videoconferencia Polycom QDX-6000 Release 4.0.1-3040 Va l l e d e C a uc a
111 Videoconferencia Aethra X5 y X3 Vega X5 Series
B o3g12.1.10
o ta O f ic in a N a c ion a l e s G e re n c i a
112 Videoconferencia Aethra X5 y X3 Vega B oX5
g oSeries
ta 3O 12.1.10
f ic in a N a c i o n a l e s S ub . A d m i n i stra ti
114 D2DBackup System HP D2D4112 A l m a c e n aN/Am i e n to vi rtua l d e d a to s p a ra D a ta p ro t
115 Packet Shaper HP 7500 N/A G e sto r d e a n c ho d e b a n d a
116 Enrutador Inalambrico Trendnet Trednet TEW-452brp N/A I n a l a m b ri c o I b a g ue
117 Enrutador Inalambrico Trendnet Trednet TEW-452brp N/A I n a l a m b ri c o M e ta
118 Enrutador Inalambrico Trendnet Trednet TEW-452brp N/A I n a l a m b ri c o G ua j i ra
119 Enrutador Inalambrico Trendnet Trednet TEW-452brp N/A I n a l a m b ri c o S in c e l e j o
120 Enrutador Inalambrico Trendnet Trendnet tew-450apb N/A I n a l a m b ri c o L N D V
121 Enrutador Inalambrico Encore ENHWI-2AN3 N/A I n a l a m b ri c o A ra uc a
122 Enrutador Inalambrico Dlink DLINK DI524 N/A I n a l a m b ri c o A rm e n i a
123 Access Point Tp-Link TL-WA901ND N/A I n a l a m b ri c o C uc uta
124 Enrutador Inalambrico LinkSys WRT300N-V1 N/A I n a l a m b ri c o L A N I P
125 Enrutador Inalambrico Trendnet TEW-452BRP N/A I n a l a m b ri c o B a rra n q ui l l a
126 Access Point Tp-Link WR741 N/A I n a l a m b ri c o B ue n a ve n tura
127 Enrutador Inalambrico D-Link DIR-610 N/A I n a l a m b ri c o Va l l e d e l C a uc a
128 Access Point Tp-Link TL-WA801ND N/A I n a l a m b ri c o L N D V
129 Access Point Tp-Link TL-WA901ND N/A I n a l a m b ri c o L N D V
130 Enrutador Inalambrico LinkSys WAP4400N N/A I n a l a m b ri c o L N D V
131 Enrutador Inalambrico LinkSys Cisco WRT320N N/A I n a l a m b ri c o L N D V
132 Access Point Tp-Link TL-WA901ND N/A I n a l a m b ri c o i d e n ti f i c a
133 Access Point Tp-Link TL-WA901ND N/A I n a l a m b ri c o F un d a c i o n
134 Access Point Tp-Link TL-WR740N N/A I n a l a m b ri c o Y op a l
135 Access Point Tp-Link TL-WR841N N/A I n a l a m b ri c o Y op a l
136 Access Point Tp-Link TL-WR740N N/A I n a l a m b ri c o P e re i ra
137 Access Point Cisco WAP321 N/A I n a l a m b ri c o T ol e d o
138 Access Point linksys Cisco wrt120n N/A I n a l a m b ri c o B a rra n q ui l l a P ue rto
139 Access Point Tp-Link TL-WR841N N/A I n a l a m b ri c o P l a n e ta R ic a
140 Access Point Tp-Link TL-WR841N N/A I n a l a m b ri c o C a rta g o
141 Access Point Tp-Link TL-WR741ND N/AI n a l a m b ri c o S a n J o se D e G ua vi a re
142 Access Point Kozumi K-1500NR N/AI n a l a m b ri c o S a n J o se D e G ua vi a re
143 Access Point Kozumi K-1500NR N/A I n a l a m b ri c o P a l m i ra
144 Access Point 3bumen N/A I n a l a m b ri c o M o n te ri a
89
7.4 EVALUACIÓN DE AMENAZAS Y RIEGOS DE SEGURIDAD
La etapa a continuación consiste en aplicar un análisis y evaluación de riesgos

relacionados con base a los contenedores determinado en la etapa anterior,
Etapa 1. Detección de amenazas y vulnerabilidades
Para la evaluación de riesgos de la seguridad de la información es de mucha

importancia la clasificación de activos de información debido a que se aplica la
gestión de riesgos a los activos de información con un nivel de calificación ALTA
mediantes los criterios de Confidencialidad, Integridad y Disponibilidad.
Figura 13. Criterios según la confidencialidad, Integridad y Disponibilidad
Fuente: http://www.mintic.gov.co/gestionti/615/articles-
5482_G7_Gestion_Riesgos.pdf
90
Figura 14. Categorización según la confidencialidad, Integridad y Disponibilidad
Fuente:http://www.mintic.gov.co/gestionti/615/articles-
5482_G7_Gestion_Riesgos.pdf
EVALUACION DE RIESGO
La materia prima para este análisis es la información obtenida en las fases de

identificación anteriormente descrita en este proyecto, Por eso necesario que el
Instituto cree los criterios de riesgos en donde se defina los niveles de riesgos
aceptado por la gerencia general. La evaluación de riesgo se realiza de manera
cualitativa con la realización de una comparación con la cual se realiza el análisis
de probabilidad de ocurrencia de riesgos contra el impacto materializado.
Figura 15. Matriz de Calificación, Evaluación y respuesta a Riesgos
Fuente: Guía de Riesgos DAFP
91
Tabla 25. Inventario de activos a evaluar
INSTRUMENTO DE IDENTIFICACIÓN DE LA LINEA BASE DE SEGURIDAD
ADMINISTRATIVA Y TÉCNICA
ENTIDAD EVALUADA HOJA LEVANTAMIENTO DE INFORMACIÓN
VIGILANCIA ANTROPOLOGICA ( VIGASIS)
GESTION DE SERVICIOS ANALITICOS
GESTION DE INFORMACIÓN Y TECNOLOGÍA.
ID Dispo Proceso Misional Descripción IP Int Ext Ubicación Critico?
-
sifrito-Gesti DataCenter/
1 Switch core analiti- Sidlad- Core red INM 192.168.XX.1 X Oficinas S
Gestion de inf y
Vigilancia
Gestion analitica- DataCenter/
2 Router Internet Router de xxxx 191.102.118.XXX X Oficinas S
Gestion de inf y nacionales
.
Vigilancia
Gestion analitica- Firewall de la DataCenter/
3 Firewall 191.102.XXX.222 X Oficinas S
Gestion de y INM
.
Vigilancia- DataCenter/
4 Servidor Virtual Teg-web-04 191.102.XXX.222 X Oficinas S
Gestion -
Vigilancia- DataCenter/
5 Servidor Físico Node1 192.168.X.2 X Oficinas S
Gestion -
Vigilancia - DataCenter/
6 Servidor Físico Node2 192.168.X.3 X Oficinas S
Gestion -
DataCenter/
7 Servidor Virtual Vigilancia Qog-web-01 192.168.X.4 X Oficinas S
Vigilancia - Alamacenamiento DataCenter/

8 Storage 192.168.3.X X Oficinas S
Gestion - P20899
DataCenter/
9 Servidor Virtual Gestion - yog-web+U10-1X 191.16X.X.3 X Oficinas S
DataCenter/
10 Servidor Virtual Gestion analit- Pore red INM 191.16X.3.X X Oficinas S
Gestion de inf y DataCenter/

11 Servidor Virtual Yog-BD-2 191.167.3.X X Oficinas S
tecnología
12 Servidor Virtual Yog-BC-03 191.167.3.X X Oficinas S
Gestion de y DataCenter/
13 Servidor Virtual Yog-epo-1 191.167.3.X X Oficinas S
19X.101.1X.233( DataCenter/
Gestion de y
14 Servidor Virtual Yog-HBY-07 PUB)/ X X Oficinas S
192.168.X.65
Gestion de inf y 19X.1XX.1XX.233( DataCenter/
15 Servidor Virtual Yog-SIS-0x X Oficinas S
tecnología PUB)
Gestion de inf y 19X.12X.11X.226(X DataCenter/
16 Servidor Virtual Yog-web-01 X Oficinas S
tecnología PUB)
17 Switch Switch core 192.168.X.1 X Oficinas S

18 Switch Switch Servidores 192.168.XX.X X Oficinas S
92
ANÁLISIS DE RIESGO
Tabla 26. Análisis de riego al proceso de auditoría de control interno

ANÁLISIS DEL RIESGO
PROCESO: AUDITORÍA DE CONTROL INTERNO (CTRL)
OBJETIVO: Mantener y Apoyar los procesos tecnológicos en los aplicativos misional del Instituto
CALIFICACIÓN Evaluación Medida
s de
Respue
RIESGOS Probabilidad Impacto Tipo Impacto Zona de Riesgos sta
Inyección de Reducir
CONFIDENCIALIDAD DE
código malicioso 3 4 Extrema el
LA INFORMACIÓN
en formularios Riesgo
Escalamientos Reducir
CONFIDENCIALIDAD DE
de privilegios sin 3 4 Extrema el
LA INFORMACIÓN
autorización Riesgo
Reducir
CONFIDENCIALIDAD DE
SQL inyección 3 4 Extrema el
LA INFORMACIÓN
Riesgo
Reducir
CONFIDENCIALIDAD DE
Defacement 3 4 Extrema el
LA INFORMACIÓN
Riesgo
Fuente: El autor
93
Tabla 27. Análisis de riego al proceso Vigilancia paleontológica
PROCESO: VIGILANCIA PALEONTOLÓGICA (VIGISISPAL)
OBJETIVO: Mantener y Apoyar los procesos tecnológicos en los aplicativos misional del
Instituto
CALIFICACIÓN Evaluación Medidas
de
Impact Respuest
RIESGOS Probabilidad o Tipo Impacto Zona de Riesgos a
Inyección de
código CONFIDENCIALIDAD DE Reducir el
3 4 Extrema
malicioso en LA INFORMACIÓN Riesgo
formularios
Escalamientos
CONFIDENCIALIDAD DE Reducir el
de privilegios 3 4 Extrema
LA INFORMACIÓN Riesgo
sin autorización
SQL inyección 3 4 Extrema
Defacement 3 4 Extrema
Fuente: El autor
94
Tabla 28. Análisis de riego al proceso contrataciones de proveedores
PROCESO: CONTRATACIONES DE PROVEEDORES (CONSIS)
Instituto
Zona de de
RIESGOS Probabilidad Impacto Tipo Impacto Riesgos Respuesta
Inyección de
código malicioso 3 4 Extrema
en formularios
Escalamientos
de privilegios sin 3 4 Extrema
autorización
Fuente: El autor
95
Tabla 28. Análisis de riego al proceso de gestión administrativa
PROCESO: GESTIÓN ADMINISTRATIVA (GASIS)
Instituto
Impact Zona de de
RIESGOS Probabilidad o Tipo Impacto Riesgos Respuesta
Inyección de
código malicioso 3 4 Extrema
en formularios
Escalamientos
de privilegios sin 3 4 Extrema
autorización
Fuente: El autor
96
VALORACIÓN DE RIESGOS.
Una vez identificados y analizados los riesgos en los activos de información

pertenecientes a los procesos misionales del instituto Nacional de Museos
mencionados en el alcance del proyecto, se procede con la valoración de los
controles que se necesitan aplicar para el tratamiento de los riesgos analizados
anteriormente.
Tabla 29. Valoración del riesgo del proceso auditoría de control interno
VALORACIÓN DEL RIESGO
PROCESO: AUDITORÍA DE CONTROL INTERNO (CTRL)
OBJETIVO: Mantener y Apoyar los procesos tecnológicos en los aplicativos
misional del Instituto
CALIFICACIÓN PUNTAJ
Tipo de
E
controles PUNTA
herramie
RIESGOS Proba CONTROLES probabilid JE
Impacto nta para
bilidad ad o Final
ejercer
impacto
control
Inyección de
CONFIDENCIAL
código PROBABI
3 4 IDAD DE LA 35 45
malicioso en LIDAD
INFORMACIÓN
formularios
Escalamient
os de CONFIDENCIAL
PROBABI
privilegios 3 4 IDAD DE LA 35 45
LIDAD
sin INFORMACIÓN
autorización
CONFIDENCIAL
SQL PROBABI
inyección LIDAD
INFORMACIÓN
CONFIDENCIAL
PROBABI
Defacement 2 4 IDAD DE LA 35 45
LIDAD
INFORMACIÓN
Fuente: El autor
97
Tabla 30. Valoración del riesgo del proceso de vigilancia paleontológica
PROCESO: VIGILANCIA PALEONTOLÓGICA (VIGISISPAL)
PUNTAJ
CALIFICACIÓN E
Tipo de
herrami PUNT
controles
RIESGOS CONTROLES enta AJE
probabilida
Probabili Impa para Final
d o impacto
dad cto ejercer
control
Inyección
de código
CONFIDENCIA
malicioso PROBABILI
3 4 LIDAD DE LA 35 45
en DAD
INFORMACIÓN
formulario
s
Escalamie
ntos de
CONFIDENCIA
privilegios PROBABILI
sin DAD
INFORMACIÓN
autorizaci
ón
CONFIDENCIA
SQL PROBABILI
inyección DAD
INFORMACIÓN
CONFIDENCIA
Defaceme PROBABILI
nt DAD
INFORMACIÓN
Fuente: El autor
98
Tabla 31. Valoración del riesgo del proceso contrataciones de proveedores
PROCESO: CONTRATACIONES DE PROVEEDORES (CONSIS)
Tipo de PUNTAJE
CALIFICACIÓN controles herramient PUNTA
RIESGOS CONTROLES probabilid a para JE
Probab Impact ad o ejercer Final
ilidad o impacto control
Inyección de
CONFIDENCIA
código PROBABI
malicioso en LIDAD
INFORMACIÓN
formularios
Escalamient
os de CONFIDENCIA
PROBABI
privilegios 3 4 LIDAD DE LA 35 45
LIDAD
sin INFORMACIÓN
autorización
CONFIDENCIA
SQL PROBABI
inyección LIDAD
INFORMACIÓN
CONFIDENCIA
PROBABI
Defacement 3 4 LIDAD DE LA 35 45
LIDAD
INFORMACIÓN
Fuente: El autor
99
Tabla 33. Valoración del riesgo del proceso de gestión administrativa
PROCESO: GESTIÓN ADMINISTRATIVA (GASIS)
PUNTAJ
Tipo de
CALIFICACIÓN E
controles PUNT
herramie
RIESGOS CONTROLES probabilida AJE
Prob nta para
do Final
abilid Impacto ejercer
impacto
ad control
Inyección de
CONFIDENCIAL
código PROBABI
malicioso en LIDAD
INFORMACIÓN
formularios
Escalamiento
CONFIDENCIAL
s de PROBABI
privilegios sin LIDAD
INFORMACIÓN
autorización
CONFIDENCIAL
PROBABI
SQL inyección 3 4 IDAD DE LA 35 45
LIDAD
INFORMACIÓN
CONFIDENCIAL
PROBABI
Defacement 3 4 IDAD DE LA 35 45
LIDAD
INFORMACIÓN
Fuente: El autor
Las valoraciones de riesgos anteriores permiten garantizar la privacidad de los

datos, mediante la aplicación del proceso de gestión del riesgo, brindando
confianza a las partes interesadas acerca de la adecuada gestión de riesgo.
100
8. DISEÑO DE LAS PRUEBAS TÉCNICAS DE EFECTIVIDAD
Estas pruebas consisten en un conjunto de actividades, las cuales permiten

conocer la seguridad al interior del instituto, permitiendo identificar las
vulnerabilidades, amenazas a las que está expuesto el instituto y las debilidades
en los controles de cada dominio de la ISO.
Las pruebas facilitan la identificación de la brecha de seguridad de la información

entre el instituto y el modelo de seguridad de la información MSPI que propone el
Ministerio de la información y las comunicaciones MINTIC a través de Gobierno en
línea GEL.
Para esta etapa se tiene en cuenta la información recolectada y organizada en las

anteriores etapas por el equipo de seguridad de la información. Dicha información
permite reconocer el entorno donde se proyectan los objetivos misionales del
instituto con las siguientes actividades:
 Revisión de manuales
 Identificación de amenazas
8.1 PRUEBAS Y ANÁLISIS
Para esta etapa se organizan equipos de trabajo con referencia a la ISO

27001:2013, el ciclo de vida de la seguridad.
 Planear
 Hacer
 Verificar
 Actuar
(PHVA), nivel de madurez de la entidad de acuerdo a los niveles de exposición

frente al Modelo De Seguridad Y Privacidad De La Información para que junto con
las recomendaciones el Instituto alcance los objetivos de la Ciberseguridad.
101
Básicamente las pruebas de vulnerabilidad son técnicas aplicadas a las
aplicaciones, procesos y usuarios con el fin de comprobar la seguridad de la
información en el Instituto.
Existen diferentes técnicas que sirven como marco de referencia para el nivel de
seguridad que se evalúa.
8.1.1Tipo de pruebas de efectividad. Para este caso aplica la prueba con

conocimiento medio del entorno, ya que se posee información limitada o media
como algunas direcciones IPs, sistemas operativos, topología de la red,
infraestructura del ambiente que será evaluado con el objetivo de realizar un
pentesting, simulando un usuario con información básica dentro de la red del
Instituto.
8.1.2 Alcance de las pruebas. En esta etapa se definen reglas específicas antes
de ejecutar las pruebas técnicas de efectividad, garantizando que las actividades
no afecten la infraestructura y las operaciones del instituto. Para esto se tienen en
cuenta los siguientes aspectos:
Plan de Trabajo: en este punto se contempla el tiempo estimado de 60 minutos

para realizar las pruebas técnicas a las 4 aplicaciones misionales con más alta
probabilidad de ocurrencia contra el impacto materializado con la cual se realiza el
análisis de riesgo y el nivel de calificación ALTA mediantes los criterios de
Confidencialidad, Integridad y Disponibilidad CID.
Insumos: para las pruebas se requiere listado de los activos de información a

evaluar, análisis y valoración de los riesgos, una terminal con acceso a la red
interna y externa.
Responsables: el encargado de realizar las pruebas es el ingeniero especialista en

seguridad informática de la empresa contratada por licitación pública para el
instituto.
Afectaciones posibles: no se afectará la funcionalidad de la operación, ya que las

pruebas se realizarán en horario de baja actividad laboral.
102
Multas o sanciones: no se aplican sanciones disciplinarias o económicas por los
incumplimientos de los parámetros mencionados.
Los alcances descritos anteriormente garantizan los acuerdos de servicios con

terceros para el control interno en el desarrollo de las pruebas.
103
9. RESULTADOS E IMPACTOS
9.1 RESULTADOS INGENIERÍA SOCIAL INTERNA
Tabla 34. Resultado de ingeniería social interna

INGENERIA SOCIAL
ITEM Nivel de inseguridad
Critica Alta Media Baja
Control de Acceso Oficinas X
Protección de Documentos X
Protección de Carnets X
Resguardos de Medios X
Protección de Escritorio X
Fuente: El autor
A continuación se presentan los resultados generales más relevantes de las

pruebas técnicas:
 Las vulnerabilidades críticas están focalizadas a la exposición de servicios

desactualizados, versiones de componentes obsoletos, falta de parches en
el servicio asociados a sistemas operativos WINDOWS.
 En general todos los puertos identificados en los activos tecnológicos se

encuentran bien configurados y no arrojan información adicional, el cual
pueda colocar en peligro el activo evaluado.
 Falta de actualizaciones en servicio web de tipo APACHE y codificación

PHP en aplicaciones WEB internas.
 No es posible administrar activos a través del servicio SSH (puerto22), el

cual no permite acceso con credenciales por defecto.
 Se identifican métodos TRACER TRACK en servidores WEB internos.
104
 Falla en verificación del código JavaScript por parte del Browser, ataques
XSS y omisión de herramientas de verificación de Integridad de tablas ARP,
Servicio DNS.
 Desde la dirección IP 192.168.1.XX/24 Se publicó un WEB SERVER con

funciones JavaScripts maliciosas, se re direccionó el tráfico de consulta de
resolución de nombres FQDN para cualquier nombre de dominio, a esta
misma maquina después de correr un ataque de DNS Spoofing. El
resultado de esta acción obliga a los browsers a visitar el WEB SERVER
Malicioso haciendo ZOMBIES a las computadoras de los usuarios.
 Desde la dirección IP 192.168.1.XX/24 después de validar la falta de

controles de autenticación de los registros de las tablas ARP de los nodos
de la red LAN a través del envío de mensajes ARP gratuitos, Se procede a
ejecutar un ataque de Hombre en medio basado en envenenamiento de
tablas ARP.
 Autenticación nula de host vecinos y omisiones en la verificación de

integridad de las tablas ARP.
 Fallas a nivel de aplicaciones WEB de tipo XSS, SQL injections y

vulnerabilidades críticas a nivel WEB.
 El protocolo SSL, tal como se utiliza en ciertas configuraciones Microsoft

Windows y Microsoft Internet Explorer, Mozilla Firefox , Google Chorme,
Opera y otros navegadores webs, cifra los datos mediante el modo SBC
con vectores de inicialización encadenados, lo cual permite a atacantes
man-in-the-middle para obtener las cabeceras HTTP en texto plano por
bloques del objetivo elegido para el atacante (BCBA) en una sesión HTTPS,
junto con el código JavaScript que utiliza (1) la API de HTML5 WebSocket,
(2) la API de Java URLConnection, o (3) el WebClient Silverlight API,
también conocido como un ataque “BESTIA”.
Recomendación: La remediación y soluciones varían según la aplicación y

los protocolos TSL versión 1.1 o posteriores no son vulnerables.
105
9.2 RESULTADOS ANÁLISIS DE VULNERABILIDADES CON ACUNETIX
A continuación se presenta el consolidado de las vulnerabilidades altas, medias,

bajas e informativas que se identificaron en los activos de información
tecnológicos evaluados a través de la herramienta de escaneo Acunetix empleada
para este fin en el Instituto Nacional de Museos.
Es de resaltar que los resultados presentados a continuación corresponden a la

muestra que se tomó y analizó de los equipos relacionados en el Inventario de
activos a evaluar, estos porcentajes no hacen referencia al estado actual de todos
los activos de información del instituto.
La actividad programada para el escaneo se lleva a cabo sobre los segmentos los
detallados a continuación.
192.168.0.XX/24
192.168.1.XX/24
192.168.X.XX/24
192.168.X.XX/24
192.168.4.XX/24
192.168.5.XX/24
192.168.6.XX/24
192.168.7.XX/24
En el escaneo general de vulnerabilidades realizado en el instituto se encontraron

un total de 411 IP’s como resultado de esta labor se evidencia que se presentaron
884 vulnerabilidades categorizadas en baja, medias, altas e informativas de esta
cantidad total se identifican 75 vulnerabilidades de nivel de riesgo alto con un
porcentaje del 13%. 350 vulnerabilidades de nivel de riesgo medio, representado
el 62%. 139 vulnerabilidades con un nivel bajo de riesgo con el porcentaje de 25%
del total de las vulnerabilidades encontradas en el instituto.
Cabe resaltar que se encontraron 320 vulnerabilidades informativas.
106
En la siguiente tabla de vulnerabilidades detectadas observamos el resultado de
uno de los análisis en forma general.
Tabla 35. Vulnerabilidades detectadas

ALTAS 75
MEDIAS 350
BAJAS 139
INFORMATIVAS 320
Fuente: El autor
Seguidamente se aprecia la gráfica con los porcentajes correspondientes a las

vulnerabilidades encontradas con cada uno de los riesgos que representan para el
instituto, donde se excluye las vulnerabilidades informativas para darle prioridad a
los tres principales riesgos con mayor relevancia.
Grafica 1. Vulnerabilidades detectadas en INM.
Fuente: El autor
107
Teniendo en cuenta lo anterior seguidamente se relacionan las direcciones IP
pertenecientes a las terminales que presentan la mayor cantidad de
vulnerabilidades de categorización alta y media.
Tabla 36. Terminales con más vulnerabilidades

IP VULNERABILIDADES
192.168.0.XX 25
192.168.X.XX 10
192.168.X.X0 9
192.168.X.X5 9
192.168.X.9X 8
192.168.2.1X 7
192.168.3.X 7
192.168.X.XX 6
192.168.X.X 6
192.168.X.17 5
192.168.X.X 5
192.168.X.6 5
Fuente: El autor
En los dispositivos de red como los switches se identificó un total de 443

vulnerabilidades de las cuales 59 se categorizaron como vulnerabilidades de nivel
de riego alto y medio, lo que corresponde a un 14% del total de hallazgo en esta
categoría.
Figura 18. Vulnerabilidades de nivel riesgo alto en las comunicaciones
Fuente: El autor
108
En la siguiente figura se observa el resultado de uno de los análisis
Figura 19. Resumen de vulnerabilidades en el aplicativo VIGIPAL
Fuente: El autor
109
Figura 20. Vulnerabilidad alta en el aplicativo VIGIPAL
Fuente: El autor
110
Figura 21. Detalles de vulnerabilidad host header attack
Fuente: El autor
9.3 IMPACTOS
Con el anterior proyecto se pretende dejar totalmente documentado todo el nivel

de seguridad y privacidad de la información encontrada al interior del Instituto,
como la primera fase de diagnóstico de seguridad para una futura implementación
y segunda fase para la implementación del Modelo de Seguridad y Privacidad de
La Información.
111
10. CRONOGRAMA
Por medio de la siguiente tabla se puede mostrar el tiempo que tomó el desarrollo
de cada etapa de este proyecto investigativo y simulado.
Tabla 37. Cronograma

AGOSTO SEPT OCTUB NOV
ACTIVIDADES (Semana (Semanas (Semanas (Semanas
(AÑO - 2016) s) ) ) )
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
Realizar el levantamiento de la
documentación para el
diagnóstico de la gestión
seguridad y privacidad de la
información del Instituto
Nacional de Museos (INM)
conforme a la norma ISO
27001:2013
Identificar el estado actual,
con referencia a la seguridad y
privacidad de la información al
interior del Instituto basado en
la norma ISO 27001:2013.
Identificar los activos de
información, amenazas y
riegos al interior del Instituto
Nacional de Museos (INM).
Diseñar las pruebas
administrativas y técnicas que
permitan conocer la seguridad
al interior del Instituto.
Realizar las pruebas de
vulnerabilidades y
recomendaciones para mitigar
las posibles vulnerabilidades
encontradas al interior del
Instituto Nacional de Museos.
Fuente: El autor
112
11. CONCLUSIONES
Para el análisis de los resultados presentados en actual escaneo frente al

desarrollo de las pruebas de vulnerabilidades anterior donde no se tuvieron en
cuenta los dispositivos categorizados como impresoras y teléfonos, los resultados
arrojados de las dos actividades donde se tuvo en cuenta el mismo alcance se
relacionan en la siguiente tabla:
Tabla 38. Resultados comparativos con anterior escaneo

Escaneo Cantidad Nivel de Riesgo de las vulnerabilidades
de presentadas
direcciones Alto Medio Bajo Informativo Total
IP
Anterior 409 71 345 118 328 862
Actual 411 75 350 139 320 884
Diferenci 2 4 5 21 -8 22
a
Fuente: El autor
Como se evidencia en la anterior tabla de resultados comparativos existe un índice

de crecimiento de vulnerabilidades en 3 meses aproximadamente.
Entre otras conclusiones se mencionan las siguientes:
 La información es uno de los activos más importantes.

 Se debe preservar la confidencialidad, la integridad y disponibilidad de la
información.
 La gerencia debe hacer de la seguridad de la información parte del Instituto.
 La seguridad no es un producto es un proceso.
 Los ataques cibernéticos van en aumento y son cada vez más sofisticado.
 Se beben utilizar antivirus y buenas contraseñas.
 Se bebe crear una cultura en seguridad de la información.
 La seguridad es tan fuerte como el punto más débil.
113
12. RECOMENDACIONES GENERALES DE MEJORA Y REMEDIACIÓN
A continuación, se enumeran las principales recomendaciones generales para el

INM, como resultado de la ejecución de pruebas técnicas de vulnerabilidades,
Pent Testing y pruebas de ingeniería social.
12.1 RECOMENDACIONES A NIVEL DE INFRAESTRUCTURA
 Restringir el acceso a las herramientas, consolas de gestión y administración

de equipos de comunicaciones, Swhitches, equipos de seguridad, firewall,
servidores DELL a usuarios no autorizados en la red interna del INM.
 Actualización de parches en servidores, servicios de gestión de servidores,

DATAPROTECTOR, servidores SAMBA, sistema UNIX.
 Deshabilitar el servicio de terminal servicies si no es utilizado. Si esto no es

posible se debe restringir el acceso a estaciones validas, y en ningún caso
permitir su acceso desde Internet. Este protocolo es susceptibles a ataques de
tipo MAN-in-the-Middle, que permite el robo de credenciales de autenticación a
los usuarios válidos.
 Deshabilitar servicio por defecto en servidores y estaciones de usuarios finales.
 Realizar la verificación y eliminación de parámetros por default en la

implementación de Bases de datos, dispositivos de comunicaciones y
aplicaciones.
 Restringir el acceso remoto por consola, únicamente a direcciones IP

autorizadas y plenamente identificadas, teniendo en cuenta la política de
perfiles y nivel de acceso para cada usuario.
 Mantener una línea base de seguridad en las plataformas tecnológicas del

INM, el cual permita desarrollar e implementar guías de aseguramiento,
114
benchmarking de seguridad y mejores prácticas de la industria en tecnologías
aplicadas en el IMN.
12.2 RECOMENDACIONES A NIVEL DE SOFTWARE
 Desarrollar e implementar un plan de actualización de todos los sistemas y

servicios que se encuentran implementado dentro del INM.
 Desarrollar e implementar un plan para el cambio periódico de contraseñas y

que a su vez se implemente contraseñas robustas.
 Desarrollar pruebas periódicas al código de las aplicaciones, mediante

prácticas de desarrollo seguro y/o código seguro en las aplicaciones internas
para el instituto.
 Habilitar reglas de acceso para que los usuarios del sistema solo puedan
descargar las aplicaciones autorizada con sus respectivas licencias legales
desde las páginas o sitios oficiales.
 No permitir que los funcionarios, usuarios internos o externos anoten las

contraseñas en ningún documento, ni que sean compartidas con otros
usuarios.
 No permitir que los usuarios o funcionarios abran nunca mensajes electrónicos

de origen desconocido, sospechosos, ni sus archivos adjuntos.
 No permitir que los usuarios de la red puedan acceder a sitios o páginas web
de dudosa credibilidad o sin certificado de seguridad y confianza.
12.3 RECOMENDACIONES A NIVEL DE APLICACIONES
Filtrar SERVICIOS WEB por defecto, los cuales puedan estar expuesto al internet
115
Revisar y actualizar la configuración de los certificados SSL internos, detectados
en aplicaciones de administración y seguridad, debido a que la configuración
actual, permite la detección de múltiples vulnerabilidades que afectan al protocolo
y cifrado de las aplicaciones.
Realizar pruebas controladas para validar si se puede deshabilitar el servicio /

protocolo SSL y habilitar TLS; esto debido a que hoy en día se han detectado
diversas vulnerabilidades sobre el protocolo SSL.
Hacer uso de protocolo cifrados o actualizar los ya existes como SSL o SSH en la
comunicación con el servidor o dispositivos, con el fin de evitar la intercepción de
información sencilla cuando esta sea trasmitida en texto plano, por ejemplo en
donde se requiere ingresar credenciales de usuario.
12.4 RECOMENDACIONES A NIVEL DE INGENIERÍA SOCIAL
Implementar una política de contraseñas seguras a nivel del INM para la gestión y
la administración de los equipos tecnológicos
Desarrollar campañas de concientización sobre seguridad informática y de la

información a todo el personal que se encuentra laborando en el instituto
Se recomienda realizar monitoreo y auditorias periódicas a los sistemas de

vigilancia como cámaras o sistemas de CCTV que posee el Instituto.
Se debe concientizar a los usuarios legítimos de las diferentes dependencias del

comportamiento que deben permitir en sus áreas de trabajo y los comportamientos
que deben ser notificados de inmediato al jefe del grupo de seguridad y generar
la conciencia para que estos sean los principales custodios de la información
contenida en los equipos y archivos dentro de las áreas restringidas.
Establecer políticas de cierre de sesión por inactividad y bloqueo del protector de

pantalla para todos los computadores del instituto tanto como para estaciones de
trabajo y servidores.
116
Seleccionar muy bien el papel al ser reciclado que este no contenga información
que pueda utilizar cualquier atacante, de lo contrario realizar la respectiva
destrucción.
A nivel externo se recomienda a los funcionarios no revelar información

confidencial o sensible del Instituto a través de correos anónimos, llamadas, o
aplicaciones sospechosas o cualquier actividad inusual.
117
13. DIVULGACIÓN
Para el cumplimiento de la actividad de divulgación donde se presentarán los

resultados obtenidos en el proyecto, se determinó programar una capacitación en
la sala de juntas de la gerencia en dos jornadas a todos los funcionarios y
directivos del Instituto.
En la capacitación se socializarán los conceptos y diferencias entre seguridad

informática, seguridad de la información, seguridad de la infraestructura física y
seguridad de los recursos humanos; resaltando la importancia de recordar que la
información está en muchos medios o partes, para poder identificar y aplicar bien
cada uno de los términos cuando sea necesario. También se aclarará la definición
de ethical hacking con la presentación del ingeniero especialista a cargo de las
pruebas técnicas y pruebas de ingeniería social.
Las entidades del gobierno están obligadas a desarrollar programas de

ciberseguridad y ciberdefensa que permitan garantizar la capacidad del estado
para gobernar y seguir prestando de manera continua sus servicios en línea a la
ciudadanía. Los conceptos de ciberseguridad y ciberdefensa están estrechamente
relacionados con la seguridad de la información, seguridad informática y la
continuidad del negocio. La ciberseguridad no es otra cosa que la evolución
natural del uso de las tecnologías de la información con la respuesta que debe
tener las entidades gubernamentales frente a los riegos derivados de su uso y
apropiación.
En el desarrollo de esta capacitación es importante y fundamental que cada uno

de los participantes del Instituto reconozca los siguientes principios:
 La gerencia debe tener prioridad con los temas de ciberseguridad como un

riesgo que afecta a toda el Instituto.
 Los asesores jurídicos deben comprender las afectaciones legales de cada

uno de los riesgos cibernéticos y la relación actual con el Instituto.
 El grupo de gestión debe tener conocimiento sobre los aspectos

relacionados con la ciberseguridad con el debido espacio y nivel de
importancia en la agenda para tratar los temas de manera adecuada.
118
 La alta gerencia debe disponer de todos los recursos económicos,
humanos, tecnológicos, y de tiempo.
 La alta gerencia junto con cada uno de los jefes o coordinadores de los
procesos deben establecer el nivel de riesgo cibernético aceptable, con sus
criterios para darle tratamiento (evitar, aceptar, mitigar, transferir).
Teniendo en cuenta los resultados de las pruebas aplicadas al instituto se le

recomienda que se apropie de un Framework reconocido y de aceptación
internacional que permita desarrollar un programa solido eficaz, eficiente y medible
para impulsar la evolución de la ciberseguridad en el Instituto contando con la
capacidad de identificar, soportar y supervivir a un ciberataque garantizando el
plan de continuidad sin afectar a los ciudadanos.
Debido a esto se hace necesario dar continuidad al programa de concientización

de los usuarios tanto internos como externos para apoyar la modificación de
aptitudes y percepciones, tanto organizacional como personal. De esta forma se
enfatiza en la importancia de la seguridad, se demuestran los grandes problemas
que acarrea el desconocimiento o la desobediencia de las normas de seguridad y
los riesgos a los que se encuentra expuesto el Instituto y la necesidad de
entrenamiento en el reconocimiento y reporte de incidentes de seguridad de la
información.
Por otra para obtener mayor apoyo y compromiso de la alta gerencia es

importante ampliar el entendimiento antes los riesgos a los que se encuentra
expuesto el Instituto y que pueden impedir el buen desarrollo de su misión y
afectar su imagen pública como entidad gubernamental.
Finalizada la capacitación se realizará:
 Firma de planilla de asistencia.
 Retroalimentación en forma de test a cada uno de los participantes para

evaluar los conocimientos adquiridos.
 Entrega de un incentivo por la asistencia y participación.
119
BIBLIOGRAFÍA
ISO 27001.ES Sistema de Gestión de la Seguridad de la información, 2012.

Disponible en http://www.iso27000.es. [En línea]
MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS

COMUNICACIONES Estrategia De Gobierno en Guía 5 Para la Gestión y
Clasificación de Activos de Información 2016. Disponible en
http://mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_clasificacion.pdf. [En
línea]

COMUNICACIONES Estrategia De Gobierno En Línea Articulo 8253 Modelo de
Seguridad, 2016. Disponible en http://mintic.gov.co/gestionti/615/articles-
5482_Modelo_de_Seguridad_Privacidad.pdf. [En línea]

COMUNICACIONES Estrategia De Gobierno en Línea Guía 7 de Gestión de
Riesgos 2016. Disponible en http://mintic.gov.co/gestionti/615/articles-
5482_G7_Gestion_Riesgos.pdf. [En línea]
VILLALON, Antonio. Seguridad Unix y Redes version 2.1 España. Julio 2002
Disponible en : http://gseguridad.unicauca.edu.co/articulos/unixsec.pdf.
120
ANEXO A. REGISTROS DE ACTIVOS DE INFORMACIÓN DEL INM
REGISTROS DE ACTIVOS DE INFORMACIÓN -INSTITUTO NACIONAL DE MUSEOS Versión 1.0
DISPONIBLE PARA
POR EL PÚBLICO
SER SOLICITADO
PUBLICADO
MEDIO DE
REGISTRO
IDIOMA
NOMBRE O TÍTULO DE LA DESCRIPCIÓN DEL CONTENIDO LA CATEGORÍA DE INFORMACIÓN PÚBLICA O
CATEGORÍA DE INFORMACIÓN CONSERVACIÓN FORMATO
CATEGORÍA DE INFORMACIÓN INFORMACIÓN DISPONIBLE
Y/O SOPORTE
http://ww
Ciculares Reglamentaris, informativas e instructivas http://www.Gerenteia.gov.co/web/g
CIRCULARES SI w.Gerentei Circulares Español Físico/Digital Papel y PDF
ordenadas por orden consecutivo uest/circulares
a.gov.co/
Archivo de Gestión del Despacho del
CONVENIOS CON ENTIDADES PRIVADAS Y Convenios con entidades Gerente General, es de consulta solo
NO SI Acuerdos de la CGR con otras entidades Español Físico Papel
OFICIALES privadas y oficiales para las partes que firman el
convenio
Gestión consecutiva del Comunicaciones oficiales Internas o externas Archivo de Gestión del Despacho del
GESTIÓN CONSECUTIVA DEL DESPACHO NO SI Español Físico Papel
despacho enviadas, ordenadas en forma consecutiva Gerente General
INVITACIONES Y EVENTOS PARA Gerente Invitaciones y eventos para Comunicaciones oficiales informado sobre eventos Archivo de Gestión del Despacho del
NO SI Español Físico Papel
GENERAL Gerente General donde se solicita la participación del Gerente Gerente General
SOLICITUDES RELACIONADAS CON Solicitudes relacionadas con Archivo de Gestión del Despacho del
NO N/A Comunicaciones relacionadas con procesos Español Físico Papel
PROCESOS TRIBUNALES procesos tribunales Gerente General
Comunicaciones oficiales recibidas, ordenadas en Archivo de Gestión de Secretaría
COMUNICACIONES INFORMATIVAS NO SI Comunicaciones informativas Español Físico - Papel Papel
forma consecutiva Privada
GESTIÓN CONSECUTIVA SECRETARIA Gestión consecutiva de Comunicaciones oficiales Internas o externas Archivo de Gestión de Secretaría
NO SI Español Físico - Papel Papel
PRIVADA Secretaría Privada enviadas, ordenadas en forma consecutiva Privada
Archivo de Gestión de la Unidad de
Actas de seguimiento a actuaciones procesales - Documento
ACTAS DE COMITÉ INTERNO NO SI Actas de comité interno Español Físico Investigaciones Especiales Contra la
Acciones de PMI y PA texto
Corrupción
ACTUACIONES ESPECIALES DE CONTROL Actuaciones especiales de El desarrollo de las actuaciones especiales Documento
NO SI Español Físico Investigaciones Especiales Contra la
FISCAL control fiscal declaradas de impacto nacional 2012-2013 texto
Corrupción
Documento
INFORMES SOBRE GESTIÓN FISCAL NO SI Informes sobre gestión fiscal Informes resultado de las actuaciones especiales Español Físico Investigaciones Especiales Contra la
texto
Corrupción
CONSULTAS DE INFORMACIÓN DE OTRAS Consultas de información de Archivo de Gestión de la Unidad de
Consultas de información de actuaciones especiales Documento
AUTORIDADES DE CONTROL, INSPECCIÓN Y NO SI otras autoridades de control, Español Físico Investigaciones Especiales Contra la
de autoridades diferentes texto
VIGILANCIA inspección y vigilancia Corrupción
ACTUACIONES ESPECIALES DE Actuaciones especiales de El desarrollo de las actuaciones especiales Documento
FISCALIZACIÓN fiscalización declaradas de impacto nacional texto
Corrupción
Autos mediante los cuales se declaran hechos o
Procesos de Responsabilidad Fiscal de impacto Documento
AUTOS DE IMPACTO NACIONAL NO SI Autos de impacto nacional Español Físico Investigaciones Especiales Contra la
nacional para ser tramitados por la Unidad de texto
Corrupción
Investigaciones Especiales Contra la Corrupción
Consultas de información sobre antecedentes Archivo de Gestión de la Unidad de
Documento
CONSULTAS SOBRE ANTECEDENTES NO SI Consultas sobre antecedentes tramitados en la Unidad de Investigaciones Español Físico Investigaciones Especiales Contra la
texto
Especiales Contra la Corrupción Corrupción
Consultas de información sobre Indagaciones Archivo de Gestión de la Unidad de
CONSULTAS SOBRE INDAGACIONES Consultas sobre indagaciones Documento
NO SI Preliminares tramitados en la Unidad de Español Físico Investigaciones Especiales Contra la
PRELIMINARES preliminares texto
Investigaciones Especiales Contra la Corrupción Corrupción
Consultas de información sobre Procesos de Archivo de Gestión de la Unidad de
CONSULTAS SOBRE PROCESOS DE Consultas sobre procesos de Documento
NO SI Responsabilidad Fiscal tramitados en la Unidad de Español Físico Investigaciones Especiales Contra la
RESPONSABILIDAD FISCAL responsabilidad fiscal texto
Investigaciones Especiales Contra la Corrupción Corrupción
CONTROL DE ENTREGA DE Control de entrega de Planillas y libros de registro de entrega de Documento
COMUNICACIONES OFICALES comunicaciones oficiales comunicaciones oficiales texto
Corrupción
Documento
DERECHOS DE PETICIÓN NO SI Derechos de petición Derechos de petición - Solicitudes de información Español Físico Investigaciones Especiales Contra la
texto
Informe de gestión de la Unidad de Investigaciones Corrupción
Especiales Contra la Corrupción Archivo de Gestión de la Unidad de
INFORMES AL CONGRESO Y/O PRESIDENTE Informes al Congreso y/o Documento
NO SI de acuerdo a los requerimientos de la Oficina de Español Físico Investigaciones Especiales Contra la
DE LA REPÚBLICA Presidente de la República texto
Planeación Corrupción
Documentos relacionados con las auditorias Archivo de Gestión de la Unidad de
Documento
INFORMES DE AUDITORÍA EXTERNA NO SI Informes de auditoría externa adelantadas por la AGR (solicitudes- observaciones - Español Físico Investigaciones Especiales Contra la
texto
respuestas) Corrupción
Informes de cumplido de las comisiones de los Archivo de Gestión de la Unidad de
Informes de comisiones de Documento
INFORMES DE COMISIONES DE SERVICIO NO SI funcionarios de la Unidad de Investigaciones Español Físico Investigaciones Especiales Contra la
servicio texto
Especiales Contra la Corrupción Corrupción
121
Anexo A. (Continuación)
REGI REGISTRO
MEDIO DE
STR DISPONIB NOMBRE O TÍTULO DE LA DESCRIPCIÓN DEL CONTENIDO LA CATEGORÍA DE IDIOM INFORMACIÓN PÚBLICA O
O LE PARA CATEGORÍA DE INFORMACIÓN INFORMACIÓN A DISPONIBLE
Y/O SOPORTE
PUB SER
Informes relacionados con los contratos de Documento
INFORMES DE DELEGACIONES NO SI Informes de delegaciones Español Físico Investigaciones Especiales Contra la
prestación de servicios texto
Corrupción
Informes relacionados con la gestión de la Unidad Documento
INFORMES DE GESTIÓN NO SI Informes de gestión Español Físico Investigaciones Especiales Contra la
de Investigaciones Especiales Contra la Corrupción texto
Corrupción
Informes de rendición de la Informes - Comunicaciones - Actas - Formatos Documento
INFORMES DE RENDICIÓN DE LA CUENTA NO SI Español Físico Investigaciones Especiales Contra la
cuenta relacionados con la rendición de la cuenta a la AGR texto
Corrupción
Informe del estado de las Indagaciones Preliminares Archivo de Gestión de la Unidad de
INFORMES SOBRE EL ESTADO DE LAS Informes sobre el estado de las Documento
NO NO y Procesos de Responsabilidad Fiscal Ordinarios - Español Físico Investigaciones Especiales Contra la
INVESTIGACIONES investigaciones texto
Verbales para la alta dirección Corrupción
Libros donde se radican los oficios de asignación- Documento
LIBROS RADICADORES NO SI Libros radicadores Español Físico Investigaciones Especiales Contra la
Autos de impacto- Trámites de Secretaria Común texto
Corrupción
Documento
NOTIFICACIONES POR ESTADO NO SI Notificaciones por estado Notificaciones por estado Español Físico Investigaciones Especiales Contra la
texto
Corrupción
Oficios mediante los cuales se asignan las Documento
OFICIOS DE ASIGNACIÓN NO SI Oficios de asignación Español Físico Investigaciones Especiales Contra la
actuaciones declaradas de impacto nacional texto
Corrupción
Trámite de procesos administrativos sancionatorios Archivo de Gestión de la Unidad de
PROCESOS ADMINISTRATIVOS Procesos Administrativos Documento
NO SI de acuerdo a lo establecido en el Artículo 101 de la Español Físico Investigaciones Especiales Contra la
SANCIONATORIOS FISCALES Sancionatorios Fiscales texto
Ley 42 de 1993 (2012) Corrupción
Resoluciones de comisión de los funcionarios de la Archivo de Gestión de la Unidad de
PROYECTOS DE RESOLUCIONES DE Proyectos de resoluciones de Documento
NO SI Unidad de Investigaciones Especiales Contra la Español Físico Investigaciones Especiales Contra la
COMISIONES comisiones texto
Corrupción Corrupción
Archivo de gestión de la Unidad de
Documento de Cooperación Nacional e Internacional
COMUNICACIONES INFORMATIVAS Comunicaciones informativas Comunicaciones oficiales con carácter informativo Español Físico
texto de Prevención, Investigación e
Incautación de Bienes
Archivo de gestión de la Unidad de
Convenios suscritos entre la CGR y entidades Documento de Cooperación Nacional e Internacional
CONVENIOS INTERNACIONALES Convenios Internacionales Español Físico
internacionales texto de Prevención, Investigación e
Incautación de Bienes
Cont Se publica registro básico en web por
roles ERxxx_Año_Senado Resumen temático de solicitud de cada control período legislativo, pero está
CONTROL EXCEPCIONAL Exce Expediente Digital
/Cámara_CE_Congresista_tema_r excepcional por solicitud de las Comisiones Español Físico/Digital Excel/Pdf disponible para ser solicitada copia
pcio egión Constitucionales Permanentes del Congreso de expediente digital al Jefe de la
nales Unidad
Denu Se publica registro básico en web por
ncias período legislativo, pero está
ERxxx_Año_Camara_Denuncia_R Resumen temático de denuncias presentadas por
DENUNCIA Cám Expediente Digital Español Físico/Digital Excel/Pdf disponible para ser solicitada copia
epresentante_Tema_Región los Representantes a la Cámara
ara de expediente digital al Jefe de la
de
Dere Unidad
Se publica registro básico en web por
Resumen temático de derechos de petición o
chos período legislativo, pero está
ERxxx_Año_Camara_DP/Solicitu solicitudes de información presentadas por los
DERECHOS DE PETICIÓN_SOLICITUD de Expediente Digital Español Físico/Digital Excel/Pdf disponible para ser solicitada copia
d_Representante_Tema_Región Representantes a la Cámara, las comisiones o la
Petic de expediente digital al Jefe de la
Plenaria de la Cámara de Representantes.
ión
Invito Unidad
Resumen temático de invitaciones a la CGR a
acio ERxxx_Año_Camara_Invitación_ período legislativo, pero está
audiencias, foros o debates por los presentadas por
INVITACIONES nes Expediente Digital
Plenaria/Comisión_Proposición_ Español Físico/Digital Excel/Pdf disponible para ser solicitada copia
los Representantes a la Cámara, las comisiones o la
Cám Tema_Representante de expediente digital al Jefe de la
Plenaria de la Cámara de Representantes.
ara
Denu Unidad
ncias período legislativo, pero está
ERxxx_Año_Senado_Denuncia_S Resumen temático de denuncias presentadas por
DENUNCIA Sena Expediente Digital Español Físico/Digital Excel/Pdf disponible para ser solicitada copia
enador_Tema_Región los Senadores de la República.
do de expediente digital al Jefe de la
de la Unidad
Dere Se publica registro básico en web por
Resumen temático de derechos de petición o
chos período legislativo, pero está
ERxxx_Año_Senado_DP/Solicitu solicitudes de información presentadas por los
DERECHOS DE PETICIÓN_SOLICITUD de Expediente Digital Español Físico/Digital Excel/Pdf disponible para ser solicitada copia
d_Senador_Tema_Región Senadores, las comisiones o la Plenaria del Senado
Petic de expediente digital al Jefe de la
de la República.
ión o Unidad
122
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Invit Se publica registro básico en web por
Resumen temático de invitaciones a la CGR a
acio ERxxx_Año_Senado_Invitación_ período legislativo, pero está
audiencias, foros o debates por los presentadas por
INVITACIONES nes Expediente Digital
Plenaria/Comisión_Proposición_ Español Físico/Digital Excel/Pdf disponible para ser solicitada copia
los Senadores, las comisiones o la Plenaria del
Sena Tema_Senador de expediente digital al Jefe de la
Senado de la República.
do
Análi Unidad
Texto de Se publican registros web por
INFORMES SOBRE ANÁLISIS DE PROYECTOS sis Análisis_PL/PAL_XXX_C/S_Año_ Resumen temático de cada análisis de PL ó PAL
Análisis a Español Digital Pdf período legislativo con links a cada
DE LEY Y ACTOS LEGISLATIVOS de Tema efectuado
PL y PAL análisis efectuado
Proy
Mem Memoran
Se públican registros web con links a
oran dos y
MEMORANDOS 80013_Consecutivo_Año_Tema Resumen temático de cada memorando UATC Español Digital Pdf cada Memorando Generado por la
dos anexos
UATC
Unid (digitales)
Actas, copia de inventario físico, relación de talento
Actas de entrega de
Docu Archivo de humano, copia de registro del SIREP, relación de
dependencia, Acta de entrega Físico y/o Tiff Sigedoc y/o
ACTAS ment Gestión de carga laboral por equipo y/o funcionario, formato Español Disponible Archivo Gestión USATI
de documentos por novedades Electronico físico
o la USATI único de inventario documental, certificación
de personal
GRE.8115-AX-23 y 24, comunicaciones oficiales
Docu Archivo de
Comunicaciones oficiales de Físico y/o Tiff Sigedoc y/o
COMUNICACIONES INFORMATIVAS ment Gestión de Comunicaciones oficiales de carácter informativo Español Disponible Archivo Gestión USATI
carácter informativo Electronico físico
o
Docu la USATI de
Archivo
Planilla control de asistencia
CONTROL DE ASISTENCIA ment Gestión de Planilla control de asistencia diaria Español Físico Físico Disponible Archivo Gestión USATI
diaria
o la USATI Oficio contentivo de la petición y soportes, oficio
de traslado a otras entidades o dependencia
competente, respuesta de trámite y/o de fondo,
oficio de remisión a participación ciudadana, oficio
Docu Archivo de
de información de adminisión de la tutela y Físico y/o Tiff Sigedoc y/o
DOCUMENTOS DE ORIGEN CIUDADANO ment Gestión de Derechos de petición y Tutelas Español Disponible Archivo Gestión USATI
soportes, oficio de respuesta y soportes, oficio de Electronico físico
o la USATI
comunicación de la decisión de tutela y soportes,
documento de cumplimiento a lo ordenado en el
título, documento de impugnación, trámite de
incidente de desacato,
Comunicaciones oficio
oficiales de pronunciamiento
relacionadas con el
Docu Archivo de
estudio previo, comunicaciones oficiales solicitando Físico y/o
ESTUDIOS ment Gestión de Estudios previos Español PDF Publicado en SECOP
cotizaciones, cotizaciones, Certificado de Electronico
o la USATI
Disponibilidad Presupuestal
Informes de gestión, anexo y(CDP), estudio previo,
comunicaciones
Docu Archivo de oficiales relacionadas con el informe de gestión,
Físico y/o Tiff Sigedoc y/o
INFORMES ment Gestión de Informes de Gestión informe de gestión documental GRE-81115-AX-18, Español Disponible Archivo Gestión USATI
Electronico físico
o la USATI anexos, consulta sobre gestión documental,
solicitudes de actualización de tabla de retención
Formato único de inventario documental -GRE-
81115-AX-04, copia control de visitas de gestión
documental -GRE-81115-AX-09, acta de eliminación
documental -GRE-81115-AX-13, acta de entrega de
Inventario de eliminaciones documentos al Fondo de Bienestar de la CGR -GRE-
Docu Archivo de
documentales, Inventarios de 81115-AX-14, informe de eliminación documental - Físico y/o Tiff Sigedoc y/o
INVENTARIOS ment Gestión de Español Disponible Archivo Gestión USATI
transferencias documentales GRE-81115-AX-12, comunicaciones oficiales Electronico físico
o la USATI
primarias relacionadas con el inventario de eliminaciones
documentales, o transferencias documentales
primarias, reporte de errores en transferencias -GRE-
81115-AX-10, acta final de transferencias
documentales -GRE-81115-AX-11.
Docu Archivo de
LIBRO RADICADOR DE COMUNICACIONES Libro radicador de
ment Gestión de Libro radicador de comunicaciones oficiales Español Físico Físico Disponible Archivo Gestión USATI
OFICIALES comunicaciones oficiales
o la USATI
Formato de permisos, permisos de ingreso a la
Docu Archivo de institución, comunicaciones oficiales de: Horas
Físico y/o Tiff Sigedoc, PDF Disponible Archivo Gestión USATI y
NOVEDADES DE PERSONAL ment Gestión de Novedades de Personal extras solicitud, horas extras cumplidos, remitiendo Español
Electronico y/o Físico en aplicativos institucionales
o la USATI evaluaciones, remitiendo concertaciones,
remitiendo
Formato de certificaciones de nómina,
solicitud y registro sobrede:
del servicio
Registro de control de consulta,
Docu Archivo de Consulta -GRE-81115-AX-16, Prestamo -GRE-81115-
REGISTRO DE CONTROL DE SERVICIOS DE Registro de control de préstamo, Físico y/o Tiff Sigedoc y/o
ment Gestión de AX-15, Reprografía -GRE-81115-AX-17. Español Disponible Archivo Gestión USATI
ARCHIVO Registro de control de Electronico físico
o la USATI Comunicaciones oficiales relacionadas con el
reprografía
registro de: Control de consulta, control de
123
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Comunicación oficial remitiendo la acción de
mejora, formato propuesta de mejora continua y
actualización de documentos APP-80117-F-01,
Acciones de mejora, Actas de
comunicaciones oficiales relacionadas con acciones
circulo de mejoramiento,
de mejora, Actas de círculo de mejoramiento,
Docu Archivo de manuales de procedimientos,
SISTEMA INTEGRADO DE GESTION Y anexos, comunicaciones oficiales relacionadas con Físico y/o Disponible Archivo Gestión USATI y
ment Gestión de regiesgos institucional (solo para Español PDF y/o físico
CONTROL DE CALIDAD actas de círculo de mejoramiento, Manuales de Electronico en aplicativos institucionales
o la USATI macroprocesos), plan de acción,
mejoramiento de Macroprocesos, procedimientos,
plan de mejoramiento
instructivos, comunicaciones oficiales relacionadas
institucional.
con manuales de procedimientos, procedimientos
e instructivos, Formato "Mapa de Riesgos
Archivo de Institucional" -DET-80117-AX-01, comunicaciones
Docu Gestión de Certificaciones, copia de actas e informes de
Físico y/o
SUPERVISIÓN CONTRATOS ment la USATI, Supervición contratos supervisión y comunicaciones oficiales relacionadas Español PDF y/o físico Disponible Archivo Gestión USATI
Electronico
o Página con supervisión de contratos y sus anexos.
Docu Web:
Document Documento
ACCIÓN DE CUMPLIMIENTO ment Demanda Demanda donde la CGR es parte Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document Documento
ACCIÓN DE INCONSTITUCIONALIDAD ment Demanda Demanda donde la CGR es parte Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document Documento
ACCIONES POPULARES ment Demanda Demanda donde la CGR es parte Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document Documento
ACCIÓN DE REPETICIÓN ment Demanda Demanda donde la CGR es parte Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document Documento
ACTAS DE COMITÉ DE CONCILIACIÓN ment Actas Actas Comité Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
ANTECEDENTES DE TRÁMITES Document Documento
ment Antecedentes Antecedentes Español Fisico Oficina Juridica
EXCEPCIONALES o Impreso Texto
o
Docu Document
Documento
CONCEPTOS JURÍDICOS ment o Impreso Conceptos Conceptos Español Fisico Oficina Juridica
Texto
o
Docu /Digital
Document Documento
CONCILIACIONES PREJUDICIALES ment Conciliaciones Conciliaciones Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document Documento
CONTROL EXCEPCIONAL ment Control Control Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document Documento
EDICTOS ment Edictos Edcitos Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
AUTOS PROCESOS RESPONSABILIDAD
ment
FISCAL, PROCESOS ADMINISTRATIVOS Document Documento
o Autos Autos Español Fisico Oficina Juridica
SANCIONATORIOS FISCALES Y TRÁMITES o Impreso Texto
Impr
EXCEPCIONALES
eso
Docu
FALLOS PROCESOS RESPONSABILIDAD Document Documento
ment Fallos Fallos Español Fisico Oficina Juridica
FISCAL o Impreso Texto
o
Docu
Document Documento
HOJA DE RUTA TRÁMITES ment Hoja de Ruta Hoja de Ruta Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document Documento
INFORMES DE AUDITORÍA EXTERNA ment Informes Informes Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document Documento
INFORMES DE CONTROL INTERNO ment Informes Informes Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document Documento
INFORMES DE PLANEACIÓN ment Informes Informes Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document
INFORMES DIRECCIÓN FINANCIERA ment Informes Informes Español Digital Hoja Calculo Oficina Juridica
o Digital
o
Docu
Document
INFORMES INTERNOS ment informes Informes Español Digital Hoja Calculo Oficina Juridica
o Digital
o
Docu
INFORMES MINISTERIO DEL INTERIOR Y Document Documento
ment Informes Informes Español Fisico Oficina Juridica
JUSTICIA o Impreso Texto
o
Docu
INFORMES PROCURADURÍA GENERAL DE LA Document Documento
NACIÓN o Impreso Texto
o
124
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Comunicación oficial remitiendo la acción de
mejora, formato propuesta de mejora continua y
actualización de documentos APP-80117-F-01,
Acciones de mejora, Actas de
comunicaciones oficiales relacionadas con acciones
circulo de mejoramiento,
de mejora, Actas de círculo de mejoramiento,
Docu Archivo de manuales de procedimientos,
SISTEMA INTEGRADO DE GESTION Y anexos, comunicaciones oficiales relacionadas con Físico y/o Disponible Archivo Gestión USATI y
ment Gestión de regiesgos institucional (solo para Español PDF y/o físico
CONTROL DE CALIDAD actas de círculo de mejoramiento, Manuales de Electronico en aplicativos institucionales
o la USATI macroprocesos), plan de acción,
mejoramiento de Macroprocesos, procedimientos,
plan de mejoramiento
instructivos, comunicaciones oficiales relacionadas
institucional.
con manuales de procedimientos, procedimientos
e instructivos, Formato "Mapa de Riesgos
Archivo de Institucional" -DET-80117-AX-01, comunicaciones
Docu Gestión de Certificaciones, copia de actas e informes de
Físico y/o
SUPERVISIÓN CONTRATOS ment la USATI, Supervición contratos supervisión y comunicaciones oficiales relacionadas Español PDF y/o físico Disponible Archivo Gestión USATI
Electronico
o Página con supervisión de contratos y sus anexos.
Docu Web:
Document Documento
ACCIÓN DE CUMPLIMIENTO ment Demanda Demanda donde la CGR es parte Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document Documento
ACCIÓN DE INCONSTITUCIONALIDAD ment Demanda Demanda donde la CGR es parte Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document Documento
ACCIONES POPULARES ment Demanda Demanda donde la CGR es parte Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document Documento
ACCIÓN DE REPETICIÓN ment Demanda Demanda donde la CGR es parte Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document Documento
ACTAS DE COMITÉ DE CONCILIACIÓN ment Actas Actas Comité Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
ANTECEDENTES DE TRÁMITES Document Documento
ment Antecedentes Antecedentes Español Fisico Oficina Juridica
EXCEPCIONALES o Impreso Texto
o
Docu Document
Documento
CONCEPTOS JURÍDICOS ment o Impreso Conceptos Conceptos Español Fisico Oficina Juridica
Texto
o
Docu /Digital
Document Documento
CONCILIACIONES PREJUDICIALES ment Conciliaciones Conciliaciones Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document Documento
CONTROL EXCEPCIONAL ment Control Control Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document Documento
EDICTOS ment Edictos Edcitos Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
AUTOS PROCESOS RESPONSABILIDAD
ment
FISCAL, PROCESOS ADMINISTRATIVOS Document Documento
o Autos Autos Español Fisico Oficina Juridica
SANCIONATORIOS FISCALES Y TRÁMITES o Impreso Texto
Impr
EXCEPCIONALES
eso
Docu
FALLOS PROCESOS RESPONSABILIDAD Document Documento
ment Fallos Fallos Español Fisico Oficina Juridica
FISCAL o Impreso Texto
o
Docu
Document Documento
HOJA DE RUTA TRÁMITES ment Hoja de Ruta Hoja de Ruta Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document Documento
INFORMES DE AUDITORÍA EXTERNA ment Informes Informes Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document Documento
INFORMES DE CONTROL INTERNO ment Informes Informes Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document Documento
INFORMES DE PLANEACIÓN ment Informes Informes Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
Document
INFORMES DIRECCIÓN FINANCIERA ment Informes Informes Español Digital Hoja Calculo Oficina Juridica
o Digital
o
Docu
Document
INFORMES INTERNOS ment informes Informes Español Digital Hoja Calculo Oficina Juridica
o Digital
o
Docu
INFORMES MINISTERIO DEL INTERIOR Y Document Documento
JUSTICIA o Impreso Texto
o
Docu
INFORMES PROCURADURÍA GENERAL DE LA Document Documento
NACIÓN o Impreso Texto
o
125
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB
Docu
SER
Document Documento
INFORMES SINOR ment Informes Informes Español Digital Pagina Web
o Digital Texto
o
Docu
Document Documento
PROCESOS CIVILES ment Demanda Demanda donde le CGR es parte Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
PROCESOS CONTENCIOSOS Document Documento
ment Demanda Demanda doncontenciosos la CGR es parte Español Fisico Oficina Juridica
ADMINISTRATIVOS o Impreso Texto
o
Docu
Document Documento
PROCESOS PENALES ment Demanda Demanda donde le CGR es parte Español Fisico Oficina Juridica
o Impreso Texto
o
Docu
RESOLUCIONES ORDINARIAS DESPACHO Document
ment Resoluciones Resoluciones Español Digital Imagen Oficina Juridica
DEL Gerente o Diigital
o
Docu
RESOLUCIONES ORDINARIAS OFICINA Document
ment Resoluciones Resoluciones Español Digital Imagen Oficina Juridica
JURÍDICA o Digital
o
Docu
Document
RESOLUCIONES ORGÁNICAS ment Resoluciones Resolucionnes Español Digital Imagen Pagina Web
o Digitial
o
Docu
Document
RESOLUCIONES REGLAMENTARIAS ment Resoluciones Resoluciones Español Digital Imagen Pagina Web
o Digitial
o
Videos de carácter institucional que registran
Videos informativos
COLECCIÓN MATERIAL AUDIOVISUAL Video Video eventos y la gestipon de la entidad en temas Español Digital Digital Página Web
institucionales
relacionados con su quehacer misional.
Documento electrónico presenta de manera
BOLETINES DE PRENSA Documento
Documento
digitalBoletín
digital de prensa noticiosa la gestión de la entidad en temas Español Digital Digital Página Web
Docu Libros, específicos y la cual tiene como destino los medios
Documento de carácter técnico que recoge los página web , Oficina de
ment revistas, Impreso y/ o impreso y/ o
PUBLICACIONES INSTITUCIONALES Publicaciones institucionales resultados de gestión, estudios o artículos afines al Español Comunicaciones, en caso de que la
o informes, digital digital
quehacer institucional. publicación haya sido impresa
impr folletos. Documento electrónico mencionado en la página
REGISTRO MEDIOS DE COMUNICACIÓN Documento
Documento
digitalRegistro
digital de prensa web de la entidad para ilustrar cómo los medios de Español Digital Digital Página Web
comunicación registran las noticias emtitidas por la
Dcumento electrónico que evidencia las estrategias
PLAN ANUAL DE COMUNICACIONES Documento
Documento
digitalPlan
digital
anual de comunicaciones y acciones que emprenderá la entidad en temas de Español Digital Digital Página Web
comunicación organizacional.
Intervenciones del Gerente General en eventos
DISCURSOS Gerente GENERAL DE LA Discursos Gerente General de la
Documento
Documento
digitaldigital públicos, donde se da a conocer la versión oficial de Español Digital Digital Página Web
REPÚBLICA República
la entidad siobre un tema respectivo.
Desarrollo de los Planes de Acción a seguir sobre el
ACTAS COMITÉ DE ÉTICA DocumentoActas Español Físico y digital Word Disponible
tema de ética.
Expedient
e (Proceso
Disciplinari
o con auto
Queja ó antecedente,
de Procesos disciplinarios adelantados contra
EXPEDIENTES DISCIPLINARIOS Indagación Preliminar, Español Físico y digital Word, pdf Disponible
formulació funcionarios ó exfuncionarios de la entidad.
Investigación.
n de
cargos,
finalizado,
archivo)
Queja ó antecedente, Auto
SUSTANCIACIONES (Inhibitorios) Documento Excepción a la apertura de un proceso disciplinario Español Físico y digital Word, pdf Disponible
inhibitorio
Solicitud de información de procesos disciplinarios
DERECHOS DE PETICIÓN Documento Derecho de petición y repuesta. Español Físico y digital Word, pdf Disponible
contra funcionarios y/o exfuncionarios.
Solicitud de respuesta y complementación de
TUTELAS DocumentoTutela, respuesta Español Físico y digital Word, pdf Disponible
repuesta a derechos de petición.
Actas de Archivo de Gestión de la Oficina de
Base
comités ACTAS DE COMITÉ DE Pautas para la determinación, implementación, Control Interno
ACTAS DE COMITÉ DE COORDINACIÓN DEL s de
CCSCI una COORDINACIÓN DEL SISTEMA DE adaptación y mejoramiento permanente del Español Físico Papel
SISTEMA DE CONTROL INTERNO - CCSCI Dato
vez CONTROL INTERNO Sistema de Control Interno. Archivo Centralizado y archivo
s
firmadas central de la CGR
Archivo de Gestión de la Oficina de
Base Actas de
Control Interno.
ACTAS DE COMITÉ TÉCNICO DE LA OFICINA s de comité ACTAS DE COMITÉ TÉCNICO DE Planeación, ejecución , validación de hllazgos, entre
Español Físico Papel
DE CONTROL INTERNO Dato técnico de LA OCI otras.
Archivo Centralizado y archivo
s la OCI
central de la CGR.
Base
Control Interno.
ACTUACIONES DE SEGUIMIENTO, s de Actuaciones de seguimiento,
Informes Actuaciones en tiempo real Español Físico Papel
ACOMPAÑAMIENTO Y ASESORÍA Dato acompañamiento y asesoría
s
central de la CGR.
126
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Base
Informe de Control Interno.
s de
AUDITORÍA INTERNA auditoria Auditoria Interna Auditorias Español Físico Papel
dato
interna Archivo Centralizado y archivo
s
central de la CGR.
CERTIFICACIONES SEMESTRALES SOBRE EL Certificaci
CUMPLIMIENTO DE LAS OBLIGACIONES DE Base ón de la
Control Interno.
LAINSTITUTO NACIONAL DE s de Oficina de Emitir certificación del trámite procesal de la
Actuación de Seguimiento Español Físico Papel
MUSEOSFRENTE AL SISTEMA ÚNICO DE Dato la Oficina Defensa Judicial de la CGR
GESTIÓN E INFORMACIÓN LITIGIOSA DEL s de Control
central de la CGR.
ESTADO Interno
Base Informes
Control Interno.
s de de
INFORMES DE AUDITORÍA INTERNA Auditoria Interna Informes Español Físico Papel
Dato auditoria
s interna.
central de la CGR.
Informe
Base presentad
Control Interno.
INFORMES DE CONTROL INTERNO s de os a la
Auditoria Proceso contable Informes Publicado WEB de la Contaduría Español Físico Papel Archivo Centralizado y archivo
CONTABLE Dato Contadurí
central de la CGR.
s a General
En la WEB de la CGR.
de la
Base
Informe Control Interno.
INFORMES EJECUTIVOS ANUALES DE de
presentad Actuación de Seguimiento Informes Español Físico Papel Archivo Centralizado y archivo
CONTROL INTERNO Dato
o al DAFP central de la CGR.
s
En la WEB de la CGR.
Base Informe Archivo de Gestión de la Oficina de
INFORMES PORMENORIZADOS DEL ESTADO
de presentad Control Interno.
DE CONTROL INTERNO EN LA GerenteÍA Actuación de Seguimiento Informes publicado WEB de la CGR Español Físico Papel
Dato o a la WEB de la CGR
GENERAL DE LA REPÚBLICA
s ciudadanía
INFORMES RENDIDOS POR DEPENDENCIAS
DE LA GerenteÍA GENERAL DE LA N/A N/A N/A N/A N/A N/A N/A N/A
REPÚBLICA
Informe de
INFORMES SEMESTRALES SOBRE ATENCIÓN Base seguimient
Control Interno.
DE QUEJAS, SUGERENCIAS Y RECLAMOS DE de o a los
Actuación de Seguimiento Informes Español Físico Papel
LA CIUDADANÍA RELACIONADOS CON LA Dato Derechos
MISIÓN DE LA CGR s de
central de la CGR.
petición y
INFORMES TRIMESTRALES SOBRE Base
Control Interno.
CUMPLIMIENTO DE MEDIDAS DE s de
Informes Actuación de Seguimiento Informes Español Físico Papel
AUSTERIDAD Y EFICIENCIA EN EL GASTO Dato
PÚBLICO EN LA CGR s
central de la CGR.
Acta de
comité de Archivo de Gestión de la Oficina de
Base
coordinaci Control Interno.
de Programación de auditorias
PLAN DE AUDITORIA INTERNA (PAI) ón del Plan de Auditoria Interna Aprobado Español Físico Papel
Dato anuales
Sistema de Archivo Centralizado y archivo
s
control central de la CGR.
interno
Informe
REPORTES SE SEGUIMIENTO A LAS Base Archivo de Gestión de la Oficina de
seguimient
ESTRATÉGIAS DEL PLAN ANTICORRUPCIÓN de Control Interno.
o Actuación de Seguimiento Informe Español Físico Papel
Y DE ATENCIÓN AL CIUDADANO EN LA Dato
cuatrimest
GerenteÍA GENERAL DE LA REPÚBLICA s
ral
PROCESO VIA GUBERNATIVA - APELACIÓN Recursos de apelación a la tarifa Decisión del recurso de apelación al acto que Documento de Original disponible en la Oficina de
NO SI Español Físico
TARIFA FISCAL de control fiscal establece la tarifa de control fiscal. texto Planeación
Documento de
CONVENIOS CON PROCURADURÍA FISCALIA NO SI Convenio tripartito Convenio de cooperación interinstitucional Español Físico Despacho ViceGerente
texto
Actas de Comité Tècnico Oficina Temas tratados en el comité técnico de la oficina de Documento de Disponible en la Oficina de
ACTAS DE COMITÉ TÉCNICO NO SI Español Físico
de Planeaciòn planeación Texto Planeación.
127
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
ACTAS DE SEGUIMIENTO Y EVALUACIÓN
NO EXISTE. EN PROCESO DE ACTUALIZACIÓN TABLA DE RETENCIÓN DOCUMENTAL
ESTRATÉGICA DE INFORMACIÓN
INFORMES AL CONGRESO SOBRE EL
Informe de Gestión al Congreso Informe sobre el cumplimiento de las funciones Documento de
CUMPLIMIENTO DE LAS FUNCIONES DEL SI SI Español Digital Disponible en Web
y al Presidente de la República del Gerente General de la Repùblica Texto
Gerente GENERAL
INFORMES BENEFICIOS A SUJETOS DE Incluido en el Informe de Documento de
SI SI Beneficios generados del ejercicio del control fiscal Español Digital Físico y Web
CONTROL FISCAL Gestión al Congreso Texto
INFORMES DE COSTOS - SISTEMA DE Informes de Costos - Sistema de Consolidación del registro de los costos de Documento de
NO SI Español Digital Digital
COSTEO Costeo operación de la Gerenteía General de la República Texto
INFORMES DE EVALUACIÓN DE LA GESTIÓN
PÚBLICA
Informe de resultados
INFORMES DE EVALUACIÓN Y Informe de resultados Evaluación de la Calidad y
Evaluación de la Calidad y Documento de
CONCEPTUALIZACIÓN SISTEMA DE SI SI Eficiencia del Control Fiscal Interno de las entidades Español Digital Digital
Eficiencia del Control Fiscal Texto
CONTROL INTERNO públicas
Interno de las entidades públicas
INFORMES DE GESTIÓN NO EXISTE. EN PROCESO DE ACTUALIZACIÓN TABLA DE RETENCIÓN DOCUMENTAL
INFORMES DE GESTIÓN DE LA ENTIDAD NO EXISTE. EN PROCESO DE ACTUALIZACIÓN TABLA DE RETENCIÓN DOCUMENTAL
INFORMES PLANES DE MEJORAMIENTO

SUJETOS DE CONTROL
INFORMES SISTEMA INTEGRADO DE
RIESGOS INSTITUCIONALES - SIRI
Guía de Auditoria de la
METODOLOGÍA Y PROCEDIMIENTO DE Documento de
SI SI Gerenteía General de la Procedimiento para ejercer el proceso auditor. Español Digital Web
CONTROL FISCAL Texto
República
Plan de Vigilancia y Control Relación de las entidades y asuntos a auditar en
AJUSTE AL PLAN GENERAL DE AUDITORÍA SI SI Español Digital Hoja Electrónica Web
Fiscal una vigencia
Líneamientos para Elaboración y
LINEAMIENTOS Y PROGRAMACIÓN INICIAL Líneamientos para Elaboración y Ejecución del Plan Documento de
SI SI Ejecución del Plan de Vigilancia Español Digital Web
DEL PLAN GENERAL DE AUDITORÍA de Vigilancia y Control Fiscal. Texto
y Control Fiscal
SEGUIMIENTO AL PLAN GENERAL DE Seguimiento al Plan de Registros sobre el monitoreo al avance de las Documento de Disponible en la Oficina de
NO NO Español Digital
AUDITORÍA Vigilancia y Control Fiscal auditorias programadas Texto. Planeación.
Relaciòn de las auditorías programadas por
Disponible en la Oficina de
PLAN NACIONAL DE AUDITORÍA NO SI Plan Nacional de Auditoría laINSTITUTO NACIONAL DE MUSEOSy las Gerenteías Español Digital Hoja Electrónica
Planeación.
Territoriales
Anteproyecto de Presupuesto y
Justificación y soportes programación presupuestal Documento de Disponible en la Oficina de
PROGRAMACIÓN PRESUPUESTAL NO SI marco de gasto de mediano Español Físico
de la vigencia Texto. Planeación.
plazo
Sistema de
Información general básica de los proyectos de información de En Web Departamento Nacional de
PROYECTOS DE INVERSIÓN NO SI Proyectos de Inversión Español Digital
inversión. proyectos de Planeación
inversión ( SPI )
PROYECTOS DE RESOLUCIONES DE
RENDICIÓN DE CUENTAS E INFORMES NO EXISTE. EN PROCESO DE ACTUALIZACIÓN TABLA DE RETENCIÓN DOCUMENTAL
SUJETOS DE CONTROL FISCAL
PROYECTOS DE RESOLUCIONES DE Resoluciones de Sectorización y
Relación de los sujetos de control por cada Documento de
SECTORIZACIÓN Y CARACTERIZACIÓN SI SI Categorización de Sujetos de Español Físico y Digital Web y Oficina de Planeación
Gerenteía Delegada Sectorial. Texto
SUJETOS DE CONTROL Control.
Rendición de la Cuenta de
RENDICIÓN DE LA CUENTA DE LAINSTITUTO Documento de
laINSTITUTO NACIONAL DE Información sobre la gestión de la Gerenteía
NACIONAL DE MUSEOSA LA AUDITORÍA NO NO Español Digital Texto, Hoja de NO
MUSEOSa la Auditoría General General de la República
GENERAL DE LA REPÚBLICA Cálculo
de la República
Solicitudes y Requerimientos de Documento de
SOLICITUDES Y REQUERIMIENTOS DE LA Información sobre la gestión de la Gerenteía
NO NO la Auditoría General de la Español Digital Texto, Hoja de NO
AUDITORÍA GENERAL DE LA REPÚBLICA General de la República
República Cálculo
128
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
No
Documento de
REVISIÓN TÉCNICA DE CONVENIOS aplic No aplica Revisión Técnica de Convenios Revisión Técnica de Convenios Español Físico NO
Texto
a
Sistema de Rendición Documento de
SISTEMA DE RENDICIÓN ELECTRÓNICA DE Información sobre la gestión de las entidades
NO SI Electrónica de la Cuenta e Español Digital Texto, Hoja de NO
LA CUENTA E INFORMES - SIRECI Vigiladas por la Gerenteía General de la República
Informes - SIRECI Cálculo
No aplica,
porque la
document
ación está
No aplica, Porque la documentación
SISTEMA INTEGRADO DE GESTIÓN Y en Sistema Integrado de Gestión y Documentos del Sistema Integrado de Gestión y Documento de
NO Español Digital esta en proceso de revisión para su
CONTROL DE CALIDAD - SIGCC proceso de Control de Calidad - SIGCC Control de Calidad - SIGCC Texto
actualización
revisión
para su
actualizaci
ón
No aplica, Porque se trata de

Propuesta de creación, actualización y eliminación propuesta de creación, actualización
Documento de
ACCIONES DE MEJORA NO No aplica Acciones de Mejora de docuemtnos del Sistema Integrado de Gestión y Español Digital y eliminación de documentos del
Texto
Control de Calidad - SIGCC Sistema Integrado de Gestión y
Control de Calidad
ACTAS DE CÍRCULO DE MEJORAMIENTO
(Subserie Documental Común en la CGR)
No aplica,
porque la No aplica, Porque la documentación
Documentos del Sistema Integrado de Gestión y Documento de
MANUALES DE PROCEDIMIENTOS NO document Manuales de Procedimientos Español Digital esta en proceso de revisión para su
Control de Calidad - SIGCC Texto.
ación está actualización
en
No aplica,
porque la
metodolog
ía de
administra
No aplica, porque la metodología de
ción de
MAPA DE RIESGOS Y PLAN DE MANEJO DE Mapa de Riesgos y Plan de Mapa de Riesgos y Plan de Manejo de Riesgo Documento de administración de riesgos esta en
NO riesgos Español Digital
RIESGOS INSTITUCIONAL Manejo de Riesgo Institucional. Institucional. Texto. proceso de revisión para su
está en
actualización
proceso de
revisión
para su
actualizaci
ón
Plan Estrátegico y Plan de Documento de

PLAN ESTRATÉGICO Y PLAN DE ACCIÓN SI SI Plan Estrátegico y Plan de Acción. Español Digital Web
Acción. Texto.
Plan de Mejoramiento Disponible en la Oficina de

PLAN DE MEJORAMIENTO INSTITUCIONAL NO SI Plan de Mejoramiento Institucional. Español Digital Hoja Electrónica
Institucional. Planeación.
REVISIÓN DEL SIGCC NO EXISTE. EN PROCESO DE ACTUALIZACIÓN TABLA DE RETENCIÓN DOCUMENTAL
Asistencia Técnica del Sistema

ASISTENCIA TÉCNICA DEL SISTEMA Registros sobre la asistencia técnica brindada por la Documento de Disponible en la Oficina de
NO SI Nacional de Control Fiscal- Español Físico y Digital
NACIONAL DE CONTROL FISCAL - SINACOF Gerenteía General a las Gerenteías Territoriales. Texto. Planeación.
SINACOF
Seminarios y Talleres del Sistema
SEMINARIOS Y TALLERES DEL SISTEMA Registros sobre la realización de seminarios y Documento de Disponible en la Oficina de
NO SI Nacional de Control Fiscal - Español Físico
NACIONAL DE CONTROL FISCAL - SINACOF talleres. Texto. Planeación.
SINACOF
ANTECEDENTES DE TARIFA DE CONTROL Antecedentes de Tarifa de Documentos soporte para la liquidación de la tarifa Documento de Disponible en la Oficina de
NO SI Español Físico
FISCAL Control Fiscal de control fiscal. Texto. Planeación.
RESOLUCIONES NOTIFICADAS DE TARIFA DE Resoluciones Notificadas de Documento de Disponible en la Oficina de

NO SI Resoluciones Notificadas de Tarifa de Control Fiscal. Español Físico y Digital
CONTROL FISCAL Tarifa de Control Fiscal. Texto. Planeación.
Recursos de Tarifa de Control Trámite de los recursos interpuestos contra las Documento de Disponible en la Oficina de
RECURSOS DE TARIFA DE CONTROL FISCAL NO SI Español Físico
Fiscal resoluciones que fijan la tarifa de control fiscal. Texto. Planeación.
Solicitude de Tarifa de Control Otros requerimientos relacionados con la Documento de Disponible en la Oficina de
SOLICITUDES DE CONTROL FISCAL NO SI Español Físico
Fiscal liquidación de la tarifa de control fiscal. Texto. Planeación.
Documento de
ACTAS DE COMITÉ DE OPERACIONES DEL Actas de comité de operaciones Sistemas e Informática
NO SI Contiene actas de reuniones de operación del SICE Español Físico Texto Carta-
SICE del SICE (5 años) y 10 años en Archivo Central
oficio
de la CGR
Documento de
Sistemas e Informática
ACTAS DE COMITÉ TÉCNICO NO SI Actas de Comité Técnico Contiene actas de reuniones de operación del SICE Español Físico Texto Carta-
(5 años) y 10 años en Archivo Central
oficio
de la CGR
129
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Documento de Archivo de Gestión de la Oficina de
Autorización baja de equipos de
AUTORIZACIÓN DE BAJA DE EQUIPOS NO SI Solicitud, aprobación y/o negación de la baja Español Físico Texto Carta- Sistemas e Informática
cómputo
oficio (5 años)
Para funcionarios autorizados en
Se encuentra aqui toda la información técnica de
DESARROLLO Y MANTENIMIENTO DE Desarrollo y mantenimiento de \\SCFS01\Informacion
NO SI cada aplicativo desarrollado por la Entidad o Español Digital PDF, Word
SOFTWARE software OSEI\DOCUMENTACION_
contratado su desarrollo
APLICACIONES
Manuales técnicos del sistema.
MANUALES TÉCNICOS NO SI Manuales técnicos de cada uno de los sistemas Español Digital PDF, Word Solo para funcionarios autorizados
Manuales de usuario del

PDF, Excel,
MANUALES DEL USUARIO NO SI sistema. Manuales de usuario del aplicativo Español Digital Solo para funcionarios autorizados
Word
Manuales técnicos del sistema. Manuales con las características técnicas de cada
MANUALES DEL SISTEMA NO SI Español Digital PDF, Word Solo para funcionarios autorizados
uno de los sistemas de información.
Documento de
texto, hoja de
Requerimientos a mesa de Requerimientos o reporte de incidencias cálculo,
REQUERIMIENTOS A MESA DE AYUDA SI SI Español Físico, electrónico Sistemas e Informática
ayuda relacionadas con TI documento PDF,
Aplicativo GLPI
reporte
aplicativo
SISTEMA DE INFORMACIÓN PARA LA
VIGILANCIA DE LA CONTRAATACIÓN
ESTATAL
Documento de
CONSULTA ENTIDADES SI SI Respuestas Solicitudes hechas por entidades Español Físico SI
Texto Carta
Documento de
CONSULTA ENTES DE CONTROL SI SI Respuestas Solicitudes hechas por entes de control Español Físico SI
Texto Carta
Documento de
CONSULTA GRUPO DE CALIDAD SI SI Consultas Solicitud respuesta Español Físico Texto Carta y SI
Oficio
Documento de
CONSULTA GRUPO DE APOYO AL CONTROL
SI SI Consultas Solicitud respuesta Español Físico Texto Carta y SI
FISCAL
Oficio
Documento de
CONSULTA PROVEEDORES SI SI Consultas de proveedores Solicitud respuesta Español Físico Texto Carta y SI
Oficio
Documento de
DOCUMENTOS DE CAPACITACIÓN SI SI Documentos de capacitación Solicitudes capacitación Español Físico Texto Carta y SI
Oficio
Documento de
DOCUMENTOS CUBS E INTEROPERATIVIDAD Documentos CUBS e
SI SI Códigos de identificación. Español Físico Texto Carta y SI
DEL SISTEMA interoperatividad del sistema
Oficio
Documento de
NORMATIVIDAD SICE SI SI Resoluciones Normatividad SICE Español Físico Texto Carta y SI
Oficio
INFORMES DE RENDICION DE CUENTAS A Medio magnético,
Informes Oficina de Sistemas e Formato 24, informes de rendición de cuentas de Suite de Si, una vez haya sido publicado por la
LA AUDITORÍA GENERAL DE LA REPÚBLICA - SI SI Español base de datos de
Informática las auditorías de ley realizada por la AGR Microsoft y ODF AGR
FORMATO 24 - SIREL la AGR
Archi
Disponible en Archivo de Gestión de
vo Document Documento de
PROCESOS DE SELECCIÓN PARA Proceso de selección para la Oficina de Capacitación,
de o físico o Invitaciones, designación de participantes. Español Físico y magnético texto, correo
CAPACITACION INTERNACIONAL capacitación internacional Producción de Tecnología y
Gesti magnético electrónico
Cooperación Técnica Internacional
ón
Archi
vo Document Documento de
PROCESOS DE COOPERACION CON Procesos de Cooperación con Español la Oficina de Capacitación,
de o físico o Comunicaciones oficiales Físico y magnético texto, correo
ENTIDADES INTERNACIONALES entidades internacionales y otros Producción de Tecnología y
Gesti magnético electrónico
ón
Archi
vo
ACTAS DE COMITE INSTITUCIONAL DE Actas del Comité Institucional de Documento de la Oficina de Capacitación,
de Documento físico Actas y soportes Español Físico
CAPACITACION Capacitación texto Producción de Tecnología y
Gesti
ón
130
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB
Archi SER
vo
Documento de la Oficina de Capacitación,
ACTAS DEL CONSEJO ACADÉMICO de Documento Actas
físico del Consejo Académico Actas y soportes Español Físico
texto Producción de Tecnología y
Gesti
ón
Archi
Solicitud, soportes, Resolución de comisión, Disponible en Archivo de Gestión de
vo
convenio de contraprestación, garantías, informe Documento de la Oficina de Capacitación,
COMISIONES de Documento Comisiones
físico Español Físico
de comision, seguimiento obligaciones, acta de texto Producción de Tecnología y
Gesti
liquidación, acuerdos de pago. Cooperación Técnica Internacional
ón
Archi
vo
Español Documento de la Oficina de Capacitación,
AVALES de Documento Avales
físico Solicitud, soportes, aval. Físico
y otros texto Producción de Tecnología y
Gesti
ón
Archi
vo
COMISIONES DE ESTUDIOS AL INTERIOR Comisiones de estudios al convenio de contraprestación, garantías, informe Documento de la Oficina de Capacitación,
de Documento físico Español Físico
DEL PAIS POR FUNCIONARIO interior del país por funcionario de comision, seguimiento obligaciones, acta de texto Producción de Tecnología y
Gesti
ón
Archi
vo
COMISIONES DE ESTUDIOS EN EL EXTERIOR Comisiones de estudios al convenio de contraprestación, garantías, informe Español Documento de la Oficina de Capacitación,
de Documento físico Físico
POR FUNCIONARIO exterior por funcionario de comision, seguimiento obligaciones, acta de y otros texto Producción de Tecnología y
Gesti
ón
Archi
vo Solicitud, soportes, fotocopia Resolución de
COMISIONES DE SERVICIOS AL INTERIOR Comisiones de estudios al Español Documento de la Oficina de Capacitación,
de Documento físico comisión, informe de comisión, cumplido de Físico
DEL PAIS interior por funcionario y otros texto Producción de Tecnología y
Gesti comisión.
ón
Archi
vo
Comisiones de servicios al Solicitud, soportes, Resolución de comisión, Español Documento de la Oficina de Capacitación,
COMISIONES DE SERVICIOS EN EL EXTERIOR de Documento físico Físico
exterior informe de comisión, cumplido de comisión. y otros texto Producción de Tecnología y
Gesti
ón
Archi
vo
Comisiones para atender Solicitud, soportes, Resolución de comisión, Español Documento de la Oficina de Capacitación,
COMISIONES PARA ATENDER INVITACIÓN de Documento físico Físico
invitación informe de comisión, cumplido de comisión. y otros texto Producción de Tecnología y
Gesti
ón
Archi
vo
SOLICITUDES DE COMISIONES NO Solicitudes de comisión no Español Documento de la Oficina de Capacitación,
de Documento físico Solicitud, soportes, comunicaciones oficiales. Físico
APROBADAS aprobadas y otros texto Producción de Tecnología y
Gesti
ón
Archi
vo Convenio, estudios y documentos previos,
CONVENIOS DE COOPERACION Convenios de Cooperación Español Documento de la Oficina de Capacitación,
de Documento físico antecedentes, seguimiento, acta de liquidación, Físico
INTERNACIONAL Internacional y otros texto Producción de Tecnología y
Gesti actas de cooridnación.
ón
Archi
Convenios de Cooperación Documento de la Oficina de Capacitación,
CONVENIOS DE COOPERACION NACIONAL de Documento físico antecedentes, seguimiento, acta de liquidación, Español Físico
Nacional texto Producción de Tecnología y
ón
Archi
PASANTIAS NO REMUNERADAS de Documento Pasantías
físico no remuneradas antecedentes, seguimiento, acta de liquidación, Español Físico
ón
Archi
vos
DEREHOS DE PETICION de Documento Derechos
físico de Petición Respuesta a solicitud Español Físico
Gesti
ón
HISTORIAS ACADÉMICAS DE DOCENTES Y/0 Historias académicas de docentes y/o la Oficina de Capacitación,
Si Si Hojas de vida docentes Español Físico Word
INVESTIGADORES investigadores Producción de Tecnología y
131
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Informe de Auditoría Externa
la Oficina de Capacitación,
INFORMES DE AUDITORIA EXTERNA Si Si Informes de auditoria externa Comunicaciones oficiales relacionadas con el Español Físico Excel
Producción de Tecnología y
informe de auditoría externa
Archi
vo
INFORMES DE GESTIÓN de Documento Informe
físico de Gestión Informe de Gestión. Español Físico
Gesti
ón
Proyectos de investigación realizados y Disponible en Archivo de Gestión de
desarrollados por serviodres publicos de la C.G.R. y Español, la Oficina de Capacitación,
PROTOCOLOS DE INVESTIGACIÓN Protocolos de investigación Fisico, Magnetico
protocolos para el desarrollo de la tarea Ingles, Producción de Tecnología y
investigativa Cooperación Técnica Internacional
Proyectos de investigación realizados y
Magnetico, Validos toodos http://190.242.114.26:8080/gruplac/.
desarrollados por serviodres publicos de la C.G.R. Español,
PROYECTOS DE INVESTIGACIÓN Proyectos de investigación Diguital, Fisico, es muy variado, http://campus.Gerenteia.gov.co:8080
Inscritos y reconosidos por El Departamento Ingles,
web PDF, /investigacion
Administrativo de Ciencia , tecnologuia e
Archi
vo
DIAGNÓSTICO DE NECESIDADES DE Diagnóstico de necesidades de Instrumento diagnóstico, solicitudes de Documento de la Oficina de Capacitación,
de Documento físico Español Físico
CAPACITACIÓN Capacitación capacitación, consolidado diagnóstico. texto Producción de Tecnología y
Gesti
ón
Archi
Disponibleen Archivo de Gestión de la
vo Documento de
Document Oficina de Capacitación, Producción
de texto
PLAN DE ACCIÓN o físico y Plan de Acción Plan de Acción. Español Físico de Tecnología y Cooperación Técnica
Gesti Magnético en
magnético Internacional y en
ón PDF
www.Gerenteia.gov.co
www
Archi Disponible en Archivo de Gestión de
vo Documento de la Oficina de Capacitación,
Document
de texto Producción de Tecnología y
PLAN GENERAL DE CAPACITACIÓN o físico y Plan General de Capacitación Plan General de Capacitación. Español Físico
Gesti Magnético en Cooperación Técnica Internacional,
magnético
ón PDF www.Gerenteia.gov.co campus
www virtual
Archi Disponible en Archivo de Gestión de
vo Documento de la Oficina de Capacitación,
Document
de texto Producción de Tecnología y
PROGRAMA ANUAL DE CAPACITACIÓN o físico y Programa Anual de Capacitación Programa Anual de Capacitación. Español Físico
Gesti Magnético en Cooperación Técnica Internacional,
magnético
ón PDF www.Gerenteia.gov.co campus
www virtual
Archi
PROCESO DE SELECCIÓN CRÉDITO vo Proceso de Selección Crédito Convocatoria; listados de admitidos y no admitidos,
EDUCATIVO CON CONTRAPRESTACIÓN DE de Documento Educativo
Físico con Contraprestación comunicaciones relacionadas con el proceso de Español Físico
Texto Producción de Tecnología y
SERVICIOS Gesti de Servicios selección de créditos
ón
Archi
vo Solicitudes aprobadas con soportes, Convenios,
CREDITOS EDUCATIVOS CON Créditos Educativos con Documento de la Oficina de Capacitación,
de Documento Físico comunicaciones relacionadas con el credito Español Físico
CONTRAPRESTACIÓN DE SERVICIOS Contraprestación de Servicios Texto Producción de Tecnología y
Gesti educativo
ón
Archi
vo
SOLICITUDES NO APROBADAS DE CREDITOS Solicitudes no Aprobadas de Solicitudes no admitidas, comunicaciones oficiales Documento de la Oficina de Capacitación,
de Documento Físico Español Físico
EDUCATIVOS Créditos Educativos relacionadas con las mismas. Texto Producción de Tecnología y
Gesti
ón
Archi
vo
ACTIVIDADES Y EVENTOS DE CAPACITACION Informe Final de Cursos Documento en la Oficina de Capacitación,
de Documento Fisico Informes de curso Español FISICO
COMPLEMENTARIOS Presenciales Excel Producción de Tecnología y
Gesti
ón
Archi
vo
Diseño de cursos y material Comunicaciones oficiales relacionadas con el diseño Papel y Word, PDF, la Oficina de Capacitación,
DISEÑO DE CURSOS Y MATERIAL DIDÁCTICO de Documento Fisico Español
didáctico de cursos y material didáctico electrónica multimedia Producción de Tecnología y
Gesti
ón
132
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Archi Convocatoria, inscripciones, contenidos,
vo participantes, asistencia, libreta de calificaciones,
Informe Final de Cursos Papel y la Oficina de Capacitación,
INFORME FINAL DE CURSOS PRESENCIALES de Documento Fisico evaluaciónes, acta final, Comunicaciones oficiales Español Word
Presenciales electrónica Producción de Tecnología y
Gesti relacionadas con el informe final de cursos
ón
Archi presenciales
Convocatoria, inscripciones, contenidos,
vo participantes, asistencia, libreta de calificaciones,
Informes Final de Cursos Papel y la Oficina de Capacitación,
INFORME FINAL DE CURSOS VIRTUALES de Documento Fisico evaluaciónes, acta final, Comunicaciones oficiales Español Word
Virtuales electrónica Producción de Tecnología y
Gesti relacionadas con el informe final de cursos
ón presenciales
CONSULTAS DE INFORMACIÓN DE OTRAS Documentos de Disponible en Archivo de Gestión de
AUTORIDADES DE CONTROL, INSPECCIÓN Y NO SI Consultas Respuestas y conceptos a otras entidades. Español Medio Físico texto y/o hojas la Gerenteía Delegada para Economía
VIGILANCIA de cálculo y Finanzas Públicas
Certificacion de ingresos corrientes de libre Publicada en:
CERTIFICACIONES SOBRE INGRESOS Certificados de Ingresos Documentos
SI SI destinación y su relacion con los gastos de Español Medio magnético http://www.Gerenteia.gov.co/web/g
CORRIENTES LIBRE DESTINACIÓN Corrientes PDF
funcionamiento uest/certificados-ley-617
Documentos de Disponible en Archivo de Gestión de
Respuesta a derechos de Respuestas a solicitudes de la ciudadania o
DEREHOS DE PETICIÓN NO SI Español Medio Físico texto y/o hojas la Gerenteía Delegada para Economía
petición entidades
de cálculo y Finanzas Públicas

Respuestas a solicitudes de la ciudadania o
TUTELAS NO SI Respuesta a tutelas Español Medio Físico texto y/o hojas la Gerenteía Delegada para Economía
entidades
de cálculo y Finanzas Públicas
Respuestas y solicitudes de prorroga para envío de Documentos de
PRORROGAS NO SI Respuesta a prorrogas Español Medio Físico la Gerenteía Delegada para Economía
información texto
y Finanzas Públicas
SOLICITUDES SOBRE DEUDA PUBLICA Respuesta a solicitudes de Respuestas a solicitudes de la ciudadania o Documentos de
NO SI Español Medio Físico la Gerenteía Delegada para Economía
NACIONAL Y TERRITORIAL información entidades texto

la Gerenteía Delegada para Economía
Informe de auditoría al balance general de la y Finanzas Públicas para consulta en
Informe de auditoría al balance Medio magnético Archivos PDF/
INFORME DE AUDITORIA AL BALANCE SI SI nación, hallazgos presupuestales y contables y su Español Gerenteía Delegada para Economía y
general de la nación y/o físico medio impreso
calificación Finanzas Públicas, y en
http://www.Gerenteia.gov.co/web/g
uest/informesconstitucionales
Publicada en la web
Programaciones y ejecuciones presupuestales de http://www.chip.gov.co/schip_rt/ y
PROGRAMACIÓN Y EJECUCIÓN
SI SI Categoría CGR_PRESUPUESTAL ingreos y gastos del nivel territorial, empresas y Español Medio magnético Hojas de cálculo disponible para consulta en Gerenteía
PRESUPUESTAL
sociedades con capital público Delegada para Economía y Finanzas
Públicas
Disponible en bases de datos para

Registros de contratos de deuda pública y sus
REGISTROS DE DEUDA NACIONAL NO SI Deuda pública nacional Español Medio magnético Hojas de cálculo consulta en Gerenteía Delegada para
amortizaciones
Economía y Finanzas Públicas
Disponible en basaes de datos para

Registros de contratos de deuda pública y sus
REGISTROS DE DEUDA TERRITORIAL NO SI Deuda pública territorial Español Medio magnético Hojas de cálculo consulta en Gerenteía Delegada para
amortizaciones
Economía y Finanzas Públicas
INFORME ANUAL SOBRE LA DEUDA Situación de la deuda pública Medio magnético Archivos PDF / uest/informesconstitucionales y
SI SI Estado de la deuda pública nacional y territorial Español
PÚBLICA colombiana y/o físico medio impreso Dirección de Cuentas y Estadísticas
Fiscales
CERTIFICACIONES DE REGISTRO DE LA Certificacion de los registros de deuda pública
NO SI Certificados de deuda pública Español Medio Físico Medio impreso la Gerenteía Delegada para Economía
DEUDA PÚBLICA NIVEL NACIONAL nacional
CERTIFICACIONES DE REGISTRO DE LA Certificacion de los registros de deuda pública Medio magnético
NO SI Certificados de deuda pública Español Hojas de cálculo la Gerenteía Delegada para Economía
DEUDA PÚBLICA NIVEL TERRITORIAL territorial y/o físico
133
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
CERTIFICACIONES PARA EL SALARIO DE LOS Incremento salarial de los Medio magnético
NO SI Cálculo del incremento salarial de los congresistas Español texto / medio la Gerenteía Delegada para Economía
CONGRESISTAS congresistas y/o físico
impreso y Finanzas Públicas
la Gerenteía Delegada para Economía
y Finanzas Pública, para consulta en
INFORME ANUAL SOBRE LA CUENTA Informe de cuenta general del Informe anual sobre la cuenta general del Medio magnético Archivos PDF /
SI SI Español Gerenteía Delegada para Economía y
GENERAL DEL PRESUPUESTO Y DEL TESORO presupuesto y del tesoro presupuesto y del tesoro y/o físico medio impreso
Finanzas Públicas y en
uest/informesconstitucionales
Disponible para consulta en

Proyeccion de 10 años de los ingresos y gastos del
MARCO FISCAL DE MEDIANO PLAZO No SI Marco Fiscal de Mediano Plazo Español Medio magnético Hojas de cálculo Gerenteía Delegada para Economía y
sector central territorial
Finanzas Públicas

Información anual sobre planta de personal de
PERSONAL Y COSTOS No SI Personal y costos Español Medio magnético Hojas de cálculo Gerenteía Delegada para Economía y
cada entidad
Finanzas Públicas

Información trimestral sobre los giros a legalizar y
LIBRO DE LEGALIZACION DEL GASTO No SI Libro de legalización del gasto Español Medio magnético Hojas de cálculo Gerenteía Delegada para Economía y
el recibo de bienes y servicios de dichos giros
Finanzas Públicas
INFORME ANUAL SOBRE LA SITUACIÓN DE Situación de las finanzas Medio magnético Archivos PDF / http://www.Gerenteia.gov.co/web/g
SI SI El estado de las finanzas consolidadas del Estado Español
LAS FINANZAS DEL ESTADO públicas y/o físico medio impreso uest
Comportamiento fiscal mensual de las finanzas del Medio magnético Archivos PDF / http://www.Gerenteia.gov.co/web/g
INFORME FINANCIERO MENSUAL SI SI Avance fiscal Español
Estado y/o físico medio impreso uest
Medio magnético Archivos PDF / http://www.Gerenteia.gov.co/web/g

BOLETIN FISCAL SI SI Análisis Macro Fiscal Análisis de coyuntura de diferentes sectores Español
y/o físico medio impreso uest
ANALISIS DEL PRESUPUESTO GENERAL DE Análisis del Presupuesto General Análisis Macroeconómico del Presupuesto General Medio magnético Archivos PDF / http://www.Gerenteia.gov.co/web/g
SI SI Español
LA NACIÓN de la Nación de la Nación y/o físico medio impreso uest
Medio magnético Archivos PDF / http://www.Gerenteia.gov.co/web/g

ESTUDIOS MACROECONOMICOS Y FISCALES SI SI Estudios macrofiscales Estudios sobre temas macroeconómicos y fiscales Español
y/o físico medio impreso uest
Análisis y evaluación de
Estudios con los resultados de las evaluaciones de Medio magnético Archivos PDF / http://www.Gerenteia.gov.co/web/g
ANALISIS DE PROYECTOS DE LEY SI SI proyectos de ley que tengan Español
los proyectos de ley y/o físico medio impreso uest
impacto o incidencia macrofiscal
Actos administrativos con los cuales se confiere
comisión, se reconoce y ordena el pago de viáticos Doumento de Archivo de Gestión de la Gerencia
RESOLUCIONES ORDINARIAS No Si Resoluciones Ordinarias Español Físico
y transporte; se legalizan cajas menores, se autoriza texto Administrativa y Financiera
el pago sentencias judiciales, entre otras.
Oficios mendiante los cuales las diferentes
dependencias solicitan la autorización de los Doumento de Archivo de Gestión de la Gerencia
SOLICITUDES DE VIÁTICOS No Si Solicitudes de viáticos Español Físico
viáticos y transporte para los funcionarios que son texto Administrativa y Financiera
comisionados en desarrollo de sus actividades para
Sistema para el Seguimiento a los
Proyecto de inversión formulado bajo el código
Adquisición y Ampliación de la Proyectos de Inversión - SPI, del
BPIN 2012011000296, cuyo horizonte está entre el
Infraestructura Fisica de Análogo o digital - Documento de Departamento Nacional de
PROYECTOS DE INVERSIÓN Si Si 2013 - 2018; para la adquisición y ampliación de la Español
laINSTITUTO NACIONAL DE y Fisicos texto Planeación - DNP y fisicos Archivo de
infraestructura física de la Gerenteía General de la
MUSEOS Gestión de la Gerencia Administrativa
República
y Financiera
CERTIFICADOS DE DISPONIBILIDAD Certificados de disponibilidad Informacion relacionada con el presupuesto a
Español Digital PDF SIIF NACIÓN
PRESUPUESTAL presupuestal ejecutar par determinado rubro contable
CERTIFICADOS DE RETENCIONES EN LA Certificados de retenciones en la Retenciones tributarias aplicadas a funcionaios,
Español Digital PDF KACTUS, SIIF NACIÓN
FUENTE fuente exfuncionarios y contratistas
Solicitudes de información de funcionarios y Archivo de Gestión de la Dirección
DERECHOS DE PETICIÓN Derechos de petición Español Fisico Texto
ciudadanos de acuerdoi al articulo 23 de la C.P.C Financiera y Archivo Central de la CGR
134
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Solicitudes de información de funcionarios y Archivo de Gestión de la Dirección
TUTELAS Tutelas Español Fisico Texto
ciudadanos de acuerdoi a la C.P.C Financiera y Archivo Central de la CGR
Informes de ejecución Documento en el que se decribe los gastos y la
INFORMES DE EJECUCIÓN PRESUPUESTAL Español Fisico PDF SIIF NACIÓN
presupuestal ejecucion de presupuesto
Archivo de Gestión de la Dirección
INFORMES DE ESTADOS FINANCIEROS Informes de estados financieros Activos, pasivos y patrimonio, ingresos y gastos Español Fisico PDF, Excel
Financiera
Archivo de Gestión de la Dirección
INFORMES DE GESTIÓN Informes de gestión Informes de actividades realizadas por la Dirección Español Fisico PDF, Excel, Papel
Financiera
Informes de operaciones Todas las operaciones que se tienen con Entidades PDF, Excel, Archivo de Gestión de la Dirección
INFORMES DE OPERACIONES RECIPROCAS Español Fisico
reciprocas del Estado Word Financiera
PDF, Excel, Archivo de Gestión de la Dirección

INFORMES DE PASIVOS LABORALES Informes de pasivos laborales Acreencias con funcionarios y ex funcionarios Español Fisico
Word Financiera
INFORMES DE REPORTE DE INFORMACIÓN Informes de reporte de Información referente a las retenciones que se PDF, Excel, Archivo de Gestión de la Dirección
Español Fisico
EXÓGENA información exógena efectúan a los proveedores Word Financiera
Libros oficiales donde se registran los movimientos PDF, Excel, Archivo de Gestión de la Dirección
LIBROS CONTABLES Libros contables Español Fisico
económicos de la Entidad Word Financiera
Documentos soportes de transacciones económicas PDF, Excel, Archivo de Gestión de la Dirección

COMPROBANTES DE CONTABILIDAD Comprobantes de contabilidad Español Fisico
con terceros Word Financiera
Libros oficiales donde se registran los movimientos PDF, Excel, Archivo de Gestión de la Dirección
LIBRO DIARIO Libro diario Español Fisico
económicos de la Entidad Word Financiera
Extractos y conciliaciones Registro que envían los bancos de los movimientos PDF, Excel, Archivo de Gestión de la Dirección
EXTRACTOS Y CONCILIACIONES BANCARIAS Español Fisico
bancarias de las cuentas de la CGR Word Financiera
Registro de las transacciones, pagos y descuentos PDF, Excel, Archivo de Gestión de la Dirección
MOVIMIENTOS DE TESORERÍA Movimientos de tesorería Español Fisico
que generan desembolsos de dinero Word Financiera
Registro de las transacciones, pagos y descuentos PDF, Excel, Archivo de Gestión de la Dirección
BOLETINES DIARIOS Boletines diarios Español Fisico
que generan desembolsos de dinero Word Financiera
Certificaciones de cumplimiento y soportes de Archivo de Gestión de la Dirección

LEGALIZACIÓN DE VIÁTICOS Legalización de viáticos Español Fisico Papel
gastos de viaje en comisiones de trabajo de la CGR Financiera y Archivo Central de la CGR
Documentos mediante los que los funcionarios Archivo de Gestión de la Dirección

LIBRANZAS Libranzas Español Fisico Papel
autorizan descuentos por nomina Financiera y Archivo Central de la CGR
Registro contable de pagos por fallos judiciales de PDF, Excel, Archivo de Gestión de la Dirección
PAGO DE SENTENCIAS Pago de sentencias Español Fisico
indemnizaciones pecuniarias a terceros Word Financiera y Archivo Central de la CGR
La tarifa que le adjudica la CGR por la cuota de PDF, Excel, Archivo de Gestión de la Dirección
TARIFA FISCAL Tarifa fiscal Español Fisico
auditaje Word Financiera y Archivo Central de la CGR
Registro contable títulos valores que garantizan los PDF, Excel, Archivo de Gestión de la Dirección
TÍTULOS DE DEPÓSITOS JUDICIALES Títulos de depósitos judiciales Español Fisico
cobros por responsabilidad fiscal a terceros Word Financiera y Archivo Central de la CGR
Archivo de Gestión de la Dirección de

Documentos que relacionan los temas tratados en
Documento Imprenta, Archivo y Correspondencia
ACTAS DE COMITE DE ARCHIVO NO SI Actas de Comité de Archivo las reuniones de Comité de Archivo de la Gerenteía Español Físico
texto y Archivo Central de la Gerenteía
General de la República
General de la República
Se
Son los documentos de entrega y recibo de los
encuentra
directivos de la Dirección de Imprenta, Archivo y
n las actas
Actas de entrega de Correspondencia sobre el Archivo de Gestión de la Archivo de Gestión de la Dirección de
ACTAS DE ENTREGA DE DEPENDENCIA NO y Español Fisico Papel
dependencia Dirección de Imprenta, Archivo y Correspondencia, Imprenta, Archivo y Correspondencia
Formatos
Archivo de Gestión Centralizado y Archivo Central -
únicos de
Nivel Central
Inventario
135
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Papel
Agrupación documental, que contiene los generalmente
documentos (físicos y magnéticos) de las solicitudes carta.
Fisico -
de copias de documentos bajo custodia de la Electronicos Archivo de Gestión Centralizado y
AUTENTICACIONES DOCUMENTALES NO NO Autenticaciones documentales Español Electronicos
Dirección de Imprenta, Archivo y Correspondencia (Magneticos): Archivo Central - Nivel Central
(Magneticos)
en los Archivos de Gestion Centralizado y Archivo Reposan cuenta
Central - Nivel Central de correo o
SIGEDOC
Son las solicitudes y respuestas para el paz y salvo
documental por parte de las dependencias del nivel
CERTIFICACIONES DE PAZ Y SALVO Certificaciones de paz y salvo Archivo de Gestión de la Dirección de
NO SI central; los caules puesden ser en estado fisico o Español Fisico o electronico Papel o digital
DOCUMENTAL documental Imprenta, Archivo y Correspondencia
digital (Sistema de Gestión Documental). En los
Se casosLas
Son que tienen los documentos
comunicaciones fisicos o en
oficiales enviadas
encuentra soporte papel, se elaborarán en original y máximo
n las dos copias, remitiéndose el original al destinatario,
CONSECUTIVO DE COMUNICACIONES copias de Consecutivo de comunicaciones la primera copia a la serie respectiva de la oficina Archivo de Gestión de la Dirección de
NO Español Físico Papel
OFICIALES las oficiales que genera el documento, teniendo en cuenta los Imprenta, Archivo y Correspondencia
comuniacc anexos correspondientes y la segunda copia
iones reposará en el consecutivo de la unidad de
oficiales correspondencia, por el tiempo establecido en su
Oficios,
Consultas sobre gestión Solicitudes y respuestas a consultas en materia de
CONSULTAS SOBRE GESTIÓN DOCUMENTAL consultas Archivo de Gestión de la Dirección de
NO documental y administración de gestión documental del Nivel Central y Español Fisico Papel
Y ADMINISTRACIÓN DE ARCHIVOS telefónicas Imprenta, Archivo y Correspondencia
archivos Desconcentrado
, visitas
Recopilación de las comunicaciones que no fueron
Planillas de devolución de Archivo de Gestión de la Dirección de
PLANILLAS DE DEVOLUCION DE ENVIOS NO Planilla de devolución entregadas por algún motivo (direccion errada, no Español Fisico Papel
envíos Imprenta, Archivo y Correspondencia
vive, entre otros)
Planilla de recibos envios entre Gerencias Archivo de Gestión de la Dirección de

PLANILLA DE RECIBO DE ENVIOS NO Planillas Planilla de recibo de envíos Español Fisico Papel
Departamentales Colegiadas y el Nivel Central Imprenta, Archivo y Correspondencia
Planillas de envios de Nivel Central y Gerencias Fisico y Archivo de Gestión de la Dirección de

PLANILLAS DE ENVIOS SIPOSTPlanillas y Web
Planillas
SPN 4-72
de envíos Departamentales Colegiadas, y Nivel Central a los Español electrónico (Guías Papel Imprenta, Archivo y Correspondencia
usuarios externos en SPN 4-72) y Página Web SPN 4-72
Relación de las guias recibidas por usuarios
PRUEBAS DE ENTREGA NO Guía Pruebas de entrega Español Físico Papel Imprenta, Archivo y Correspondencia
externos
y Página Web SPN 4-72
Relaciona las actividades semestrales de la Archivo de Gestión de la Dirección de

INFORMES DE GESTIÓN DOCUMENTAL NO Informe Informes de gestión documental Español Físico y electrónico Papel
Dirección de Imprenta, Archivo y Correspondencia Imprenta, Archivo y Correspondencia
Informes de gestión documental -
INFORMES DE GESTION DOCUMENTAL -
anual consolidado Gerenteía Relaciona el inventario anual de los documentos Archivo de Gestión de la Dirección de
ANUAL CONSOLIDADO GerenteIA NO Inventario Español Físico y electrónico Papel
General de la República del Nivel Central y Desconcentrado Imprenta, Archivo y Correspondencia
GENERAL DE LA REPUBLICA
INFORMES DE GESTIÓN DOCUMENTAL - Relaciona los informes de gestión documental

Informes de gestión documental - Archivo de Gestión de la Dirección de
SEMESTRAL CONSOLIDADO GerenteIA NO Informes semestrales del Nivel Central y Desconcentrado Español Físico y electrónico Papel
Semestral consolidado Gerenteía Imprenta, Archivo y Correspondencia
GENERAL DE LA REPUBLICA anual
Unicament
e se
encuentra
los oficios Informes de seguimiento Se refiere a los documentos que tenga que ver con Archivo de Gestión de la Dirección de
INFORMES DE SEGUIMIENTO CONVENIO
NO o formatos convenio Archivo General de la el convenio interadministrativo con el Archivo Español Físico Papel Imprenta, Archivo y Correspondencia
ARCHIVO GENERAL DE LA NACION
diligencian Nación General de la Nación año 2012 y 2013.
do la
capacitaci
ón de los
136
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Es el Formato Único de Inventario Documental - Archivo de Gestion Centralizado
FUID, firmado entre la dependencia del nivel Papel (Nivel Central). La única parte
central productora de los documentos y la generalmente disponible virtualmente es el Formato
Dirección de Impreta, Archivo y Correspondencia, carta y oficio. Unico de Inventario Documental -
INVENTARIOS DE ENTREGAS en el que se registran los documentos que se Físico - Electrónicos FUID, firmado entre la dependencia
DOCUMENTALES AL ARCHIVO GESTION NO NO Entregas Documentales entregan al Archivo de Gestión Centralizado y que Español Electrónicos (Magnéticos) del Nivel Central productora de los
CENTRALIZADO entran a hacer parte de la misma unidad de (Magnéticos) contenidos en documentos y la Dirección de
información archivística. Se publica en la página CD: Archivos en Imprenta, Archivo y Correspondencia,
Web de la Gerenteía General de la República, formato MS en el link
aplicando por analogia lo señalado en: Artículo Excel.xls y PDF http://www.Gerenteiagen.gov.co/we
2.8.2.2.4., Decreto 1080 de 2015; Literal e), Artículo b/guest/gestion-documental
Papel
generalmente
Es el Formato Único de Inventario Documental - carta y oficio.
FUID, debidamente firmado por parte de quienes Electrónicos Archivo de Gestion Centralizado
intervinieron en su elaboración y el jefe de la (Magnéticos) (Nivel Central). La única parte
dependencia del Nivel Central productora de los contenidos en disponible virtualmente es el Formato
documentos y debidamente aprobado por el Físico - CD: Archivos en Unico de Inventario Documental,
INVENTARIOS DE ELIMINACIONES
SI SI Eliminación Documental Comité de Archivo de la Gerenteía General de la Español Electrónicos formato MS FUID, que fue aprobado por parte de
DOCUMENTALES
República, en el que se registran los documentos a (Magnéticos) Excel.xls y PDF. Comité de Archivo de la CGR, en el
eliminar y eliminado. Se publica en la página Web, Los publicados link
lo señalado, Articulo 2.8.2.2.5, Decreto 1080 de en la Web de http://www.Gerenteiagen.gov.co/we
2015; Artículo 15, Acuerdo AGN No. 004 de 2013 y laINSTITUTO b/guest/gestion-documental
Artículo 18 del Acuerdo AGN No. 003 de 2015. NACIONAL DE
MUSEOSen
formato PDF
Archivo Central. La única parte
Es el Formato Único de Inventario Documental -
disponible virtualmente es el Formato
FUID, firmado entre la dependencia del Nivel
Papel Único de Inventario Documental -
Central productora de los documentos y la
generalmente FUID, firmado entre la dependencia
Dirección de Imprenta, Archivo y Correspondencia,
carta y oficio. del Nivel Central productora de los
en el que se registran los documentos Transfreridos
Físico - Electrónicos documentos y que transfiere y la
INVENTARIOS DE TRANSFERENCIAS al al Archivo Central ý que entran a hacer parte de
NO NO Transferencias Documentales Primarias Español Electrónicos (Magnéticos) Dirección de Imprenta, Archivo y
DOCUMENTALES PRIMARIAS la misma unidad de información archivística. Se
(Magnéticos) contenidos en Correspondencia, que se describe en
publica en la página Web, los señalado, Artículo
CD: Archivos en la Categoría de Inventarios
2.8.2.2.4., Decreto 1080 de 2015; Literal e), Artículo
formato MS Documentales del presente Registro,
2.8.2.5.8., Decreto 1080 de 2015; Articulo 11,
Excel.xls y PDF. en el link
Acuerdo Archivo General de la Nación No. 002 de
http://www.Gerenteiagen.gov.co/we
2014; Artículo 17 del Acuerdo AGN No. 005 de 2015.
b/guest/gestion-documental
Es el Formato Único de Inventario Documental,
Papel Archivo de Gestion Centralizado
FUID, firmado entre la dependencia del nivel
generalmente (Nivel Central). La única parte
central productora de los documentos y la DIAC, en
carta y oficio. disponible virtualmente es el Formato
el que se registran los documentos que se entregan
Fisico - Electronicos Unico de Inventario Documental,
al Archivo de Gestión Centralizado y los que han
INVENTARIOS DOCUMENTALES NO NO Inventarios Documentales Español Electronicos (Magneticos) FUID, firmado entre la dependencia
sido producto de Transferencias Primarias
(Magneticos) contenidos en del nivel central productora de los
Documentales que entran a hacer parte del Archivo
CD: Archivos en documentos y la DIAC, en el link
Central. Se publica en la pagina web, los señalado,
formato MS http://www.Gerenteiagen.gov.co/we
Artículo 2.8.2.2.4., Decreto 1080 de 2015; Literal e),
excel.xls y PDF. b/guest/gestion-documental
Artículo 2.8.2.5.8., Decreto 1080 de 2015; Articulo
Reporte
del
Se encuentran las novedades de traspasos y bajas
aplicativo Archivo de Gestión de la Dirección de
INVENTARIOS DE ALMACÉN N0 Inventarios de almacén de elementos devolutivos destinados para la Español Físico Papel
de Imprenta, Archivo y Correspondencia
Dirección de Imprenta, Archivo y Correspondencia
recursos
físicos
Solo se Esta serie comtempla todas las capacitaciones
PROGRAMA DE CAPACITACIÓN Y Programa de capacitación y
encuentra efectuadas por la Dirección de Imprenta, Archivo y Archivo de Gestión de la Dirección de
SENSIBILIZACIÓN EN GESTIÓN NO sensibilización en gestión Español Físico Papel
planillas Correspondencia en materia de gestión documental Imprenta, Archivo y Correspondencia
DOCUMENTAL documental
de tanto en el Nivel Central como Desconcentrado
137
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Papel
generalmente
Expediente agrupa los documentos generados
carta y oficio.
durante el proceso de materializacion de las
Electrónicos
eliminaciones documentales por parte
(Magnéticos) Expediente Físico: - Archivo Central -
dependencias Nivel Central Gerenteía General de la
contenidos en De este expediente se publicara en la
República. Agrupa las instrucciones,
Físico - CD: Archivos en página web de la CGR en el link:
PROGRAMA DE ELIMINACIONES acompañamiento y orientaciones impartidas a las
NO NO Eliminación Documental Español Electrónicos formato MS http://www.Gerenteiagen.gov.co/we
DOCUMENTALES Gerencias Departamentales Colegiadas de la
(Magnéticos) Excel.xls y PDF. b/guest/gestion-documental, lo
Gerenteía General de la República. Se publica en la
Los publicados correspondiente a los Ineventarios de
página Web, lo señalado en: Artículo 2.8.2.2.5,
en la Web de Documentos a Eliminar y Eliminados.
Decreto 1080 de 2015; Artículo 15, Acuerdo AGN
laINSTITUTO
No. 004 de 2013 y Artículo 18 del Acuerdo Archivo
NACIONAL DE
General de la Nación No. 003 de 2015
MUSEOSen
formato PDF
Expediente Físico: - Archivo Central -
Papel
De este expediente se publicara en la
generalmente
página web de la CGR en el link, entre
Agrupación documental relacionada con la carta y oficio.
otros, los Instrumentos Archivisticos
operativización de los procesos de gestión Electrónicos
el Programa de Gestión Documental
Documental (Planeación, Producción; Gestión y (Magnéticos)
CGR, (TRD, Cuadros de Clasificacion
trámite; Organización; Transferencia; Disposición; contenidos en
Documental, Bancos Termnilogicos,
PROGRAMA DE SEGUIMIENTO Y CONTROL Implementación Programa de Preservación a largo plazo y Valoración), que Físico - CD: Archivos en
PINAR y demas), Programas
DE LOS ARCHIVOS DE LA GerenteIA NO NO Gestión Documental Gerenteía incluye las actividades de desarrollo de Español Electrónicos formato MS
Especificos de Gestión Documental,
GENERAL DE LA REPUBLICA General de la República instrumentos y programas específicos de gestión (Magnéticos) Excel.xls y PDF.
los Registros de Activos de
documental y su armonización con el Sistema Los publicados
Información, acorde a los Artículos
Integrado de Gestión y Control de Calidad -SIGCC y en la Web de
2.8.5.1. 2,8.5.2; 2.8.5.1.1., 2.8.5.1.2.;
Programas gubernamentales (Gobierno en Línea, laINSTITUTO
Artículo 2.8.3.1.2. Decreto 1080 de
Cero Papel), Políticas públicas y buenas prácticas NACIONAL DE
2015. :
MUSEOSen
formato PDF
b/guest/gestion-documental.
Expediente que agrupa los documentos generados Archivo de Gestion Centralizado
Papel
durante el proceso de entrega y transferencias (Nivel Central). La única parte
generalmente
primarias documentales por parte dependencias disponible virtualmente es el Formato
carta y oficio.
Nivel Central Gerenteía Genenral de la República al Unico de Inventario Documental,
Físico - Electrónicos
PROGRAMA DE TRANSFERENCIAS Archivo de Gestión Centralizado y al Archivo FUID, firmado entre la dependencia
NO NO Entregas Documentales Español Electrónicos (Magnéticos)
DOCUMENTALES Central respectivamente. Incluye documentos de del nivel central productora de los
(Magnéticos) contenidos en
planificación, aprobación, socialización y documentos y la DIAC, que se
CD: Archivos en
acompañamiento a cada una de las dependencias describe en la Categoría de
formato MS
por parte de los asesores documentales designados Inventarios Documentales del
Excel.xls y PDF
por la Dirección de Imprenta, Archivo y presente Registro.
Documentos que relacionan las consultas de
documentos que se encuentran en el Archivo de Documento Archivo de Gestión de la Dirección de
REGISTRO DE CONTROL DE CONSULTA NO SI Registro de control de consulta Español Físico
Gestión de la Dirección de Imprenta, Archivo y texto Imprenta, Archivo y Correspondencia
Correspondencia
Documentos que relacionan los préstamos de
documentos que se encuentran en el Archivo de Documento Archivo de Gestión de la Dirección de
REGISTRO DE CONTROL DE PRÉSTAMO NO SI Registro de control de préstamo Español Físico
Gestión de la Dirección de Imprenta, Archivo y texto Imprenta, Archivo y Correspondencia
Correspondencia
Documentos que relacionan el servicio de
Registro de control de reprografía de documentos que se encuentran en el Documento Archivo de Gestión de la Dirección de
REGISTRO DE CONTROL DE REPROGRAFÍA NO SI Español Físico
reprografía Archivo de Gestión de la Dirección de Imprenta, texto Imprenta, Archivo y Correspondencia
Archivo
Toda y Correspondencia
la información solicitada por los usuarios
Oficios de Seguimiento al sistema de
SEGUIMIENTO AL SISTEMA DE tanto del Nivel Central como Desconcentrado y las Archivo de Gestión de la Dirección de
NO seguimient información de gestión Español Físico Papel
INFORMACIÓN DE GESTIÓN DOCUMENTAL respuestas dadas por la Dirección de Imprenta, Imprenta, Archivo y Correspondencia
o Sigedoc documental
Archivo y Correspondencia
Reporte Se encuentran las novedades de entrega de
SUMINISTRO DE INSUMOS DE ELEMENTOS N0 de Inventarios de almacén elementos para el manejo de los documentos de Español Fisico Papel
Imprenta, Archivo y Correspondencia
insumos archivos del Nivel Central y Desconcentrado
Documentos que relacionan las series, subseries y
Imprenta, Archivo y Correspondencia
tipos documentales producidos y recibidos por Documento
TABLAS DE RETENCION DOCUMENTAL NO SI Tablas de retención documental Español Físico y Archivo Central de la CGR.
cada dependencia de la Gerenteía General de la texto
República, en cumplimiento de sus funciones
b/guest/gestion-documental
138
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Actas de la junta de adquisiciones, por medio de la
JUNTA DE ADQUISICIONES DEL NIVEL Junta de adquisiciones del Nivel
NO SI cual se recomienda el inicio o no de un proceso de Español Físico Papel Dirección de Recursos Físicos
CENTRAL Central
contratación según el caso
Documento de constancia, sobre la suscripción de
CERTIFICACIONES DE CONTRATOS NO SI Certificaciones de contratos un contrato con los datos más relevantes, ya sea en Español Físico Papel Dirección de Recursos Físicos
ejecución o ejecutados, tanto de persona natural
Documento mediante el cual se retira un bien
COMPROBANTE DE BAJA DE BIENES NIVEL Comprobante de baja de bienes
NO SI devolutivo del inventario de la Gerenteía General Español Físico Papel Dirección de Recursos Físicos
CENTRAL Nivel Central
de la República
Relación de los contratos celebrados por la
CONTRATOS SI SI Contratos Gerenteía General de la República, ya sea de la Español Físico y Digital Papel - PDF Dirección de Recursos Físicos
actual vigencia o anteriores
Derechos de petición tramitados por la Dirección
DEREHOS DE PETICION NO SI Derechos de petición Español Físico Papel Dirección de Recursos Físicos
de Recursos Físicos
Tutelas tramitadas por la Dirección de Recursos

TUTELAS NO SI Tutelas Español Físico Papel Dirección de Recursos Físicos
Físicos
Etapas pre y contractuales incluidas las escrituras
HOJA DE VIDA DE INMUEBLES NO SI Hoja de vida de inmuebles referentes a la propiedad y uso de los diferentes Español Físico Papel Dirección de Recursos Físicos
inmuebles de la Entidad
Etapas pre y contractuales incluidas propiedad,
HOJA DE VIDA DE VEHÍCULOS NO SI Hoja de vida de vehículos seguros y mantenimientos de los diferentes Español Físico Papel Dirección de Recursos Físicos
vehículos al servicios de la Entidad
Información referente a los diferentes procesos
INFORMES DE GESTIÓN NO SI Informes de gestión adelantados por la Dirección según la normatividad Español Físico Papel Dirección de Recursos Físicos
vigente
Relación con los datos principales de los elementos
INVENTARIO DE ELEMENTOS DEVOLUTIVOS Inventario de elementos
NO SI devolutivos asignados a las diferentes Español Físico Papel Dirección de Recursos Físicos
POR DEPENDENCIAS devolutivos por dependencias
dependencias de la Entidad
Plan anual de adquisiciones en donde se
PLAN DE COMPRAS SI SI Plan de compras incorporan las diferentes compras de bienes y/o Español Físico y Digital Papel - PDF Dirección de Recursos Físicos
servicios para las labores inherentes de la Entidad
Procesos de contratación adelantados por la
PROCESOS DE CONTRATACIÓN Procesos de contratación
NO SI entidad los cuales por alguna circunstancia no Español Físico Papel Dirección de Recursos Físicos
DECLARADOS DESIERTOS declarados desiertos
pudieron ser adjudicados
Documento mediante el cual los supervisores
SUPERVISIÓN DE CONTRATOS SI SI Supervisión de contratos informan sobre el avance, calidad, cumplimiento Español Físico y Digital Papel - PDF Dirección de Recursos Físicos
entre otras, de los contratos suscritos por la
Perfil Pefil Nombres
de Funcionari Cargo
HISTORIAS LABORALES Perfil funcionarios principales Español Electrónico Electrónico Datos funcionarios principales
funci os Perfil
onari
Decr principales Decreto Salarial Vigente expedido por el Gobierno
eto Nacional, por la cual se fijan las escalas de
NÓMINA Decreto Salarial
Nómina Español Digital PDF Decreto Salarial anual
Salar remuneración correspondientes a las distintas
ial categorías de los empleos de las Gerenteía General
Resol
ucio
Resolucion
nes
es de Resoluciones ordinarias de nombramiento de los
de Resoluciones de nombramiento
RESOLUCIONES ORDINARIAS Nombrami Resoluciones de Nombramiento funcionarios que ingresan a la entidad durante la Español Digital PDF
Nom funcionarios CGR
entos de la vigencia.
bram
vigencia
iento
s
Conc Informació
Convocatoria, información relacionada con el
urso n del Convocatoria, información del
PROCESO DE CONCURSO DE SELECCIÓN DE Concurso de Méritos de la proceso y resultados de cada etapa del concurso de
de Proceso de Español Electrónico PDF concurso de méritos para selección
PERSONAL vigencia méritos para proveer cargos de carrera
méri Selección de personal de carrera
administrativa.
tos de
Man Manual El Manual de Funciones por Compencias Laborales
MANUAL DE FUNCIONES POR ual Específico Manual de Funciones por contiene la identificación, propósito, funciones Manual Específico de Funciones por
Español Electrónico PDF
COMPETENCIAS LABORALES de de Competencias Laborales escenciales, contribuciones y requisitos de estudio Competencias Laborales Vigente
Funci Funciones y experiencia de los cargos de la Gerenteía General.
SI
(Pági
na Esta disponible en medio magnetico
Web SI con Demandas, solicitudes y/o requerimientos la que este relacionada con la acción
Acciones o requerimientos Español
ACCIONES O REQUERIMIENTOS JUDICIALES ) es excepcion emanados de autoridad judicial; y su Medio magnetico PDF o requerimiento judicial, en la Oficina
judiciales L
nece es correspondiente respuesta Juridica como dependencia
sario coordinadora de la respuesta.
revis
ar la
139
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Fisicos o
Analogos: Son
documentos en
formato tamaño
Papel - Medio
carta y oficio
magnetico:
(ANEXOS).
Procesador de
SI con Magneticos o Esta disponible en medios magneticos
Las actas recojen los compromisos y actividades de palabra y
ACTAS DE AYUDAS DE MEMORIA NO excepcion Actas o papeles de trabajo Español Electronicos: en el Despacho del Gerente Delegado
trabajo documentos
es Estan en para la Participación Ciuadadana
powerpoint, PDF,
procesador de
entre otros
palabra
medios ofimaticos.
word.doc,
Power point,
excel.xls, PDF
entre otros.
Fisicos o
Analogos: Son
documentos en
formato tamaño
Papel - Medio
carta y oficio
magnetico:
Las acta recojen las decisiones del Comité Técnico (ANEXOS).
Procesador de
de la CD Para la Participación Ciudadana, en lo que Magneticos o Esta disponible en medios magneticos
palabra y
ACTAS DE COMITÉ TÉCNICO NO SI Actas hace Plan de Accion, Plan Anticorrupción; Plan de Español Electronicos: en el Despacho del Gerente Delegado
documentos
Mejoramiento, seguimiento a las metas y gestión Estan en para la Participación Ciuadadana
powerpoint, PDF,
del despacho y las dos direcciones. procesador de
entre otros
palabra
medios ofimáticos.
word.doc,
Power point,
excel.xls, PDF
entre otros.
Fisicos o
Analogos: Son
documentos en
formato tamaño
carta y oficio
(ANEXOS). Esta disponible en medios magneticos
Resultados del trabajo de especial seguimiento Magneticos o en el Despacho del Gerente Delegado
Papel - Medio
INFORMES DE ESPECIAL SEGUIMIENTO Sí Sí Informes sobre los recursos al Fondo Adaptación y la Unidad Español Electronicos: para la Participación Ciuadadana y los
magnético
de Gestión del Riesgo Estan en informes publicados en la página web
procesador de de la entidad
palabra
word.doc,
Power point,
excel.xls, PDF
entre otros.
SI - Link
Formularios de acceso al ciudadano para el registro, Derechos de petición presentados de
Denuncias Sistema de Información de
DENUNCIAS SI actualización y consulta de sus derechos de Español Electrónico Página Web forma exclusiva a cada usuario
en la Participación Ciudadana - SIPAR
petición (ciudadano) registrado
página
Publicación de los diferentes trámites que la CGR
presta al ciudadano y los protocolos de acceso,
DERECHOS DE PETICIÓN SI SI Trámites y servicios al ciudadano Español Electrónico Página Web Contenido publicado en la página
junto con el proceso general de atención de los
derechos de petición
140
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Fisicos o
Analogos: Son
documentos en
SI formato tamaño
(Dirección carta y oficio
Respuesta al escrito de tutela en los temas Esta disponible en medios magneticos
de Papel-Medio (ANEXOS).
TUTELAS NO Tutela competentes en la Dirección de Atención Español y físico en la Dirección de Atención
Atención magnetico Magneticos o
Ciudadana Ciudadana
Ciudadana Electronicos:
) Estan en
procesador de
palabra
word.doc y PDF
Fisicos o
Analogos: Son
documentos en
formato tamaño
carta y oficio
Descripción detallada del cumplimiento de las (ANEXOS).
metas del Plan de Acción y de los resultados Magneticos o Esta disponible en medios magneticos
Papel - Medio
INFORMES DE GESTIÓN No Sí Informes obtenidos por la gestión del despacho y las dos Español Electronicos: en el Despacho del Gerente Delegado
magnético
direcciones dentro del proceso Desarrollar el Estan en para la Participación Ciuadadana
Control Fiscal Participativo procesador de
palabra
word.doc,
Power point,
excel.xls, PDF
entre otros.
Fisicos o
Analogos: Son
documentos en Esta disponible en medios magneticos
INFORMES DEL CENTRO DE ATENCIÓN Descripción de la atención realizada en el Centro de Papel - Medio formato tamaño en el Despacho y los informes
Sí Sí Informes Español
INTEGRAL AL CIUDADANO - CAIC Atención al Ciudadano del nivel central magnético carta y oficio publicados en la página web de la
(ANEXOS). entidad.
Magneticos o
Electronicos
Fisicos o
Analogos: Son
documentos en
Papel - Medio formato tamaño Esta disponible en medio físico y
INFORMES EVENTUALES NO SI Informes De acuerdo con el tema analizado o desarrollado Español
magnético carta y oficio magnetico en el Despacho
(ANEXOS).
Magneticos o
Electronicos
Fisicos o
Analogos: Son
documentos en
INFORMES GENERADOS POR ACTIVIDADES Papel - Medio formato tamaño Esta disponible en medio físico y
NO SI Informes De acuerdo con el tema analizado o desarrollado Español
ESPECIALES ASIGNADAS AL DESPACHO magnético carta y oficio magnetico en el Despacho
(ANEXOS).
Magneticos o
Electronicos
Fisicos o
Analogos: Son
SI documentos en
INFORMES PARA EL PLAN DE GESTIÓN DE (Pagi Papel-Medio formato tamaño Esta disponible en medio físico y
SI Informes Acciones y estrategias Español
LA INFORMACIÓN ESTRATEGICA na magnetico carta y oficio magnetico en el Despacho
web) (ANEXOS).
Magneticos o
Electronicos
141
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
SI Resultados cualitativos y cuantitativos de la Papel - Medio
INFORMES SEMESTRALES CONSOLIDADOS
(Pági medición de la satisfacción del cliente sobre la magnetico:
DE MEDICION DE LA SATISFACCION DEL Físicos y
na SI Informes información recogida en los instrumentos aplicados Español Procesador de Sí
CLIENTE análogos
Web en las orientaciones realizadas a los ciudadanos en palabra y
NIVEL NACIONAL
) el CAIC. documentos PDF.
Informe de observatorio
Análisis del estado de los derechos de petición de
ACTAS DE OBSERVATORIO TRIMESTRAL DE trimestral consolidado por la Físico y
NO SI vigencias anteriores a la fecha de desarrollo del Español PDF y Físico SI
DERECHOS DE PETICIÓN Dirección de Atención electrónico
observatorio
Ciudadana
Informe semestral y/o anual de
gestión a nivel nacional por la
INFORMES CONSOLIDADOS DE AUDITORIAS Informe cuantitativo y cualitativo del desarrollo de Físico y
SI SI Gerenteía General de la Español PDF y Físico Publicada en la página Web de la CGR
ARTICULADAS la estrategia de auditorías articuladas electrónico
República- Auditorías
articuladas
Informe de supervisión mensual
Análisis de la atención de los derechos de petición a Físico y
INFORMES DE SUPERVISION MENSUAL NO SI consolidado por la Dirección de Español PDF y Físico SI
nivel nacional para cada periódo mensual electrónico
Atención Ciudadana
INFORMES CONSOLIDADOS DE
EVALUACIÓN DE LA SATISFACCIÓN DEL Físicos y
CLIENTE CIUDADANÍA análogos
Web en las actividades de promoción y desarrollo del palabra y
CUNDINAMARCA Y BOGOTÁ
) nivel central. documentos PDF.
Supervisión al cumplimiento de los tiempos
INFORMES CONSOLIDADOS DE establecidos en el Procedimiento Actividades de Papel - HTML Físicos y
No Si Informes Español Sí
SUPERVISIÓN Y SEGUIMIENTO NACIONAL Promoción y Desarrollo del Control Ciudadano y Aplicativo SIPAR análogos
seguimiento a la ejecución de los programas de
INFORMES CONSOLIDADOS SATISFACCIÓN Físicos y
DEL CLIENTE CIUDADANIA análogos
Web en las actividades de promoción y desarrollo del palabra y
) nivel central y desconcentrado. documentos PDF.
Resultados de las investigaciones realizadas por la
INVESTIGACIONES EN PARTICIPACIÓN Físicos - Libros y
Sí Sí Publicaciones Dirección de Promoción y Desarrollo en Español Papel Sí
CIUDADANA cartillas
cumplimiento del artículo 57 del Decreto Ley 267
Documentos requeridos para la gestión de la
PROCESO PARA ELABORACION DE Documentos escritos -
dependencia que surten los pasos establecidos en Papel - Medio Físicos y
DOCUMENTOS ESCRITOS DE No Sí Producción de información Español Sí
el Procedimiento "Elaboración de documentos magnético análogos
PARTICIPACIÓN CIUDADANA dentro de la esfera de lo público
escritos de participación ciudadana"
Documentos requeridos para la gestión de la
PROGRAMAS DE PROMOCIÓN Y Producción de información dependencia que surten los pasos establecidos en Papel - Medio Físicos y
No Sí Español Sí
DESARROLLO DEL CONTROL CIUDADANO dentro de la esfera de lo público el Procedimiento "Elaboración de documentos magnético análogos
escritos de participación ciudadana"
REGISTROS DE LAS ACTIVIDADES DE Sí con Registros físicos y virtuales (aplicativo SIPAR)
Papel - HTML Físicos y Sí con excepciones (datos sensibles en
PROMOCIÓN Y DESARROLLO DEL CONTROL No excepcion Registros estipulados en el procedimiento "Actividades de Español
Aplicativo SIPAR análogos los listados de asistencia)
CIUDADANO es Promoción y Desarrollo del Control Ciudadano"
VEEDURIAS CIUDADANAS Y OTRAS FORMAS Sí con Registros físicos y virtuales (aplicativo SIPAR)
Papel - HTML Físicos y Sí con excepciones (datos sensibles en
DE CONTROL SOCIAL A LA GESTIÓN No excepcion Registros estipulados en el procedimiento "Actividades de Español
Aplicativo SIPAR análogos los listados de asistencia)
PUBLICA es Promoción y Desarrollo del Control Ciudadano"
Documento de
REPORTES DE ACCIÓN CIVIL DE ENTIDADES Reportes de acción civil de Informes de gestión de apoderados de parte civil o Físico o
No No Español texto o medio No
ORDEN NACIONAL entidades orden nacional incidente de reparación integral de la electrónico
electrónico
Informes de gestión de apoderados de parte civil o
Reportes de acción civil Documento de
REPORTES DE ACCIÓN CIVIL GerenteÍA incidente de reparación integral de las Gerencias Físico o
No No Gerenteía General de la Español texto o medio No
GENERAL DE LA REPÚBLICA Departamentales Colegiadas. Ley 610 de 2000, electrónico
República electrónico
Artículo 65
Despacho judiciales reportan el avocamiento de
preliminar o de instrucción en procesos que Documento
APERTURA DE PROCESOS PENALES No No Apertura de procesos penales Español Físico No
involucran dineros en delitos contra la texto
Administración Pública. Código de Procedimiento
Documento de
SOLICITUD SOPORTES PARA LEGALIZACIÓN Solicitud de soportes para Medio físico o electrónico que da base al Físico o
No No Español texto o medio No
DE PODERES legalización de poderes otorgamiento del poder electrónico
electrónico
De seguimiento de actuaciones procesales, para
Documento de Gerente Delegado de la Gerenteía
ACTAS DE COMITÉ INTERNO No Si Actas de Comité Interno unificar criterios jurídicos sobre responsabilidad Español Físico
texto Delegada para Investigaciones, Juicios
fiscal, acciones de PMI y PA
Fiscales y Jurisdicción Coactiva
142
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Documento de
Hallazgos provenientes de auditoría, actuaciones Físico y Gerente Delegado de la Gerenteía
ANTECEDENTES FISCALES No Si Antecedentes fiscales Español texto y medio
especiales y/o denuncias electrónico Delegada para Investigaciones, Juicios
electrónico

Documento de
Registro de responsables fiscales del orden nacional Físico y Gerente Delegado de la Gerenteía
BOLETÍN DE RESONSABLES FISCALES Si Si Boletín de Responsables Fiscales Español texto y medio
y territorial electrónico Delegada para Investigaciones, Juicios
electrónico

Documento de
EXCLUSIÓN DEL BOLETÍN DE Exclusión del Boletín de Retiro del Boletín cuando se acredita causal de Físico y Gerente Delegado de la Gerenteía
Si Si Español texto y medio
RESPONSABLES FISCALES Responsables Fiscales exclusión electrónico Delegada para Investigaciones, Juicios
electrónico

Inclusión de personas naturales o jurídicas que Documento de
INCLUSIÓN AL BOLETÍNDE RESPONSABLES Inclusión al Boletín de Físico y Gerente Delegado de la Gerenteía
Si Si tienen fallo con responsabilidad fiscal ejecutoriado Español texto y medio
FISCALES Responsables Fiscales electrónico Delegada para Investigaciones, Juicios
y no pagado electrónico
Información sobre existencia de registros en
antecedentes de responsabilidad fiscal, Documento de
SOLICITUDES RRELACIONADAS CON EL Solicitude relacionadas con el Físico y Gerente Delegado de la Gerenteía
No Si actualización de base de datos por cambio de Español texto y medio
BOLETÍN DE RESPONSABLES FISCALES Boletín de Responsables Fiscales electrónico Delegada para Investigaciones, Juicios
nombre, aclaraciones sobre inhabilidades por electrónico
registro en el Boletín de Responsables Fiscales,
Documento de
Físico y Gerente Delegado de la Gerenteía
CONSULTAS SOBRE ANTECEDENTES No Si Consultas sobre antecedentes Consulta Español texto y medio
electrónico Delegada para Investigaciones, Juicios
electrónico

Documento de
CONSULTAS SOBRE INDAGACIONES Consultas sobre indagaciones Físico y Gerente Delegado de la Gerenteía
No Si Consulta Español texto y medio
PRELIMINARES preliminares electrónico Delegada para Investigaciones, Juicios
electrónico

Consultas sobre procesos Documento de
CONSULTAS SOBRE PROCESOS Físico y Gerente Delegado de la Gerenteía
No Si administrativos de cobro Consulta Español texto y medio
ADMINISTRATIVOS DE COBRO COACTIVO electrónico Delegada para Investigaciones, Juicios
coactivos electrónico

Documento de
CONSULTAS SOBRE PROCESOS DE Consultas sobre procesos de Físico y Gerente Delegado de la Gerenteía
No Si Consulta Español texto y medio
RESPONSABILIDAD FISCAL responsabilidad fiscal electrónico Delegada para Investigaciones, Juicios
electrónico

Documento de
COMUNICACIONES INFORMATIVAS No Si Comunicaciones informativas Internas y externas Español texto y medio
electrónico

Documento Gerente Delegado de la Gerenteía
CONTROL DE ASISTENCIA No Si Control de asistencia Planillas Español Físico
texto Delegada para Investigaciones, Juicios

Documento de
Control de comunicaciones Físico y Gerente Delegado de la Gerenteía
CONTROL DE COMUNICACIONES OFICIALES No Si En cuanto a su envío o su recepción Español texto y medio
oficiales electrónico Delegada para Investigaciones, Juicios
electrónico

Documento de
CONTROL DE ENTREGA DE Control de entrega de Constancia registro electrónico en SIGEDOC y en Físico y Gerente Delegado de la Gerenteía
No Si Español texto y medio
COMUNICACIONES OFICALES comunicaciones oficiales físico electrónico Delegada para Investigaciones, Juicios
electrónico
143
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Documento de
Devoluciones diligencias Físico y Gerente Delegado de la Gerenteía
DEVOLUCIONES DILIGENCIAS TRAMITADAS No Si Las auxiliadas por Secretaría Común Conjunta Español texto y medio
tramitadas electrónico Delegada para Investigaciones, Juicios
electrónico

Documento de
Derechos de petición o solicitudes de información o Físico y Gerente Delegado de la Gerenteía
DERECHOS DE PETICIÓN No Si Derechos de petición Español texto y medio
documentos diferentes a los ingresados por SIPAR electrónico Delegada para Investigaciones, Juicios
electrónico

Documento de
Acción judicial para proteger derechos Físico y Gerente Delegado de la Gerenteía
TUTELAS No Si Tutelas Español texto y medio
fundamentales electrónico Delegada para Investigaciones, Juicios
electrónico

Actuaciones para establecer daño fiscal y su Documento de
INDAGACIONES PRELIMINARES No Si Indagaciones preliminares cuantificación y/o presuntos responsables y/o nexo Español texto y medio
de causalidad electrónico
Documento de
Apoyo técnico dentro de actuaciones preliminares Físico y Informe contenido dentro de la
INFORMES DE APOYO TÉCNICO No No Informes de apoyo técnico Español texto y medio
o de responsabilidad fiscal electrónico actuación preliminar o procesal
electrónico
Informes de cumplido de las comisiones de los Archivo de Gestión del Despacho del
Documento de
Informes de comisiones de funcionarios de la Gerenteía Delegada para Físico y Gerente Delegado de la Gerenteía
INFORMES DE COMISIONES DE SERVICIO No Si Español texto y medio
servicio Investigaciones, Juicios Fiscales y Jurisdicción electrónico Delegada para Investigaciones, Juicios
electrónico
Coactiva Fiscales y Jurisdicción Coactiva
Informes pormenorizados de los contratos y su Documento de
INFORMES DE DELEGACIONES No Si Informes de delegaciones ejecución, en los que el Delegado es asignado como Español texto y medio
supervisior electrónico
Información detallada sobre actividad desarrollada Documento de
INFORMES DE GESTIÓN No Si Informes de gestión por el macroproceso de responsabilidad fiscal y su Español texto y medio
avance electrónico
De asignaciones, autos, trámites de Secretaría Documento de Gerente Delegado de la Gerenteía
LIBROS RADICADORES No Si Libros radicadores Español Físico
Común texto Delegada para Investigaciones, Juicios
Secretaría Común Conjunta adscrita
Documento de
Publicación del respectivo acto administrativo Físico y al Despacho de la Gerenteía Delegada
NOTIFICACIONES POR ESTADO No Si Notificaciones por estado Español texto y medio
según la Ley 1474 de 2011, Artículo 106 electrónico para Investigaciones, Juicios Fiscales y
electrónico
Jurisdicción Coactiva
Secretaría Común Conjunta adscrita
Se emiten por los Abogados Sustanciadores o por la Documento de al Despacho de la Gerenteía Delegada
Físico y
OFICIOS DE CITACIONES No Si Oficios de citaciones Secretaría Común Conjunta. En este último caso, Español texto y medio para Investigaciones, Juicios Fiscales y
electrónico
por desconocimiento del domicilio del por notificar electrónico Jurisdicción Coactiva o el Despacho
mismo
Investigación dirigida a probar la existencia o no de Archivo de Gestión del Despacho del

Documento de
Procesos de responsabilidad daño fiscal y su cuantificación, producido por dolo Físico y Gerente Delegado de la Gerenteía
PROCESOS DE RESPONSABILIDAD FISCAL No Si Español texto y medio
fiscal o culpa de quien ejerce gestión fiscal o con ocasión electrónico Delegada para Investigaciones, Juicios
electrónico
de ésta, cuya decisión se contiene en un fallo Fiscales y Jurisdicción Coactiva
Resoluciones de comisión a los funcionarios del Archivo de Gestión del Despacho del
Documento de
PROYECTOS DE RESOLUCIONES DE Proyectos de resoluciones de Despacho de la Delegada para Investigaciones y de Físico y Gerente Delegado de la Gerenteía
No Si Español texto y medio
COMISIONES comisiones los Grupos de Investigaciones de las Gerencias electrónico Delegada para Investigaciones, Juicios
electrónico
Departamentales Colegiadas Fiscales y Jurisdicción Coactiva
144
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Proyectos de resoluciones de
PROYECTOS DE RESOLUCIONES DE Casos en que aplica el principio de verdad sabida y Documento de Gerente Delegado de la Gerenteía
No Si suspensión de funcionarios Español Físico
SUSPENSIÓN DE FUNCIONARIOS PÚBLICOS buena fe guardada del Art. 268-8 de la C.P. texto Delegada para Investigaciones, Juicios
públicos

RESOLUCIONES DE EXCLUSIÓN, Resoluciones de exclusión, Documento de
Exclusiones, modificaciones o aclaraciones de los Físico y Gerente Delegado de la Gerenteía
MODIFICACIONES O ACLARACIÓN DEL No Si modificaciones o aclaración del Español texto y medio
registros del Boletín de Responsables Fiscales electrónico Delegada para Investigaciones, Juicios
BOLETÍN DE RESPONSABILIDAD FISCAL Boletín de Responsabilidad Fiscal electrónico

Documento de
Remisión notificaciones por Se surte cuando no es posible la notificación Físico y Gerente Delegado de la Gerenteía
REMISIÓN NOTIFICACIONES POR AVISO No Si Español texto y medio
aviso personal. electrónico Delegada para Investigaciones, Juicios
electrónico
Hacia o desde Gerencias Departamentales para
notificaciones, toma de exposiciones libres o Documento de
SOLICITUDES DE APOYO No Si Solicitudes de apoyo declaraciones juramentadas. Español texto y medio
electrónico
En otro sentido, para obtener conceptos técnicos
Contratos en que el Gerente Delegado para Documento de Gerente Delegado de la Gerenteía
SUPERVISIÓN DE CONTRATOS No Si Supervisión de contratos Español Físico
Investigaciones es el supervisor texto Delegada para Investigaciones, Juicios
Documento de
Hallazgos provenientes de auditoría, actuaciones Físico y Archivo de la Dirección de
ANTECEDENTES FISCALES No Si Antecedentes fiscales Español texto y medio
especiales y/o denuncias electrónico Investigaciones Fiscales
electrónico
Documento de
Físico y Archivo de la Dirección de
COMUNICACIONES INFORMATIVAS No Si Comunicaciones informativas Internas o externas Español texto y medio
electrónico Investigaciones Fiscales
electrónico
Documento de
CONTROL DE ASISTENCIA No Si Comunicaciones informativas Internas o externas Español texto y medio
electrónico
Documento de
CONTROL DE ENTREGA DE Físico y Archivo de la Dirección de
No Si Comunicaciones informativas Internas o externas Español texto y medio
COMUNICACIONES OFICIALES electrónico Investigaciones Fiscales
electrónico
Documento de
Derechos de petición o solicitudes de información o Físico y Archivo de la Dirección de
DERECHOS DE PETICIÓN No Si Derechos de petición Español texto y medio
documentos diferentes a los ingresados por SIPAR electrónico Investigaciones Fiscales
electrónico
Documento de
Acción judicial para proteger derechos Físico y Archivo de la Dirección de
fundamentales electrónico Investigaciones Fiscales
electrónico
Si
Actuacion Preprocesal, iniciada de oficio para Documento de
(Excepcion Físico y Archivo de la Dirección de
INDAGACIONES PRELIMINARES No Indagaciones preliminares establecer la existencia de daño, presuntos autoires Español texto y medio
almente, electrónico Investigaciones Fiscales
del mismo, competencia del organo fiscalizador electrónico
cuando
Información detallada sobre actividad desarrollada Documento de
INFORMES DE GESTIÓN No Si Informes de gestión por el macroproceso de resposabilidad fiscal y su Español texto y medio
avance electrónico
De asignaciones, autos, trámites de Secretaría Documento de Archivo de la Dirección de

LIBROS RADICADORES No Si Libros radicadores Español Físico
Común texto Investigaciones Fiscales
Si (Opera
la reserva
de la Art.
de la Ley Investigación dirigida a establecer la
610/2000, responsabilidad fiscal de las personas que en Documento de
Procesos de responsabilidad Físico y Archivo de la Dirección de
PROCESOS DE RESPONSABILIDAD FISCAL No la que, ejercicio de la Gestion fiscal causaron daño al erario Español texto y medio
fiscal electrónico Investigaciones Fiscales
según publico por una conducta Dolosa o gravemente electrónico
sentencia culposa
C-477 de
2001, se
levanta
145
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Son en resultado de las medidas cautelares
TÍTULOS DE DEPÓSITOS JUDICIALES Físico y Archivo de la Dirección de
No Si Titulos Judiciales decretadas dentro de los proceso de Español
INVESTIGACIONES electronico Investigaciones Fiscales
responsabilidad fiscal
Corresponde a los documentos e informe de Documento de
Físico y
ACTAS DE ENTREGA DE DEPENDENCIA No Si Actas entrega de Dependencia gestión que se entrega cuando hay cambio de Español texto y Archivo Dirección de Juicios Fiscales
electrónico
directivo electrónico
Documento de
Físico y
COMUNICACIONES INFORMATIVAS No Si Comunicaciones informativas Internas o externas Español texto y medio Archivo Dirección de Juicios Fiscales
electrónico
electrónico
Documento de
CONTROL DE ASISTENCIA No Si Control de asistencia Planillas Español Físico Archivo Dirección de Juicios Fiscales
texto
Físico y Documento de
Control de comunicaciones Archivo Dirección de Juicios Fiscales y
CONTROL DE COMUNICACIONES OFICIALES No Si En cuanto a su envío o su recepción Español electrónico texto y medio
oficiales SIGEDOC
SIGEDOC electrónico
Físico y Documento de
CONTROL DE ENTREGA DE Control de entrega de Constancia registro electrónico (SIGEDOC) y en Archivo Dirección de Juicios Fiscales y
No Si Español electrónico texto y medio
COMUNICACIONES OFICIALES comunicaciones oficiales físico SIGEDOC
(SIGEDOC) electrónico
Derechos de petición o solicitudes de información Físico y Documento de
Archivo Dirección de Juicios Fiscales o
DERECHOS DE PETICIÓN No Si Derechos de petición ingresados por SIPAR o allegados directamente a la Español electrónico texto y medio
SIPAR
Dirección (SIPAR) electrónico
Documento de
Acción judicial para proteger derechos Físico y Archivo Dirección de Juicios Fiscales o
fundamentales electrónico SIPAR
electrónico
Documento de
Físico y Informe contenido dentro de la
INFORMES CUBO (SIREF) No No Información SIREF Información relacionada con la segunda instancia Español texto y medio
electrónico (SIREF) actuación procesal
electrónico
Documento de
Físico y Informe contenido dentro de la
INFORMES DE APOYO TÉCNICO No Si Informes de apoyo ténico Apoyo ténico dentro de las actuaciones procesales Español texto y medio
electrónico actuación procesal
electrónico
Documento de
Información detallada sobre actividad desarrollada Físico y Archivo de la Dirección de Juicios
INFORMES DE GESTIÓN No Si Informes de gestión Español texto y medio
por la segunda instancia y su avance electrónico Fiscales
electrónico
Documento de Secretaría Común Conjunta adscrita
Publicación del respectivo acto administrativo Físico y
NOTIFICACIONES POR ESTADO No Si Notificaciones por estado Español texto y medio al Despacho de la Delegada para
según Artículo 106 Ley 1474 de 2011 electrónico
electrónico Investigaciones
Se emite por los Abogados Sustanciadores o por la Documento de Secretaría Común Conjunta adscrita
Físico y
OFICIOS DE CITACIONES No Si Oficios de citaciones Secretaría Común Conjunta. En este último caso, Español texto y medio al Despacho de la Delegada para
electrónico
por desconocimiento del domicilio del por notificar electrónico Investigaciones o el Despacho mismo
Resolver la segunda instancia y el grado de
consulta del Proceso de Responsabilidad Fiscal y Documento de
Procesos de responsabilidad Físico y Archivo del Despacho de la Dirección
PROCESOS DE RESPONSABILIDAD FISCAL No Si ocasionalmente llevar la Investigación dirigida a Español texto y medio
fiscal electrónico de Juicios Fiscales
probar la existencia o no de daño fiscal y su electrónico
cuantificación, producido por dolo o culpa de
Página Web
Notificació Forma de dar a conocer una decisión dentro de un Físico y Documento
NOTIFICACION POR PAG WEB Si Notificación de Providencias Español http://www.Gerenteia.gov.co/ Link
n proceso a las partes y sus apoderados Electrónico texto
Notificaciones - Jurisdicción Coactiva
Se Se Son acciones de fiscalización que se caracterizan
encu encuentra por ser breves y sumarias, en las que un funcionario El informe final en la página Web de
ACTUACIONES ESPECIALES DE CONTROL entr disponible o equipo de trabajo aborda la investigación de un la Gerenteia General de la República,
Actuaciones Especiales Español Electrónico PDF Digital
FISCAL a el informe hecho o un asunto que llegue al conocimiento de la una vez terminado la actuación
disp final en la Gerenteía General de la República, por cualquier especial
onibl página medio de información o denuncia ciudadana, que
Se Se El control excepcional son auditoria realizada a
El informe final en la página Web de
encu encuentra entes territoriales y se justifica cuando se coloca en
la Gerenteia General de la República,
CONTROL EXCEPCIONAL entr disponible Control excepcional duda la imparcialidad del órgano territorial de Español Electrónico PDF Digital
una vez terminado el Control
a el informe control, debido a presiones o injerencias locales
Excepcional
disp final en la que puedan afectar su idoneidad
146
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Se Es un proceso sistemático que evalúa, acorde con
encu Se las normas de auditoría generalmente aceptadas
entr encuentra vigentes, la política pública y/o la gestión y los
a disponible resultados fiscales de los entes objeto de control El informe final en la página Web de
AUDITORÍA disp el informe Auditoría fiscal y de los planes, programas, proyectos y/o Español Electrónico PDF Digital la Gerenteia General de la República,
onibl final en la asuntos a auditar, mediante la aplicación de los una vez terminado la auditoría
e el página sistemas de control fiscal o actuaciones especiales
infor Web de vigilancia y control, para determinar el
me cumplimiento de los principios de la gestión fiscal,
Se Se
encu encuentra
entr disponible
a en el El procesos sancionatorios contra orientados a
disp archivo de establecer sí la acción u omisión del particular ha Se encuentra en el Archivo de
PROCESOS (Administrativos onibl gestión de Procesos (Administrativos infringido la normatividad que la regula y en Documento Gestión de la Gerenteía Delegada
Español Papel
sancionatorios) e en la sancionatorios) consecuencia determinar si es procedente o no texto para el Sector Agropecuario
el Delegada imponer las sanciones contempladas para la disponible solo hasta enero de 2016
archi solo en respectiva infracción
vo cuando se
de tenga la
gesti resolución
Se Se
encu encuentra
Prestar Asistencia Técnica al Congreso de la
entr disponible Archivo de Gestión de la Gerenteía
Relaciones técnicas con el República, a través del trámite oportuno y Documento
RELACIONES TÉCNICAS CON EL CONGRESO a en el Español Papel Delegada para el Sector Agropecuario
Congreso respuestas integrales a sus solicitudes, así como el texto
disp Archivo de a enero 2016
seguimiento a proyectos de ley y de acto legislativo
onibl Gestión de
e en la
Se Se
encu encuentra
entr disponible Archivo de Gestión de la Gerenteía
RESOLUCIONES (Audiencias Publicas, Documento
a en el Resoluciones (Sancionatorias) Fallo de una autoridad Español Papel Delegada para el Sector Agropecuario
sancionatorias) texto
disp Archivo de a enero 2016
onibl Gestión de
e en la
Se Se
encu encuentra
entr disponible Consiste en el seguimiento técnico, administrativo, Archivo de Gestión de la Gerenteía
Documento
SUPERVISIÓN DE CONTRATOS a en el Supervisión de contratos financiero, contable y jurídico que sobre el Español Papel Delegada para el Sector Agropecuario
texto
disp Archivo de cumplimiento del objeto del contrato a enero 2016
onibl Gestión de
e en la
Se Se Autorización al jefe o representante legal de la
encu encuentra respectiva entidad estatal, para hacer la
entr disponible declaración de urgencia con el carácter de Archivo de Gestión de la Gerenteía
Documento
URGENCIA MANIFIESTA a en el Urgencia manifiesta manifiesta, cuando se presenten situaciones Español Papel Delegada para el Sector Agropecuario
texto
disp Archivo de excepcionales relacionadas con calamidades, a enero 2016
onibl Gestión de desastres, fuerza mayor, guerra exterior o
e en la conmoción interior, emergencia económica, social
Se Se Son acciones de fiscalización que se caracterizan
encu encuentra por ser breves y sumarias, en las que un funcionario El informe final en la página Web de
ACTUACIONES ESPECIALES DE CONTROL entr disponible o equipo de trabajo aborda la investigación de un la Gerenteia General de la República,
Actuaciones especiales Español Electrónico PDF Digital
FISCAL a el informe hecho o un asunto que llegue al conocimiento de la una vez terminado la actuación
disp final en la Gerenteía General de la República, por cualquier especial
onibl página medio de información o denuncia ciudadana, que
Se Es un proceso sistemático que evalúa, acorde con
encu Se las normas de auditoría generalmente aceptadas
entr encuentra vigentes, la política pública y/o la gestión y los
a disponible resultados fiscales de los entes objeto de control El informe final en la página Web de
AUDITORÍA disp el informe Auditoría fiscal y de los planes, programas, proyectos y/o Español Electrónico PDF Digital la Gerenteia General de la República,
onibl final en la asuntos a auditar, mediante la aplicación de los una vez terminado la auditoría
e el página sistemas de control fiscal o actuaciones especiales
infor Web de vigilancia y control, para determinar el
me cumplimiento de los principios de la gestión fiscal,
147
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Se Se El reporte de beneficios del control fiscal es una
encu encuentra forma de medir el impacto del proceso auditor que
entr disponible desarrolla laINSTITUTO NACIONAL DE
Archivo de Gestion de la Gerenteia
a en el MUSEOS(CGR); por lo tanto se deberá cuantificar o Documento de
BENEFICIOS DEL PROCESO AUDITOR Beneficios del proceso auditor Español Papel Delegada para el Sector Agropecuario
disp Archivo de cualificar el valor agregado generado por el texto
a enero 2016
onibl Gestión de ejercicio del control fiscal, bien se trate de acciones
e en la evidenciadas, que correspondan al seguimiento de
el Gerenteia acciones establecidas en planes de mejoramiento o
Se Se
encu encuentra
entr disponible
a en el
disp Archivo de
Procedimiento que se caracteriza por ser Solo se encuentra disponible para
onibl Gestion de Electrónico y Documento de
INDAGACIONES PRELIMINARES Indagaciones Preliminares extraprocesal, y se debe surtir cuando se dificulta la Español funcionarios de laINSTITUTO
e en la Papel texto
configuración de un hallazgo fiscal perfecto NACIONAL DE MUSEOSen SAE y SIREF
el Gerenteia
Archi Delegada
vo para el
de Sector
Gesti Agropecua
Se Se Es el documento que sintetiza el resultado del
encu encuentra cumplimiento de los objetivos definidos en la Electrónico y Se encuentra disponible el informe
INFORMES Informe de auditoria Español PDF Digital
entr disponible asignación de actividades de auditoría, en el plan Papel final en la página Web
a el informe de trabajo y el resultado de las pruebas
Se Se Autorización al jefe o representante legal de la
encu encuentra respectiva entidad estatal, para hacer la
entr disponible declaración de urgencia con el carácter de Archivo de Gestion de la Gerenteia
Documento de
URGENCIA MANIFIESTA a en el Urgencia manifiesta manifiesta, cuando se presenten situaciones Español Papel Delegada para el Sector Agropecuario
texto
disp Archivo de excepcionales relacionadas con calamidades, a enero 2016
onibl Gestion de desastres, fuerza mayor, guerra exterior o
e en la conmoción interior, emergencia económica, social
Se Se Es un instrumento de carácter técnico preventivo y
encu encuentra proactivo, que no puede entenderse como un
entr disponible sistema de control fiscal, toda vez que su fin no es
a en el otro, que señalar a la entidad fiscalizada la
disp Archivo de existencia de situaciones o hechos que no ofrecen
Solo se encuentra disponible para
onibl Gestion de confianza en su realización y por tanto ameritan la
funcionarios de la Gerenteía Genenral
FUNCIÓN DE ADVERTENCIA e en la Función de advertencia revisión por parte de la administración a fin de Español Físico Físico y Digital
de la República en SIIGEP, solo las
el Gerenteia evitar un posible daño al Erario Público, sin
anteriores al 2014
Archi Delegada perjuicio del ejercicio de la vigilancia y control fiscal
vo para el posterior atribuida a la Gerenteía, sobre los hechos
de Sector así identificados, momento en el cual se concreta y
Gesti Agropecua evidencia la efectividad de esta especial atribución.
on riO. Solo Solo estan los pronuciamiento hasta el 2014, fue
Se
Diag
encuentra
nósti Se encuentra disponible en el Archivo
APOYO AL PROCESO AUDITOR - disponible Insumo para la elaboración de los Planes del Documento texto - Documento de
cos Apoyo al proceso auditor Español de Gestion de la Gerenteia Delegada
DIAGNOSTICOS SECTORIALES en el Control Fiscal Digital texto
secto para el Sector Agropecuario
Archivo de
riales
Gestion de
Docu Hace parte
APOYO AL PROCESO AUDITOR - ment de los Documentos sobre aspectos para el desarrollo de Documento texto - Documento de Hace parte de los informes finales de
Apoyo al proceso auditor Español
DIAGNOSTICOS SECTORIALES os informes las auditorias Digital texto auditoria
técni finales de
Análi Se
sis encuentra Documento texto -
Corresponde a análisis y evaluaciones de las Se encuentra disponible en el Archivo
secto disponible Digital Documento de
ESTUDIOS E INVESTIGACIONES Estudios e Investigaciones políticas públicas del PND o de políticas de interés Español de Gestion de la Gerenteia Delegada
rial y en el Algunos se texto
para laINSTITUTO NACIONAL DE MUSEOS para el Sector Agropecuario
de Archivo de públican
políti Gestion de
Análi Se
sis encuentra
Se refieren a la revisión de los proyectos de ley de Se encuentra disponible en el Archivo
de disponible Documento texto - Documento de
ESTUDIOS E INVESTIGACIONES Estudios e Investigaciones la agenda de interés para laINSTITUTO NACIONAL Español de Gestion de la Gerenteia Delegada
proy en el Digital texto
DE MUSEOS para el Sector Agropecuario
ectos Archivo de
de Gestion de
148
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Artíc Se
ulos, encuentra
Son síntesis de las evaluaciones de política o de Se encuentra disponible en el Archivo
revis disponible Documento texto - Documento de
ESTUDIOS E INVESTIGACIONES Estudios e Investigaciones temas de interés para laINSTITUTO NACIONAL DE Español de Gestion de la Gerenteia Delegada
tas y en el Digital texto
MUSEOS para el Sector Agropecuario
publi Archivo de
cacio Gestion de
Parti Se
cipac encuentra
Son documentos de apoyo para la realización o Se encuentra disponible en el Archivo
ión disponible Documento texto - Documento de
ESTUDIOS E INVESTIGACIONES Estudios e Investigaciones participación en actividades académicas Español de Gestion de la Gerenteia Delegada
en en el Digital texto
relacionadas con las políticas sectoriales para el Sector Agropecuario
activ Archivo de
idad Gestion de
Parti Se
cipac encuentra Se refiere a los documentos elaborados a partir de
Se encuentra disponible en el Archivo
ión disponible la participación en las evaluaciones Documento texto - Documento de
ESTUDIOS E INVESTIGACIONES Estudios e Investigaciones Español de Gestion de la Gerenteia Delegada
en en el macroeconomías, coordinadas por la Gerenteía Digital texto
para el Sector Agropecuario
estu Archivo de Delegada de Economía y Finanzas Públicas
dios Gestion de
Infor Se
mes encuentra
de disponible Documento texto - Documento de
INFORMES Informes Documentos técnicos sobre aspectos del sector Español de Gestion de la Gerenteia Delegada
apoy en el Digital texto
o Archivo de
técni Gestion de
Se
Infor
encuentra
mes Presentación de las actividades realizadas por la Se encuentra disponible en el Archivo
disponible Documento texto - Documento de
INFORMES de Informes Dirección de Estudios Sectoriales de la Gerenteía Español de Gestion de la Gerenteia Delegada
en el Digital texto
gesti Delegada para el Sector Agropecuario para el Sector Agropecuario
Archivo de
ón
Gestion de
Infor Se
mes encuentra
secto disponible Resultados de la evaluación sectorial de la gestión Documento texto - Documento de
INFORMES Informes Español de Gestion de la Gerenteia Delegada
riales en el ambiental de las entidades del sector Digital texto
al Archivo de
Cong Gestion de
Infor Se
mes encuentra
secto disponible Resultados de la evaluación sectorial del sistema de Documento texto - Documento de
INFORMES Informes Español de Gestion de la Gerenteia Delegada
riales en el control interno de las entiddaes en el sector Digital texto
sobr Archivo de
e la Gestion de
ACTAS (COMITÉ DE EVALUACION Actas (Comité de evaluación Archivo de Gestión de la Gerenteía
NO NO Español Fisico
SECTORIAL, COMITÉ TÉCNICO) sectorial, comité técnico) Delegada para el Sector Social
Papel y
ACTUACIONES ESPECIALES DE CONTROL Fisico y Archivo de Gestión de la Gerenteía
SÍ SÍ Español Documento
FISCAL Electrónico Delegada para el Sector Social
electrónico
No
ADJUDICACIÓN DE LICITACIÓN EN
aplic No aplica Español No aplica No aplica No aplica
AUDIENCIA PÚBLICA
a
No
ANTECEDENTES FISCALES aplic Español No aplica No aplica No aplica
a
No
CONCEPTOS JURIDICOS aplic No aplica Español Fisico No aplica No aplica
a
Papel y
Fisico y Archivo de Gestión de la Gerenteía
CONTROL EXCEPCIONAL SÍ SÍ Español Documento
Electrónico Delegada para el Sector Social
electrónico
DOCUMENTOS DE ORIGEN CIUDADANO ( Papel y
Acciones Populares-Denuncias-Derechos de NO SI Español Documento
Petición- Tutelas ) electrónico
149
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
No Papel y
FUNCIÓN DE ADVERTENCIA aplic No aplica Español Documento
a electrónico
Papel y
INFORMES FINALES (Auditoria-SGPP Fisico y Archivo de Gestión de la Gerenteía
SÍ SÍ Español Documento
Informes Congreso Electrónico Delegada para el Sector Social
electrónico
PROCESOS (Administrativos Archivo de Gestión de la Gerenteía
NO NO Español Fisico Papel
sancionatorios) Delegada para el Sector Social
Archivo de Gestión de la Gerenteía

RELACIONES TÉCNICAS CON EL CONGRESO NO SÍ Español Fisico
Delegada para el Sector Social
RESOLUCIONES (Audiencias Publicas, Archivo de Gestión de la Gerenteía

NO SÍ Español Fisico
sancionatorias) Delegada para el Sector Social
SOLICITUDES DE AJUSTES AL PLAN Archivo de Gestión de la Gerenteía

GENERAL DE AUDITORÍA Delegada para el Sector Social
TRASLADO DE HALLAZGOS FISCALES, Archivo de Gestión de la Gerenteía

DISCIPLINARIOS Y PENALES Delegada para el Sector Social

URGENCIA MANIFIESTA SÍ SÍ Español Fisico
ACTAS (ACTAS DE SEGUIMIENTO AL PLAN Archivo de Gestión de la Gerenteía

NO NO Actas seguimiento - PGA Seguimiento Español Fisico Papel
GENERAL DE AUDITORIA - PGA Delegada para el Sector Social
ACTUACIONES ESPECIALES DE CONTROL Archivo de Gestión de la Gerenteía

SÍ SÍ Español Fisico Papel
FISCAL Delegada para el Sector Social
No
ANTECEDENTES FISCALES aplic No aplica Español Fisico Papel
a
Fisico y Papel - Archivo de Gestión de la Gerenteía

AUDITORÍA SÍ SÍ Español
Electrónico SICA Electrónico Delegada para el Sector Social

BENEFICIOS DEL PROCESO AUDITOR SÍ SÍ Español Fisico Papel
Papel -
CUENTAS E INFORMES CONSOLIDADOS DE Electrónico - Archivo de Gestión de la Gerenteía
SÍ SÍ Español Electrónico
LOS SUJETOS DE CONTROL SIRECI Delegada para el Sector Social
SIRECI
Papel -
DOCUMENTO DE ORIGEN CIUDADANO( Fisico y Archivo de Gestión de la Gerenteía
NO SI Español Documento
Denuncias-Derechos de Petición Electrónico Delegada para el Sector Social
Electrónico

INDAGACIONES PRELIMINARES NO NO Español Fisico Papel
INFORMES ( Apoyo Técnico, Austeridad del

Gasto,Auditoría del Balance de la
Nación,Culminación de Gestión,Deuda Papel - Archivo de Gestión de la Gerenteía
SÍ SÍ Español Fisico
Servicios Públicos, Informes Gestión,Planes Electrónico Delegada para el Sector Social
Mejoramiento, Plan de Gestión
información estrátegica
No
REPORTES DE OBSERVATORIO Archivo de Gestión de la Gerenteía
aplic No aplica Español Fisico Papel
(Documentos Electrónicos) Delegada para el Sector Social
a
TRASLADO DE HALLAZGOS FISCALES, Archivo de Gestión de la Gerenteía
DISCIPLINARIOS Y PENALES Delegada para el Sector Social
150
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
ACTUACIONES ESPECIALES DE CONTROL Archivo de Gestión de la Gerenteía
FISCAL Delegada para el Sector Social
No
ANTECEDENTES FISCALES aplic No aplica Español Fisico Papel No aplica
a
APOYO AL PROCESO AUDITOR - Archivo de Gestión de la Gerenteía
DIAGNOSTICOS SECTORIALES Delegada para el Sector Social

ESTUDIOS E INVESTIGACIONES SÍ SÍ Español Fisico Papel
No
FUNCIÓN DE ADVERTENCIA aplic No aplica Español Fisico Papel No aplica
a
INFORMES SÍ SÍ Español Fisico Papel
MATRIZ DE RIESGO DE SUJETOS DE Archivo de Gestión de la Gerenteía

CONTROL Delegada para el Sector Social
Papel y Delegada para el Sector
ACTAS (COMITÉ DE EVALUACION Actas (Comité de evaluación Físico y
NO NO No aplica Español documento Infraestructura Física y
SECTORIAL, COMITÉ TÉCNICO) sectorial, comité técnico) electrónico
electrónico Telecomunicaciones, Comercio
Exterior y Desarrollo Regional
ACTUACIONES ESPECIALES DE CONTROL Actuaciones especiales de Físico y
SÍ SÍ No aplica Español documento Infraestructura Física y
FISCAL control fiscal electrónico
ADJUDICACIÓN DE LICITACIÓN EN Adjudicación de licitación en
NO NO No aplica Español No aplica No aplica No aplica
AUDIENCIA PÚBLICA audiencia pública
No
ANTECEDENTES FISCALES hay Antecedentes fiscales No aplica Español No aplica No aplica No aplica
prod
Físico y
CONCEPTOS JURIDICOS NO SÍ Conceptos jurídicos Conceptos jurídicos Español documento Infraestructura Física y
electrónico
Físico y
CONTROL EXCEPCIONAL SÍ SÍ Control excepcional Control excepcional Español documento Infraestructura Física y
electrónico
Papel y
FUNCIÓN DE ADVERTENCIA NO NO Función de advertencia No aplica Español No aplica documento No aplica
electrónico
Físico y
INDAGACIONES PRELIMINARES NO NO Indagaciones preliminares No aplica Español documento Infraestructura Física y
electrónico
Físico y
INFORMES (Auditoria, congreso) SÍ SÍ Informes (Auditoria, congreso) Informes Español documento Infraestructura Física y
electrónico
PROCESOS (Administrativos Procesos (Administrativos Físico y
NO SÍ Procesos (Administrativos sancionatorios) Español documento Infraestructura Física y
sancionatorios) sancionatorios) electrónico
151
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Relaciones técnicas con el Físico y
RELACIONES TÉCNICAS CON EL CONGRESO NO SÍ Relaciones técnicas con el Congreso Español documento Infraestructura Física y
Congreso electrónico
Delegada para el Sector
RESOLUCIONES (Audiencias Publicas, Resoluciones (Audiencias
NO SÍ Resoluciones (Audiencias Publicas, sancionatorias) Español Físico Papel Infraestructura Física y
sancionatorias) Publicas, sancionatorias)
Telecomunicaciones, Comercio
SOLICITUDES DE AJUSTES AL PLAN Solicitudes de ajustes al Plan Físico y
NO SÍ Solicitudes de ajustes al Plan General de Auditoría Español documento Infraestructura Física y
GENERAL DE AUDITORÍA General de Auditoría electrónico
TRASLADO DE HALLAZGOS FISCALES, Traslado de hallazgos fiscales, Traslado de hallazgos fiscales, disciplinarios y Físico y
NO SÍ Español documento Infraestructura Física y
DISCIPLINARIOS Y PENALES disciplinarios y penales penales electrónico
Físico y
URGENCIA MANIFIESTA SÍ SÍ Urgencia manifiesta Urgencia manifiesta Español documento Infraestructura Física y
electrónico
ACTAS (ACTAS DE SEGUIMIENTO AL PLAN Actas (Actas de seguimiento al Actas de comité técnico en sus diferentes etapas Electronico y
SÍ SÍ Español Físico y digital Papeles de trabajo.
GENERAL DE AUDITORIA - PGA) Plan General de Auditoria - PGA) del PGA. Papel
Son acciones de fiscalización que se caracterizan
por ser breves y sumarias, en las que un funcionario
ACTUACIONES ESPECIALES DE CONTROL Actuaciones especiales de o equipo de trabajo aborda la investigación de un Electronico y Solo se encuentra disponible el
SÍ SÍ Español Físico y digital
FISCAL control fiscal hecho o un asunto que llegue al conocimiento de la Papel informe final en la pagina Web
Gerenteía General de la República, por cualquier
medio de información o denuncia ciudadana, que
ES un hallazgo trasladado al grupo IP de auditoría
es un hecho relevante que se constituye en un
En SAE para las partes procesales y
resultado determinante en la evaluación de un Electronico y
ANTECEDENTES FISCALES SÍ SÍ Antecedentes fiscales Español Físico y digital SIREF solo se encuentra disponible
asunto en particular, al comparar la condición Papel
para funcionarios de la CGR
[situación detectada] con el criterio [deber ser].
Igualmente, es una situación determinada al aplicar
Es un proceso sistemático que evalúa, acorde con
las normas de auditoría generalmente aceptadas
vigentes, la política pública y/o la gestión y los
resultados fiscales de los entes objeto de control
Electronico y Solo se encuentra disponible el
AUDITORÍA SÍ SÍ Auditoría fiscal y de los planes, programas, proyectos y/o Español Físico y digital
Papel informe final en la pagina Web
asuntos a auditar, mediante la aplicación de los
sistemas de control fiscal o actuaciones especiales
de vigilancia y control, para determinar el
cumplimiento de los principios de la gestión fiscal,
El reporte de beneficios del control fiscal es una
forma de medir el impacto del proceso auditor que
desarrolla laINSTITUTO NACIONAL DE
MUSEOS(CGR); por lo tanto se deberá cuantificar o Electronico y Solo se encuentra disponible para
BENEFICIOS DEL PROCESO AUDITOR SÍ SÍ Beneficios del proceso auditor Español Físico y digital
cualificar el valor agregado generado por el Papel funcionarios de la CGR en SIIGEP
ejercicio del control fiscal, bien se trate de acciones
evidenciadas, que correspondan al seguimiento de
acciones establecidas en planes de mejoramiento o
Información que se debe presentar a laINSTITUTO
CUENTAS E INFORMES CONSOLIDADOS DE Cuentas e informes consolidados NACIONAL DE MUSEOSsobre las actuaciones Electronico y Solo se encuentra disponible para
SÍ SÍ Español Digital
LOS SUJETOS DE CONTROL de los sujetos de control legales, técnicas, contables, financieras y de Papel funcionarios de la CGR en SIRECI
gestión, como resultado de la administración,
FUNCIÓN DE ADVERTENCIA NO NO Función de advertencia No aplica Español No aplica No aplica No aplica
Procedimiento que se caracteriza por ser

Electronico y Solo se encuentra disponible para
INDAGACIONES PRELIMINARES SÍ SÍ Indagaciones preliminares extraprocesal, y se debe surtir cuando se dificulta la Español Físico y Digital
Papel funcionarios de la CGR en SAE y SIREF
configuración de un hallazgo fiscal perfecto
152
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Papel
generalmente
carta y oficio.
Mecanismo mediante el cual se ejerce especial
Mediante Electronicos Archivo de Gestión de la Gerenteía
seguimiento, control y vigilancia de los recursos Físico –
INFORMES SOBRE GESTIÓN FISCAL NO Aplicativo Informes sobre gestión fiscal Español (Magneticos) Delegada para el Sector de Minas y
que involucren grandes cantidades de dinero o Electrónico
SICA contenidos en Energía - Aplicativo SICA
causen impacto nacional
CD: Archivos en
formato MS
excel.xls y PDF.
Papel
generalmente
carta y oficio.
Informes de especial seguimiento, control y vigilancia de los recursos Físico –
INFORMES DE ESPECIAL SEGUIMIENTO NO Aplicativo Español (Magneticos) Delegada para el Sector de Minas y
seguimiento que involucren grandes cantidades de dinero o Electrónico
CD: Archivos en
formato MS
excel.xls y PDF.
Papel
generalmente
carta y oficio.
seguimiento, control y vigilancia de los recursos Físico –
INFORMES DE OBSERVATORIOS NO Aplicativo Informes de observatorios Español (Magneticos) Delegada para el Sector de Minas y
que involucren grandes cantidades de dinero o Electrónico
CD: Archivos en
formato MS
excel.xls y PDF.
Papel
generalmente
carta y oficio.
ACTUACIONES ESPECIALES DE Actuaciones especiales de seguimiento, control y vigilancia de los recursos Físico –
NO Aplicativo Español (Magneticos) Delegada para el Sector de Minas y
FISCALIZACIÓN fiscalización que involucren grandes cantidades de dinero o Electrónico
CD: Archivos en
formato MS
excel.xls y PDF.
Papel
generalmente
carta y oficio.
INFORMES DE SEGUIMIENTO A LOS PLANES Informes de seguimiento a los seguimiento, control y vigilancia de los recursos Físico –
DE DESARROLLO planes de desarrollo que involucren grandes cantidades de dinero o Electrónico
CD: Archivos en
formato MS
excel.xls y PDF.
Papel
generalmente
carta y oficio.
INFORMES DE ANÁLISIS SISTÉMICO A LA Informes de análisis sistémico a seguimiento, control y vigilancia de los recursos Físico –
ADMINISTRACIÓN PÚBLICA la administración pública que involucren grandes cantidades de dinero o Electrónico
CD: Archivos en
formato MS
excel.xls y PDF.
153
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Un proceso sistemático que evalúa, acorde con las
Papel
normas de auditoría generalmente aceptadas
generalmente
carta y oficio.
fiscal y de los planes, programas, proyectos y/o Físico –
AUDITORIA SI Aplicativo Auditoría Español (Magneticos) Delegada para el Sector de Minas y
asuntos a auditar, mediante la aplicación de los Electrónico
CD: Archivos en
formato MS
excel.xls y PDF.
en la prestación de servicios o provisión de bienes
Forma de medir el impacto del proceso
Papel
auditor; cuantifica o cualifica el valor agregado
generalmente
generado por el ejercicio del control fiscal, bien se
carta y oficio.
trate de acciones evidenciadas, que correspondan
al seguimiento de acciones establecidas Físico –
BENEFICIOS DEL PROCESO AUDITOR SI Aplicativo Beneficios del proceso auditor Español (Magneticos) Delegada para el Sector de Minas y
en planes de mejoramiento o que sean producto de Electrónico
SIIGEP contenidos en Energía - Aplicativo SIRECI
observaciones, hallazgos,
CD: Archivos en
pronunciamientos o advertencias efectuados por la
formato MS
CGR y que exista una relación directa
excel.xls y PDF.
entre la acción de mejoramiento y el beneficio.
Se
Papel
encuentra
generalmente
n copias
carta y oficio.
de las
Electronicos Archivo de Gestión de la Gerenteía
comunicac Son Las comunicaciones oficiales de caracter Físico –
COMUNICACIONES INFORMATIVAS NO Comunicaciones informativas Español (Magneticos) Delegada para el Sector de Minas y
iones informativo enviadas y recibidas en soporte papel Electrónico
contenidos en Energía - Aplicativo SIGEDOC
enviadas y
CD: Archivos en
recibidas
formato MS
por el
excel.xls y PDF.
despacho
Papel
generalmente
carta y oficio.
Facultad para ejercer control fiscal posterior sobre Físico –
CONTROL EXCEPCIONAL NO NO Control excepcional Español (Magneticos) Delegada para el Sector de Minas y
cuentas de cualquier entidad territorial Electrónico
contenidos en Energía - Aplicativo SICA
CD: Archivos en
formato MS
excel.xls y PDF.
Papel
generalmente
carta y oficio.
Mediante Documentos relacionadas con denuncias, derechos Electronicos Archivo de Gestión de la Gerenteía
Documentos de origen Físico –
DOCUMENTOS DE ORIGEN CIUDADANO SI aplicativo de petición, acciones populares, tutelas y otras Español (Magneticos) Delegada para el Sector de Minas y
ciudadano Electrónico
SIPAR solicitudes contenidos en Energía - Aplicativo SIPAR
CD: Archivos en
formato MS
excel.xls y PDF.
Papel
generalmente
carta y oficio.
Función de investigación o indagación que se
requiera, por hechos relacionados contra los Físico –
INDAGACIONES PRELIMINARES NO aplicativo Indagaciones preliminares Español (Magneticos) Delegada para el Sector de Minas y
intereses patrimoniales del Estado y que Electrónico
SIREF contenidos en Energía - Aplicativo SIREF
comprometan recursos del mismo
CD: Archivos en
formato MS
excel.xls y PDF.
154
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Papel
generalmente
carta y oficio.
Página Documento mediante el cual se reporta la
Web y evaluación y/o gestión que se haya generado sobre Físico –
INFORME FINAL DE AUDITORIA SI Informe final de auditoria Español (Magneticos) Delegada para el Sector de Minas y
document diferentes procesos que se realizan dentro de la Electrónico
contenidos en Energía - Página Web
o físico entidad conforme la ley
CD: Archivos en
formato MS
excel.xls y PDF.
Papel
generalmente
carta y oficio.
Documento mediante el cual se reporta la
evaluación y/o gestión que se haya generado sobre Físico –
INFORMES DE GESTIÓN NO NO INFORMES DE GESTIÓN Español (Magneticos) Delegada para el Sector de Minas y
diferentes procesos que se realizan dentro de la Electrónico
entidad conforme la ley.
CD: Archivos en
formato MS
excel.xls y PDF.
Papel
generalmente
carta y oficio.
PROCESOS ADMINISTRATIVOS Procesos Administrativos Proceso mediante el cual se ejerce la potestad Físico –
NO SI Español (Magneticos) Delegada para el Sector de Minas y
SANCIONATORIOS Sancionatorios sancionadora Electrónico
CD: Archivos en
formato MS
excel.xls y PDF.
Papel
generalmente
carta y oficio.
Investigación que evalúa el impacto de una política Electronicos Archivo de Gestión de la Gerenteía
Físico –
ESTUDIOS E INVESTIGACIONES NO SI Estudios e investigaciones pública en términos de eficiencia y eficacia y no Español (Magneticos) Delegada para el Sector de Minas y
Electrónico
solo muestra los resultados alcanzados contenidos en Energía - Pagina Web
CD: Archivos en
formato MS
excel.xls y PDF.
ACTAS (COMITÉ DE EVALUACION Acta Documento Archivo de Gestión de la Gerenteía

SI Actas de comité técnico Actas de comité Técnico Español Fisico
SECTORIAL, COMITÉ TÉCNICO) s texto Delegada para el Medio Ambiente
Acta
Documento Archivo de Gestión de la Gerenteía
ACTAS AL CULMINAR LA GESTIÓN s SI Actas Culminación de la Gestión Actas Culminación de la Gestión Español Fisico
texto Delegada para el Medio Ambiente
Culm
Acta Actas de entrega de Actas de entrega de dependencia ya sea por Documento Archivo de Gestión de la Gerenteía
ACTAS DE ENTREGA DE DEPENDENCIA SI Español Fisico
s dependencia nombramiento o por finalización del periodo texto Delegada para el Medio Ambiente
Informes de Auditoria con tematica específica: Documento
ACTUACIONES ESPECIALES DE CONTROL Infor Actuaciones Especiales de Archivo de Gestión de la Gerenteía
SI Gestión Fiscal, de seguimiento, de Observatorios, de Español Fisico - Digital texto - Digital-
FISCAL mes Control Fiscal Delegada para el Medio Ambiente
consultas de información, de fiscalización entre SICA
Resol
PROCESOS (Administrativos Procesos administrativos Documento de Archivo de Gestión de la Gerenteía
ució SI Proceso sancionatorio Español Fisico-Digital
sancionatorios) sancionatorios Texto Delegada para el Medio Ambiente
n
Relac
iones
Técni
cas
solici
tada
so
que
requi Documento de Archivo de Gestión de la Gerenteía
RELACIONES TÉCNICAS CON EL CONGRESO SI Informes Técnicos al Congreso Informes Técnicos con temática específíca Español Fisico-Digital
era Texto Delegada para el Medio Ambiente
el
Cong
reso
en el
ámbi
to de
la
CGR
Supe
rvisi Documento de Archivo de Gestión de la Gerenteía
SUPERVISIÓN DE CONTRATOS SI Supervisión de Contratos Supervisión de Contratos Español Fisico
ón Texto Delegada para el Medio Ambiente
de
155
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB
Solici SER
SOLICITUDES DE AJUSTES AL PLAN tud Solicitud de ajuste al Plan Documento de Archivo de Gestión de la Gerenteía
SI Solicitud de ajuste al Plan General de Auditoria Español Fisico - Electrónico
GENERAL DE AUDITORÍA de General de Auditoria Texto Delegada para el Medio Ambiente
ajust
Cont
Documento
rol Archivo de Gestión de la Gerenteía
CONTROL EXCEPCIONAL SI Control Excepcional Control Excepcional Español Fisico-Digital texto - Digital-
Exce Delegada para el Medio Ambiente
SICA
pcio
Urge
ncia Documento de Archivo de Gestión de la Gerenteía
URGENCIA MANIFIESTA SI Urgencia Manifiesta Urgencia Manifiesta Español Fisico-Electrónico
Mani Texto Delegada para el Medio Ambiente
fiest
Acta
ACTAS (ACTAS DE SEGUIMIENTO AL PLAN s de Actas de seguimiento al Plan Actas de seguimiento al Plan General de Auditoria - Documento
SI Español Fisico-Digital Documento texto - Digital
GENERAL DE AUDITORIA - PGA segui General de Auditoria -PGA PGA texto - Digital
mien Informes de Auditoria con tematica específica:
Documento
ACTUACIONES ESPECIALES DE CONTROL Infor Actuaciones especiales de Gestión Fiscal, de seguimiento, de Observatorios, de Archivo de Gestión de la Gerenteía
SI Español Fisico-Digital texto - Digital-
FISCAL mes control fiscal consultas de información, de fiscalización entre Delegada para el Medio Ambiente
SICA
otros
Audi Auditorias. Los Informes de Apoyo Técnico, Documento
AUDITORÍA toria SI Auditorias Austeridad del gasto, de consolidación del control Español Fisico-Digital Texto - Digital-
Delegada para el Medio Ambiente
s interno SICA
Documento
Infor Archivo de Gestión de la Gerenteía
BENEFICIOS DEL PROCESO AUDITOR SI Beneficios del proceso auditor Beneficios del proceso auditor Español Fisico-Digital texto - Digital-
mes Delegada para el Medio Ambiente
SICA
Inda
gacio Documento de Archivo de Gestión de la Gerenteía
INDAGACIONES PRELIMINARES SI Indagación preliminar Indagación preliminar Español Físico
nes Texto Delegada para el Medio Ambiente
preli Asignación de trabajo, Actas de visita Fiscal,
Físico,
REPORTES DE OBSERVATORIO Repo Comunicaciones y respuestas de las entidades a Físico, electrónico - Archivo de Gestión de la Gerenteía
SI Reportes SICA Español electrónico -
(Documentos Electrónicos) rtes observaciones, Papeles de trabajo,Informe SICA Delegada para el Medio Ambiente
SICA
Trasl definitivo, Informe de muestreo, Informes técnicos
TRASLADO DE HALLAZGOS FISCALES, ado Traslado de Hallazgos Fiscales, Traslado de Hallazgos Fiscales, Penales y Documento de Archivo de Gestión de la Gerenteía
SI Español Físico - Electrónico
DISCIPLINARIOS Y PENALES de Penales y Disciplinarios Disciplinarios Texto-Digital Delegada para el Medio Ambiente
Halla
Acta Actas de
s de entrega de Actas de entrega de Documento texto - Documento Archivo de Gestión de la Gerenteía
ACTAS DE ENTREGA DE DEPENDENCIA Actas de entrega de dependencia Español
entr dependen dependencia Digital texto - Digital Delegada para el Medio Ambiente
ega
Actu cia
Actuacion
ACTUACIONES ESPECIALES DE CONTROL acio es Actuaciones Especiales de Documento texto - Documento Archivo de Gestión de la Gerenteía
Actuaciones Especiales de Control Fiscal Español
FISCAL nes Especiales Control Fiscal Digital texto - Digital Delegada para el Medio Ambiente
Espe
Apoy de Control
Apoyo al
APOYO AL PROCESO AUDITOR - o al proceso Apoyo al proceso auditor - Documento texto - Documento Archivo de Gestión de la Gerenteía
Apoyo al proceso auditor - diagnósticos sectoriales Español
DIAGNOSTICOS SECTORIALES proc auditor - diagnósticos sectoriales Digital texto - Digital Delegada para el Medio Ambiente
eso
Estu diagnóstic
Estudios e
dios investigaci
e ones
inves (Análisis
tigac sectorial y Estudios e investigaciones
iones politicas (Análisis sectorial y politicas Estudios e investigaciones (Análisis sectorial y
(Anál públicas, públicas, Análisis de proyectos politicas públicas, Análisis de proyectos de Ley, Documento texto - Documento Archivo de Gestión de la Gerenteía
ESTUDIOS E INVESTIGACIONES Español
isis Análisis de de Ley, Publicaciones en Publicaciones en revistas, en articulos, e Digital texto - Digital Delegada para el Medio Ambiente
secto proyectos revistas, en articulos, e instituciones)
rial y de instituciones)
politi Ley,Public
cas aciones en
públi revistas,
cas, en
156
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Infor Informes:
mes: (Sectoriale
(Sect s al
orial Congreso Informes: (Sectoriales al
es al sobre Congreso sobre Estado de los
Cong Estado de recursos naturales y medio Informes: (Sectoriales al Congreso sobre Estado de
reso los ambiente,Apoyo Técnico, de los recursos naturales y medio ambiente, Apoyo
Documento texto - Documento Archivo de Gestión de la Gerenteía
INFORMES sobr recursos Gestión, Información Técnico, de Gestión, Información Estrategica, Español
Digital texto - Digital Delegada para el Medio Ambiente
e naturales Estrategica, Evaluación y Evaluación y Calificación del Sistema de Control
Esta y medio Calificación del Sistema de Interno, Seguimiento a los Planes de Desarrollo)
do ambiente, Control Interno, Seguimiento a
de Apoyo los Planes de Desarrollo)
los Técnico,
recur de
sos Gestión,
Acta Actas de
ACTAS (COMITÉ DE EVALUACION Documento que contiene las conclusiones de la Documento de
s de comité Actas de comité técnico Español Físico Información pública
SECTORIAL, COMITÉ TÉCNICO) reunión realizada texto
comi técnico
Infor Informe Documento que recoge los resultados y
ACTUACIONES ESPECIALES DE CONTROL Informe final actuación especial Físico / Documento de
me final pronunciamientos de la actuación especial de Español Información pública
FISCAL de fiscalización Electrónico texto
de actuación fiscalización
Informe
Infor Documento que recoge los resultados y Físico / Documento de
INFORMES FINALES DE AUDITORIA final de Informe final de auditoria Español Información pública
mes pronunciamientos de la Auditoría Electrónico texto
auditoria
Com Comunicac
Documento de respuesta a las solcitudes del Documento de
RELACIONES TÉCNICAS CON EL CONGRESO unic iones Comunicaciones oficiales Español Físico Información pública
Congreso texto
acio oficiales
Diag Document
APOYO AL PROCESO AUDITOR - Documento de
nósti o con el Diagnósticos sectoriales Documento con el diagnóstico sectorial Español Físico Información pública
DIAGNOSTICOS SECTORIALES texto
cos diagnóstic
Documento que recoge los resultados y
ANALISIS SECTORIAL Y DE POLITICAS Infor Informe Análisis sectorial y de políticas Documento de
pronunciamientos de la Auditoría sobre el tema Español Físico Información pública
PUBLICAS me final públicas texto
evaluado
Solici Solicitud
SOLICITUDES DE AJUSTES AL PLAN tud de ajustes Solicitud de ajustes al plan de Documento que contiene la solicitud aprobada en Documento de
Español Físico Información pública
GENERAL DE AUDITORÍA de al plan de vigilancia y control fiscal Comité Técnico texto
ajust vigilancia
Resol
Documento de
URGENCIAS MANIFIESTAS ució Resolución Resolución Documento que contiene desición Español Físico Información pública
texto
n
Ofici Comunicac Documento mediante el cual se traslada a la
Comunicación oficial de traslado
TRASLADO DE HALLAZGOS FISCALES, o ión oficial autoridad competente la información relacionada Documento de
con incidencia fiscal, Español Físico Información pública
DISCIPLINARIOS Y PENALES remi de con el traslado según la posible incidencia texto
disciplinaria y penal
sorio traslado determinada en el informe final de auditoria,
Papel y Archivo de Gestión de la Gerenteía
ACTAS (COMITÉ DE EVALUACION Actas (comité de evaluación Físico y
NO NO No aplica Español documento Delegada para el Sector Defensa,
SECTORIAL, COMITÉ TÉCNICO) sectorial, comité técnico) electrónico
electrónico Justicia y Seguridad
ACTUACIONES ESPECIALES DE CONTROL Actuaciones especiales de Físico y
SÍ SÍ No aplica Español documento Delegada para el Sector Defensa,
FISCAL control fiscal electrónico
Físico y
CONTROL EXCEPCIONAL SÍ SÍ Control excepcional Control excepcional Español documento Delegada para el Sector Defensa,
electrónico
Físico y
INDAGACIONES PRELIMINARES NO NO Indagaciones Preliminares No aplica Español documento Delegada para el Sector Defensa,
electrónico
Físico y
INFORMES (Auditoria, congreso) SÍ SÍ Informes (Auditoria, congreso) Informes Español documento Delegada para el Sector Defensa,
electrónico
PROCESOS (Administrativos Procesos (Administrativos Físico y
NO NO Procesos (Administrativos sancionatorios) Español documento Delegada para el Sector Defensa,
sancionatorios) sancionatorios) electrónico
157
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Un proceso sistemático que evalúa, acorde con las
Papel
normas de auditoría generalmente aceptadas
generalmente
carta y oficio.
fiscal y de los planes, programas, proyectos y/o Físico –
AUDITORIA SI Aplicativo Auditoría Español (Magneticos) Delegada para el Sector de Minas y
asuntos a auditar, mediante la aplicación de los Electrónico
CD: Archivos en
formato MS
excel.xls y PDF.
en la prestación de servicios o provisión de bienes
Forma de medir el impacto del proceso
Papel
auditor; cuantifica o cualifica el valor agregado
generalmente
generado por el ejercicio del control fiscal, bien se
carta y oficio.
trate de acciones evidenciadas, que correspondan
al seguimiento de acciones establecidas Físico –
BENEFICIOS DEL PROCESO AUDITOR SI Aplicativo Beneficios del proceso auditor Español (Magneticos) Delegada para el Sector de Minas y
en planes de mejoramiento o que sean producto de Electrónico
SIIGEP contenidos en Energía - Aplicativo SIRECI
observaciones, hallazgos,
CD: Archivos en
pronunciamientos o advertencias efectuados por la
formato MS
CGR y que exista una relación directa
excel.xls y PDF.
entre la acción de mejoramiento y el beneficio.
Se
Papel
encuentra
generalmente
n copias
carta y oficio.
de las
comunicac Son Las comunicaciones oficiales de caracter Físico –
COMUNICACIONES INFORMATIVAS NO Comunicaciones informativas Español (Magneticos) Delegada para el Sector de Minas y
iones informativo enviadas y recibidas en soporte papel Electrónico
contenidos en Energía - Aplicativo SIGEDOC
enviadas y
CD: Archivos en
recibidas
formato MS
por el
excel.xls y PDF.
despacho
Papel
generalmente
carta y oficio.
Facultad para ejercer control fiscal posterior sobre Físico –
CONTROL EXCEPCIONAL NO NO Control excepcional Español (Magneticos) Delegada para el Sector de Minas y
cuentas de cualquier entidad territorial Electrónico
CD: Archivos en
formato MS
excel.xls y PDF.
Papel
generalmente
carta y oficio.
Mediante Documentos relacionadas con denuncias, derechos Electronicos Archivo de Gestión de la Gerenteía
Documentos de origen Físico –
DOCUMENTOS DE ORIGEN CIUDADANO SI aplicativo de petición, acciones populares, tutelas y otras Español (Magneticos) Delegada para el Sector de Minas y
ciudadano Electrónico
SIPAR solicitudes contenidos en Energía - Aplicativo SIPAR
CD: Archivos en
formato MS
excel.xls y PDF.
Papel
generalmente
carta y oficio.
Función de investigación o indagación que se
requiera, por hechos relacionados contra los Físico –
INDAGACIONES PRELIMINARES NO aplicativo Indagaciones preliminares Español (Magneticos) Delegada para el Sector de Minas y
intereses patrimoniales del Estado y que Electrónico
SIREF contenidos en Energía - Aplicativo SIREF
comprometan recursos del mismo
CD: Archivos en
formato MS
excel.xls y PDF.
158
REGI REGISTRO
MEDIO DE
Y/O SOPORTE
PUB SER
Físico y Electrónico y
INFORMES SÍ SÍ Informes Informes Español Delegada para el Sector Defensa,
electrónico papel
Justicia y Seguridad - Web

MATRIZ DE RIESGO DE SUJETOS DE Matriz de riesgo de sujetos de Físico y Electrónico y
NO SÍ Matriz de riesgo de sujetos de control Español Delegada para el Sector Defensa,
CONTROL control electrónico papel
Justicia y Seguridad
NOTA: Para la información suministrada en el Registro de Activos de Información y en el Índice de Información Clasificada y Reservada para cada
categoría de información, también aplica para las categorías de información o series y subseries documentales establecidas en las Tablas de
Retención Documental de las Gerencias Departamentales Colegiadas.
Consolidado por:
Bertha Cecilia Gonzalez Jimenez ___________________________________________________________

Directora Oficina de Comunicaciones y Publicaciones
Iván Alfononso Pertuz ___________________________________________________________

Director de Imprenta, Archivo y Correspondencia
159

Diagnostico para Determinar El Nivel de Seguridad y Privacidad de La Información Del (Inm)

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Diagnostico para Determinar El Nivel de Seguridad y Privacidad de La Información Del (Inm)

Cargado por

Copyright:

Formatos disponibles

DIAGNÓSTICO PARA DETERMINAR EL NIVEL DE SEGURIDAD Y PRIVACIDAD

DE LA INFORMACIÓN DEL INSTITUTO NACIONAL DE MUSEOS (INM)

EDDIE LUIS RADA GONZÁLEZ

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

EDDIE LUIS RADA GONZÁLEZ

Proyecto Investigativo Y Simulación Para Optar El Título De Especialista En

Ingeniero: Salomón González García

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Presidente del Jurado

Bogotá 20 de Noviembre del 2016

A mis padres por el apoyo y motivación contaste en esta especialización, la cual

1.1 OBJETIVO GENERAL..................................................................................... 19

1.2 OBJETIVOS ESPECÍFICOS............................................................................19

3. PLANTEAMIENTO DEL PROBLEMA................................................................21

5.1 MARCO TEÓRICO..........................................................................................23

5.1.1 Seguridad de la información modelo PDCA..................................................26

5.1.3 Ciclo de operación del modelo de seguridad y privacidad de la información.

5.1.4 Fase De Diagnóstico.....................................................................................29

5.2 MARCO CONCEPTUAL..................................................................................31

5.2.1 Tipos de amenazas informáticas...................................................................34

5.3 MARCO LEGAL.............................................................................................. 36

6. DIAGNÓSTICO BASADO EN LA NORMA ISO 27001:2013..............................40

6.1 IDENTIFICAR EL ESTADO ACTUAL, CON REFERENCIA A LA SEGURIDAD

6.1.1 Apoyo de la alta dirección.............................................................................41

6.1.2 Definición de responsabilidades y roles de seguridad..................................42

6.1.2.1 Etapa I. Identificar roles y responsabilidades.............................................42

6.1.2.2 Establecimiento del plan estratégico de seguridad de la información........46

6.1.2.3 Objetivos estratégicos del instituto.............................................................46

6.1.2.4 Implementación de una herramienta para gestionar el SGSI.....................46

6.2 LEVANTAMIENTO DE INFORMACIÓN..........................................................47

6.2.1 Dominio 5. Políticas de seguridad de la información.....................................48

6.2.3 Dominio 7. Seguridad ligada a los recursos humanos..................................50

6.2.4 Dominio 8. Gestión de activos.......................................................................51

6.2.5 Dominio 9. Control de accesos......................................................................52

6.2.6 Dominio 10. Criptografía............................................................................... 53

6.2.7 Dominio 11. Seguridad física y ambiental.....................................................54

6.2.8 Dominio 12. Gestión de operaciones............................................................55

6.2.9 Dominio 13. Seguridad en las comunicaciones.............................................56

6.2.10 Dominio14. Adquisición, desarrollo y mantenimiento de sistemas..............57

6.2.11 Dominio 15. Relación con proveedores.......................................................58

6.2.12 Dominio 16. Gestión de incidentes de seguridad de la información............59

6.2.13 Dominio 17. Aspectos de seguridad de la información de la gestión de la

6.2.14 Dominio 18. Cumplimiento..........................................................................61

6.2.15 Resultado de entrevista para identificar el estado actual............................62

6.3 EVALUACIÓN DE APLICABILIDAD................................................................63

6.4.1 Definición de puntajes..................................................................................70

6.5 ESTRATIFICACIÓN DE LA ENTIDAD............................................................72

7. IDENTIFICACIÓN Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN.......76

7.1 TIPOLOGÍAS DE LOS ACTIVOS DE INFORMACIÓN...................................77

7.2 IDENTIFICAR LOS ACTIVOS DE INFORMACIÓN.........................................78

7.3 CLASIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN..............................78

7.4 EVALUACIÓN DE AMENAZAS Y RIEGOS DE SEGURIDAD........................87

8. DISEÑO DE LAS PRUEBAS TÉCNICAS DE EFECTIVIDAD............................98

8.1 PRUEBAS Y ANÁLISIS...................................................................................98

8.1.1Tipo de pruebas de efectividad......................................................................99

8.1.2 Alcance de las pruebas.................................................................................99

9.1 RESULTADOS INGENIERÍA SOCIAL INTERNA.........................................101

9.2 RESULTADOS ANÁLISIS DE VULNERABILIDADES CON ACUNETIX......103

12. RECOMENDACIONES GENERALES DE MEJORA Y REMEDIACIÓN........111

12.1 RECOMENDACIONES A NIVEL DE INFRAESTRUCTURA......................111

12.2 RECOMENDACIONES A NIVEL DE SOFTWARE.....................................112

12.3 RECOMENDACIONES A NIVEL DE APLICACIONES................................112

12.4 RECOMENDACIONES A NIVEL DE INGENIERÍA SOCIAL........................113