Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Se deben identificar los requisitos y necesidades de las partes interesadas teniendo en cuenta la siguiente jerarquía:
1. Requisitos legales
2. Requisitos regulatorios y reglamentarios
3. Requisitos organizacionales (Contractuales y técnicos) y de Seguridad de la Información
PARTES INTERESADAS
REQUISITOS LEGALES
MinTIC
Congreso de la República
Congreso de la República
Congreso de la República
Congreso de la República
Presidencia de la República
Presidencia de la República
Secretaria General
Alcaldía Mayor de Bogotá
El Consejo Nacional de Política Económica y
Social, CONPES
El Consejo Nacional de Política Económica y
Social, CONPES
REQUISITOS ORGANIZACIONALES Y DE SEGURIDAD DE LA INFORMACIÓN
Ciudadanos
Ciudadanos
Ciudadanos
Funcionarios, contratistas, visitantes
Director del IDRD
Director del IDRD
es Interesadas
ios
uales y técnicos) y de Seguridad de la Información
REQUISITOS
REQUISITOS LEGALES
Gobierno en Línea – Seguridad y Privacidad de la Información
Ley 1712 de 2014. Ley de Transparencia y del Derecho de Acceso a la
Información Pública Nacional
Ley 1581 de 2012. Por la cual se dictan disposiciones generales para la
protección de datos personales
Ley 1266 de 2008. Por la cual se dictan las disposiciones generales del hábeas
data y se regula el manejo de la información contenida en bases de datos
personales, en especial la financiera, crediticia, comercial, de servicios y la
proveniente de terceros países y se dictan otras disposiciones.
Ley 527 de 1999. Por medio de la cual se define y reglamenta el acceso y uso
de los mensajes de datos, del comercio electrónico y de las firmas digitales, y
se establecen las entidades de certificación y se dictan otras disposiciones.
REQUISITOS REGLAMENTARIOS Y REGULATORIOS
Decreto 103 de 2015. Reglamenta parcialmente la Ley 1712 de 2014
Decreto 1377 de 2013. Por el cual se reglamenta parcialmente la Ley 1581 de
2012.
Decreto 886 de 2014. Por el cual se reglamenta el artículo 25 de la Ley 1581 de
2012, relativo al Registro Nacional de Bases de Datos.
Circular Externa 001 del 11 de Enero de 2017. Modifica los numerales 2.2, 2.3,
2.6 y 2.7 del Capítulo Segundo del Título V de la Circular Única de la
Superintendencia de Industria y Comercio.
Gestión de Talento
Humano
Manejo inadecuado de terminación o
9
cambio de empleo
Adquisición de Bienes y
Servicios
Contratación de
funcionarios/contratistas/proveedores con
Gestión del Talento
10 antecedentes penales, disciplinarios y/o
Humano
financieros para cargos críticos de la
entidad
Gestión de Talento
No devolución de uno o varios activos de
11 Humano y Adquisición de
información
Bienes y Servicios
Gestión de Tecnología de
Uso de la misma identidad de usuario por
19 la Información y las
dos o más personas
Comunicaciones
19 la Información y las
dos o más personas
Comunicaciones
Gestión de Tecnología de
Contraseñas por defecto, del fabricante, en
20 la Información y las
software y firmware de la entidad
Comunicaciones
Gestión de Tecnología de
Aplicaciones críticas para el IDRD con
22 la Información y las
procedimientos de ingreso inseguro
Comunicaciones
Gestión de Tecnología de
Acceso no autorizado a códigos fuente de
25 la Información y las
programas
Comunicaciones
Gestión de Tecnología de
26 Uso de controles criptográficos débiles la Información y las
Comunicaciones
Gestión de Tecnología de
Daños en los equipos y/o interrupciones
29 la Información y las
del servicio
Comunicaciones
Gestión de Tecnología de
Daño de información y/o instalaciones de
30 la Información y las
procesamiento de información
Comunicaciones
Gestión de Tecnología de
Fuga de información por pérdida o robo de
33 la Información y las
equipos fuera de las instalaciones
Comunicaciones
Gestión de Tecnología de
Fuga de información por pérdida o robo de
33 la Información y las
equipos fuera de las instalaciones
Comunicaciones
Gestión de Tecnología de
Fallas en sistemas o en la seguridad de los
37 la Información y las
mismos debido a malas configuraciones
Comunicaciones
Gestión de Tecnología de
Inadecuada o inexistente gestión de
38 la Información y las
capacidad
Comunicaciones
Gestión de Tecnología de
Acceso o cambios no autorizados en
40 la Información y las
ambiente de producción
Comunicaciones
Gestión de Tecnología de
Acceso no autorizado y/o alteración de
42 la Información y las
registros de eventos
Comunicaciones
Gestión de Tecnología de
43 Logs de auditoría inexactos la Información y las
Comunicaciones
Gestión de Tecnología de
44 Software con vulnerabilidades conocidas la Información y las
Comunicaciones
Afectación (alteración de información,
Gestión de Tecnología de
interrupción del servicio) en los sistemas
45 la Información y las
operacionales producto de auditorías a los
Comunicaciones
mismos.
Gestión de Tecnología de
Acceso no autorizado a las redes de la
46 la Información y las
entidad
Comunicaciones
Gestión de Tecnología de
Software con vulnerabilidades conocidas
48 la Información y las
debido a malas prácticas de desarrollo
Comunicaciones
Gestión de Tecnología de
Fuga de información a través de
57 la Información y las
herramientas de computación en la nube
Comunicaciones
Gestión de Tecnología de
la Información y las
Comunicaciones
Cambios locativos orientados a oficinas
abiertas poniendo en riesgo la
Gestión de Talento
62 confidencialidad, integridad y disponibilidad
Humano
de las instalaciones de procesamiento de
información (área de sistemas)
Gestión Financiera
Gestión Documental
Incumplimiento de responsabilidades de
64 Todos los procesos
seguridad de la información
69
70
71
72
73
74
75
76
77
78
79
80
LA INFORMACIÓN
CONSECUENCIAS
CAUSA DEL RIESGO
POTENCIALES
1. Decisiones erróneas
2. Pérdida total/parcial de
información
1. Falta de capacitación, toma de
conciencia, educación y formación 3. Fuga de información
en seguridad de la información
4. Incidenes de Seguridad de la
Información
5. Sanciones
6. Ausencia de requisitos de
seguridad de la información en
acuerdos contractuales con
contratistas/proveedores
1. Desconocimiento de las
autoridades a las cuales reportar 1. Sanciones y/o multas
incidentes de seguridad de la
información 2. Ataques no sancionados.
2. Fuga de información
1. Falta de integración de seguridad
de la información a los métodos de
3. Demoras y/o interrupción del
gestión de proyectos de la entidad.
servicio
1. Ausencia de mecanismos de
protección contra códigos
maliciosos
1. Falta de cláusulas de
confidencialidad en acuerdos
contractuales o acuerdos de
confidencialidad firmados por parte
de funcionarios/contratistas
1. Fuga de información
2. Falta de cláusulas contractuales
que indiquen los términos y 2. Sanciones
condiciones del contrato que
continúan durante un período
determinado después de finalizado
el contrato de funcionarios y/o
contratistas
1. Fuga de información
2. Pérdida parcial/total de
1. Desconocimiento de los riesgos información
de seguridad de la información que
implica el manejo inadecuado de 3. Abuso de derechos
cambio de empleo de los
funcionarios y/o contratistas 4. Sanciones
2. Fuga de información
1. Medios removibles infectados
3. Pérdida total/parcial de
2. Unidades de medios removibles información
habilitadas en todos los equipos de
cómputo 4. Demoras y/o interrupción del
servicio
5. Sanciones o multas
1. Fuga de información
1. Disposición no segura de medios
removibles
2. Pérdida total/parcial de
información
2. Medios removibles que contienen
información sensible, no cifrados
3. Sanciones o multas
2. Abuso de privilegios
1. Ausencia de controles
adecuados para la asignación de 3. Acceso no autorizado
derechos de acceso privilegiado.
4. Fuga de información
2. Ausencia de política s para el
uso adecuado de derechos de 5. Pérdida total/parcial de
acceso privilegiado información
1. Abuso de privilegios
2. Acceso no autorizado
1. Acceso no autorizado
1. Ausencia de una política
2. Fuga de información
implementada de cambio de
configuraciones por defecto del
3. Pérdida total/parcial de
software y firmware utilizado en la
información
entidad antes de sacarlo a
producción
4. Demoras y/o interrupción del
servicio
1. Acceso no autorizado
1. Ausencia de una política
implementada de retiro o ajuste de 2. Fuga de información
los derechos de acceso
3. Pérdida total/parcial de
2. Ausencia de controles información
adecuados para el retiro o ajuste de
los derechos de acceso 4. Demoras y/o interrupción del
servicio
1. Acceso no autorizado
2. Fuga de información
1. Envío de credenciales en texto
3. Pérdida total/parcial de
claro por la red
información
1. Ausencia de política s
relacionadas con el uso de 1. Fuga de información
contraseñas por parte de los
usuarios. 2. Pérdida total/parcial de
información
2. Incumplimiento de las políticas
definidas por parte de la entidad 3. Demoras y/o interrupción del
para el uso de contraseñas por servicio
parte de los usuarios
1. Fuga de información
1. Ausencia de política s adecuadas
2. Pérdida total/parcial de
implementadas para controlar el
información
uso de programas utilitarios
privilegiados
3. Demoras y/o interrupción del
servicio
1. Introducción de funcionalidades
1. Ausencia de mecanismo
no autorizadas
apropiados para el control de
acceso a códigos fuente de
2. Cambios involuntarios
programas
3. Fuga de información
2. Ausencia de registros de
auditoría de acceso a los códigos
4. Pérdida total/parcial de
fuente de programas
información
1. Fuga de información
3. Fraude
1. Fuga de información
1. Ausencia de política s para el
2. Ataques MiTM (Man in The
uso, protección y tiempo de vida de
Middle)
controles criptográficos
3. Fraude
1. Ausencia de mecanismos
formales de autorizacíón para el
1. Fuga de información
retiro de equipos, información o
software.
2. Pérdida total/parcial de
información
2. Falta de socialización de los
mecanismos de autorización para el
3. Pérdida o robo del equipo
retiro de equipos, información o
software
1. Fuga de información
1. Ausencia de mecanismo de
protección de equipos fuera de las
2. Pérdida total/parcial de
instalaciones
información
1. Fuga de información
1. Ausencia de mecanismo de
protección de equipos fuera de las
2. Pérdida total/parcial de
instalaciones
información
1. Ausencia de controles de
borrado seguro de información o
destrucción de medios de 1. Fuga de información
almacenamiento de equipos antes
de su disposición o reuso
1. Vacaciones
1. Demoras y/o interrupción del
2. Incapacidad
servicio
3. Retiro laboral
1. Fuga de información
1. Falta de separación de
ambientes de desarrollo, pruebas y
2. Demoras y/o interrupciones del
producción
servicio
1. Fuga de información
2. Fuga de información
1. Controles inadecuados de
3. Demoras y/o interrupciones del
seguridad en redes
servicio
4. Pérdida total/parcial de
información
1. Acceso no autorizado
2. Fuga de información
1. Ausencia de un procedimiento
formal de gestión de incidentes
3. Pérdida total/parcial de
información
2. Ausencia de un procedimiento de
recolección de evidencia que
4. Demoras y/o interrupciones del
permita darle validez jurídica a la
servicio
misma
5. Ataques a la entidad sin
judicialización
2. Fuga de información
1. Ausencia de un procedimiento
formal de gestión de incidentes
3. Pérdida total/parcial de
información
2. Ausencia de un procedimiento de
recolección de evidencia que
4. Demoras y/o interrupciones del
permita darle validez jurídica a la
servicio
misma
5. Ataques a la entidad sin
judicialización
1. Incidentes de seguridad de la
información
1. Falta de seguimiento a la
prestación de servicios por aprte de 2. Fuga de información
proveedores/contratistas
3. Pérdida total/parcial de
información
1. Interrupciones no planificadas en
TI
1. Demoras y/o interrupciones del
servicio
2. Ciberataques
2. Fuga de información
3. Interrupción de servicios de
suministro tales como electricidad o
3. Pérdida total/parcial de
red
información
4. Amenazas ambientales
1. Sanciones
1. Desconocimiento de la ley o
alguno(s) de sus componente(s) 2. Procesos disciplinarios y/o
requerimientos de entes de control
1. Acceso no autorizado
1. Ausencia de mecanismos de
revisión periódica de la 1. Sanciones o multas
conveniencia, la adecuación y la
eficacia del enfoque de seguridad 2. Procesos disciplinarios y
de la información. requerimientos de entes de control
1. Ausencia de controles
adecuados para controlar la
1. Fuga de información
transferencia de información a
través de herramientas en la nube
1. Desconocimiento de política s y
procedimientos de seguridad de la 1. Fuga de información
información
2. Pérdida parcial/total de
2. Funcionarios/contratistas información
disgustados o malintencioandos
3. Sanciones o multas
3. Ciberataques
4. Procesos disciplinarios y/o
4. Robo físico de documentación o requerimientos de entes de control
equipos de cómputo
1. Fuga de información
1. Espacio insuficiente en el área
2. Pérdida total/parcial de
de archivo central y archivos de
información
gestión
3. Sanciones o multas
1. Fuga de información
1. Espacio insuficiente en el área
2. Pérdida total/parcial de
de archivo central y archivos de
información
gestión
3. Sanciones o multas
1. Fuga de información
1. Directriz de la dirección de
2. Pérdida total/parcial de
implementar cambios locativos
información
orientados a oficinas abiertas
3. Sanciones o multas
1. Decisiones erróneas
2. Pérdida total/parcial de
información
1. Falta de capacitación formal y no
formal en temas relacionados con 3. Fuga de información
la Ley 1581 de 2012
4. Incidentes de Seguridad de la
Información
1. Sanciones y/o multas
1. Responsabilidades de seguridad
5. Sanciones
de la información sin asignar
2. Procesos disciplinarios y
requerimientos de entes de control
2. Falta de comunicación de las
responsabilidades de seguridad de
3. Incidentes de seguridad de la
la información a todas las personas
información
1. Pérdida total/parcial de
información
1. Bases de datos de contratistas
descentralizada 2. Fuga de información
3. Sanciones o multas
1. Debilidades en el proceso de
1. Fuga de información
validación de identidades de las
personas que realizan peticiones
2. Sanciones o multas
relacionadas con datos personales
1. Fuga de información
3. Sanciones o multas
1. Ausencia de autorización por
parte de titulares cuya información
reposa en las bases de datos del
IDRD.
4. Falta de comunicación de
finalidades de tratamiento de datos
personales a los titulares
Riesgo Inicial (teniendo en cu
actuales)
CONTROLES EXISTENTES
PROBABILIDAD
(1-5)
3
A.7.2.3. Manual de política s numeral 7.4.5 relacionado con sanciones
A.6.1.5 - A.7.2.3. Cláusulas de confidencialidad en acuerdos contractuales
con contratistas/proveedores
5
A.15.1.3 - A.6.1.5. Cláusulas de confidencialidad en acuerdos contractuales
con contratistas/proveedores
3
A.12.3. Los backups de las bases de datos se generan diariamente y de
forma automática a la 1.00 p.m. y a las 7 p.m. de acuerdo con lo establecido 3
en el INSTRUCTIVO PARA REALIZAR BACK UP DE LAS BASES DE
DATOS.
3
3
4
A.9.4.4 - A.9.4.4 - A.12.5.1 - A.12.6.2. La mayoría de usuarios tienen
cuentas estándar que les restringe la instalación de programas utilitarios
privilegiados y limita las acciones que peden enviar al sistema operativo
desde la línea de comandos
3
3
3
A.12.1.1. Procedimiento de monitoreo
A.12.1.1. Procedimiento de soporte técnico de hardware y software
A.12.1.1. Procedimiento de gestión de actualizaciones y desarrollos de
software
A.12.1.1. Topología de red documentada
4
A.13.1.1. Procedimiento de monitoreo
Las aplicaciones core del negocio tales como cactus, seven y orfeo se tienen
activados los registros de eventos.
A.12.4.4. Los relojes están sincronizados con un servidor NTP por medio del
directorio activo.
2
5
3
3
A.13.2.3 - A.14.1.2. Análisis de virus para correos provisto por Gmail
3
A.7.2.2. Procedimiento de Capacitación y Formación implementado
3
3
4
4
4
A.18.1.4. Consentimiento para la intervención en el área de ciencias
aplicadas al deporte con adultos
4
consecuenc
ia
o Inicial (teniendo en cuenta los controles
actuales)
MEDIDA DE
CONTROLES ISO
TRATAMIENTO
IMPACTO NIVEL DE RIESGO 27001:2013
DEL RIESGO
(1-5) (P*I)
A.5.1.1
2 Err:520 Reducir
A.5.1.2
2 Err:520 Reducir A.6.1.1
A.7.2.1
3 Err:520 Reducir
A.7.2.2
A.5.1.1
A.5.1.2
A.6.1.2
A.7.2.3
A.8.1
A.8.2
4 Err:520 Reducir
A.8.3.3
A.13.2.2
A.13.2.4
A.15.1.1
A.15.1.2
A.15.1.3
A.6.2
3 Err:520 Reducir A.7.2.3
A.12.2
A.7.1.2
4 Err:520 Reducir A.7.2.1
A.7.3.1
A.7.2.1
3 Err:520 Reducir
A.7.3
A.7.2.1
3 Err:520 Aceptar
A.7.1.1
A.8.1.4
3 Err:520 Aceptar
A.12.3
A.8.3.1
A.12.2
4 Err:520 Reducir
A.13.1.1
A.13.1.2
A.8.3.1
4 Err:520 Reducir A.8.3.2
A.13.1.1
A.9.1.1
A.9.1.2
A.9.2.1
A.9.2.2
4 Err:520 Reducir A.9.2.4
A.9.4.1
A.13.1.1
A.13.1.2
A.13.1.3
A.9.1.1
A.9.1.2
4 Err:520 Reducir
A.9.2.3
A.9.4.1
A.9.1.1
3 Err:520 Reducir A.9.1.2
A.9.4.1
3 Err:520 Reducir A.9.1.2
A.9.4.1
A.9.1.2
4 Err:520 Reducir
A.9.2.4
A.9.2.5
4 Err:520 Reducir A.9.2.6
A.9.4.1
A.9.4.2
4 Err:520 Reducir A.13.1.1
A.13.1.2
A.9.1.1
A.9.4.5
3 Err:520 Reducir
A.12.3
A.13.1.3
A.10.1.1
4 Err:520 Reducir A.14.1.2
A.14.1.3
A.10.1.1
A.10.1.2
4 Err:520 Reducir
A.14.1.2
A.14.1.3
A.11.1.4
3 Err:520 Reducir A.11.2.1
A.12.3
A.11.2.6
3 Err:520 Reducir
A.12.3
A.11.2.6
3 Err:520 Reducir
A.12.3
A.12.1.1
3 Err:520 Reducir A.12.1.2
A.12.1.3
A.11.2.8
4 Err:520 Reducir
A.11.2.9
A.12.4.2
3 Err:520 Reducir
A.12.4.3
A.12.6.1
4 Err:520 Reducir
A.6.1.4
3 Err:520 Reducir A.12.7
A.13.1.1
A.13.2.1
4 Err:520 Reducir
A.14.1.2
A.14.1.3
A.13.2.3
4 Err:520 Reducir
A.14.1.2
A.13.2.3
4 Err:520 Reducir
A.14.1.2
A.14.1.1
4 Err:520 Reducir
A.14.2
A.18.2.1
4 Err:520 Reducir
A.18.2.2
A.13.1.1
4 Err:520 Reducir A.14.1.2
A.14.1.3
A.11.1.2
A.11.1.3
3 Err:520 Reducir
A.11.1.5
A.11.2.1
A.7.2.2
4 Err:520 Reducir
A.18.1.1
4 Err:520 Reducir
3 Err:520 Reducir
3 Err:520 Reducir
A.11.1.3
4 Err:520 Reducir A.11.1.5
A.11.2.1
A.18.1.1
4 Err:520 Reducir
A.18.1.4
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
ACCIONES DEL PLAN DE TRATAMIENTO FECHA
30/06/2017 se
Actualizar el manual de política s de seguridad de la información para ampliar el
modifica
alcance a toda la Entidad en lugar de Tecnología Informatica unicamente
30/06/2020
30/06/2017
se modifica
Aprobar la política general, el alcance, los objetivos de seguridad de la
30/06/2018
información y el manual de política s de seguridad de la información
se modifica
15/09/2019
31/07/2017
se modifica
Socializar e implementar el nuevo manual de políticas de seguridad de la
30/12/2018
información
se modifica
31/12/2019
31/08/2017
Asignar responsabilidades de seguridad de la información en manuales de
se modifica
funciones y/o contratos, así como también las responsabilidades genéricas de
30/06/2018
seguridad de la información en el manual de política s de seguridad de la
se modifica
información.
30/06/2020
30/06/2017
Actualizar procedimiento de capacitación Y formación para incluir aspectos
se modifica
relacionados con seguridad de la información
31/12/2019
20/02/2019
Ejecutar y hacer seguimiento al plan anual de capacitación, educación (formal y
se modifica
no formal) y formación en seguridad de la información
31/12/2019
31/07/2017
Socializar e implementar procedimiento de clasificación, etiquetado y manejo de
se modifica
la información
30/12/2018
30/06/2017
Documentar un inventario de activos de información y valorar los activos con el
se modifica
fin de determinar los niveles de protección requeridos
30/06/2018
Hacer seguimiento a los riesgos y controles aplicados para tratar los riesgos,
6/30/2017
durante todas las fases del proyecto (política s de seguridad de la información)
14/07/2017
Aprobar el manual de política s de seguridad de la información actualizado se modifica
30/06/2018
31/07/2017
Socializar e implementar el nuevo manual de política s de seguridad de la
se modifica
información
30/12/2018
31/07/2017
Incluir acuerdos de confidencialidad con funcionarios y contratistas se modifica
30/06/2018
31/07/2017
Socializar e implementar el procedimiento nuevo o los procedimientos
se modifica
actualizados
30/12/2018
14/07/2017
Aprobar el manual de política s de seguridad de la información actualizado se modifica
30/06/2018
31/07/2017
Socializar e implementar el nuevo manual de política s de seguridad de la
se modifica
información
30/12/2018
14/07/2017
Aprobar el manual de política s de seguridad de la información actualizado se modifica
30/06/2018
31/07/2017
Socializar e implementar el nuevo manual de política s de seguridad de la
se modifica
información
30/12/2018
14/07/2017
Aprobar el manual de política s de seguridad de la información actualizado se modifica
30/06/2018
31/07/2017
Socializar e implementar el nuevo manual de política s de seguridad de la
se modifica
información
30/12/2018
Realizar cambios en la arquitectura de red de forma tal que el tráfico interno 29/12/2017
desde y hacia la VLAN de servidores pase a través del dispositivo de seguridad se modifica
perimetral 30/12/2018
Definir política donde se exija el uso de cuentas con privilegios mínimos para
labores operativas y uso de cuentas privilegiadas solo para labores específicas.
Por ejemplo, uso de cuenta con privilegios reducidos para monitoreo del 6/30/2017
dispositivo de seguridad perimetral y uso de cuenta privilegiada únicamente para
realizar cambios en la configuración del mismo.
14/07/2017
Aprobar el manual de política s de seguridad de la información actualizado se modifica
30/06/2018
31/07/2017
Socializar e implementar el nuevo manual de política s de seguridad de la
se modifica
información
30/12/2018
14/07/2017
Aprobar el manual de política s de seguridad de la información actualizado se modifica
30/06/2018
31/07/2017
Socializar e implementar el nuevo manual de política s de seguridad de la
se modifica
información
30/12/2018
Definir política de cambio de configuraciones por defecto del software y firmware
6/30/2017
utilizado en la entidad antes de ponerlo en producción
14/07/2017
Aprobar el manual de política s de seguridad de la información actualizado se modifica
30/06/2018
31/07/2017
Socializar e implementar el nuevo manual de política s de seguridad de la
se modifica
información
30/12/2018
14/07/2017
Aprobar el manual de política s de seguridad de la información actualizado se modifica
30/06/2018
31/07/2017
Socializar e implementar el nuevo manual de política s de seguridad de la
se modifica
información
30/12/2018
14/07/2017
Aprobar el manual de política s de seguridad de la información actualizado se modifica
30/06/2018
31/07/2017
Socializar e implementar el nuevo manual de política s de seguridad de la
se modifica
información
30/12/2018
14/07/2017
Aprobar el manual de política s de seguridad de la información actualizado se modifica
30/06/2018
31/07/2017
Socializar e implementar el nuevo manual de política s de seguridad de la
se modifica
información
30/12/2018
29/12/2017
Compra y ubicación de sensores para controlar las condiciones ambientales
Se modifica
(temperatura, humedad) apropiadas para el datacenter
30/06/2018
28/07/2017
Socializar e implementar procedimientode gestión de cambios se modifica
30/06/2018
12/31/2019
14/07/2017
Aprobar el manual de política s de seguridad de la información actualizado se modifica
30/06/2018
31/07/2017
Socializar e implementar el nuevo manual de política s de seguridad de la
se modifica
información
30/12/2018
Implementar una DMZ y ubicar allí los servidores que publican servicios hacían 6/30/2018
Internet.
14/07/2017
Aprobar el manual de política s de seguridad de la información actualizado se modifica
30/06/2018
31/07/2017
Socializar e implementar el nuevo manual de política s de seguridad de la
se modifica
información
30/12/2018
14/07/2017
Aprobar el manual de política s de seguridad de la información actualizado se modifica
30/06/2018
31/07/2017
Socializar e implementar el nuevo manual de política s de seguridad de la
se modifica
información
30/12/2018
Definir un Plan de continuidad del Negocio, que tenga en cuenta no sólo los
30/06/2017
recursos tecnológicos, sino también los demás activos de información, los
se modifica
procesos críticos del IDRD, y que incluya la continuidad de la seguridad de la
30/06/2018
información.
31/12/2018
Implementar el plan de continuidad de negocio se modifica
31/12/2019
Realizar pruebas periódicas (al menos anualmente) al plan de continuidad de
6/30/2019
negocio
31/08/2017
Socializar e Implementar política de revisión periódica de sistemas de
se modifica
información
30/12/2018
Realizar auditorías internas al SGSI de la entidad periódicamente (al menos una vez al
año) 7/19/2017
Definir política de revisión (al menos una vez al año) por la dirección 6/30/2017
14/07/2017
Aprobar el manual de política s de seguridad de la información actualizado se modifica
30/06/2018
31/07/2017
Socializar e implementar el nuevo manual de política s de seguridad de la
se modifica
información
30/12/2018
Implementar controles de transferencia de información en la nube mediante
12/31/2018
soluciones tipo DLP (Data Loss Prevention)
Construir una bodega para archivo central con espacio suficiente para almacenar
12/31/2018
la información del IDRD
Realizar adecuación para el uso de las actuales oficinas de archivo central como
3/30/2019
archivos de gestión.
Realizar el traslado del archivo de gestión almacenado en las oficinas hacia el
6/30/2019
nuevo archivo de gestión
Manual de Seguridad y
Privacidad de la
información.
Manual de politicas de
seguridad de la
ifnormación
No se ha formalizado la
aprobacion
Socialización de SGSI en
el año 2017 Segundo
semestre
En los contratos se
definieron clausulas para
el cumplimiento del SGSI
Se incluye politica en el
manual de politicas
numeral
6.4.2.Capacitación y
Entrenamiento en
Seguridad de la
Información
Se incluye politica en el
manual de politicas
numeral 6.2.2 Separación
de Deberes
Se incluye politica en el
manual de politicas
numeral 6.5.3 Uso
aceptable de los activos
Inventario de activos de
información actualizado
para los 7 procesos del
alcance
DRIVE: carepeta
"Procedimientos/Gestión
Directorio deIventario
de activos/ autoridades
de
y grupos de interes
activos de información"
DRIVE: carpeta "Politica,
confidencialidad y
directorio de interes"
gestión de incidentes
publicado en isolución.
Se incluye politica en el
manual de politicas
numeral 6.2.4. Seguridad
de la Información en la
Gestión de Proyectos
Se incluye
DRIVE: politica
carpeta en el
Manual
manual de politicas
de Politicas
numeral 6.2.4. Seguridad
de la Información en la
Gestión de Proyectos
Se incluye
DRIVE: politica
carpeta en el
Manual
manual de politicas
de Politicas
numeral 6.2.4. Seguridad
de la Información en la
Gestión de Proyectos
Se incluye
DRIVE: politica
carpeta en el
Manual
manual de politicas
de Politicas
Medidas a Adoptar en
Caso de Incumplimiento
pendon publicado
Socialización de SGSI en
el año 2017 Segundo
semestre
En los contratos se
definieron clausulas para
elSe
cumplimiento del en
incluye politica SGSI
el
manual de politicas
numeral 6.18.1. Seguridad
de la información en las
relaciones con los
Proveedores
DRIVE: carpeta
"procedimiento/TH"
Se incluye politica en el
manual de politicas
numeral 6.18.1. Seguridad
de la información en las
relaciones con los
Proveedores
La oficina de atención al
ciudadano realiza
seguimiento periodico de
implementación. (Nicolas
Amortegui)
Se encuentra definida en
el manual de tratamiento
de datos personales
publicado en isolución
Se incluye politica en el
manual de politicas
numeral 6.5.6. Gestión de
Medios Removibles
Socialización de SGSI en
el año 2017 Segundo
semestre
Se incluye politica en el
manual de politicas
numeral 6.5.6. Gestión de
Medios Removibles
Socialización de SGSI en
el año 2017 Segundo
semestre
Se incluye politica en el
manual de politicas
numeral 6.6.1. política de
Control de Acceso
Socialización de SGSI en
el año 2017 Segundo
semestre
Listas de asistencia
Se incluye politica enque
el
reposan en el archivo
manual de politicas de
numeralla dependecia
6.6.3. Gestión de
Acceso de Usuarios
DRIVE: carpeta
Socialización Manual
de SGSI en
de2017
el año Politicas
Segundo
semestre
Procedimiento situaciones
administrativas
DRIVE: carptea
"procedimientos/TH"
Socialización de SGSI en
el año 2017 Segundo
Se incluye politica en el
semestre
manual de politicas
numeral
Listas de6.6.5.
Se incluye Control
asistencia
politica enquede
el
Acceso
reposan
manual a Sistemas
ende
el politicas
archivo dey
numeral laAplicaciones
dependecia
6.6.5. Control de
Acceso a Sistemas y
Aplicaciones
DRIVE: carpeta Manual
de Politicas
DRIVE: carpeta
Socialización Manual
de SGSI en
Se de
incluye Politicas
politica
el año 2017 Segundo en el
manual de politicas
semestre
numeral 6.6.4. Uso de
ListasInformación de que
de asistencia
Autenticación
reposan Secretade
en el archivo
(Responsabilidades
la dependecia de los
Usuarios)
Socialización de SGSI en
DRIVE: carpeta
el año 2017 Manual
Segundo
de Politicas
semestre
Socialización de SGSI en
el año 2017 Segundo
semestre
Se incluye politica en el
manual de politicas
numeral 6.7. Controles
Criptográficos
DRIVE: carpeta Manual
de Politicas
Socialización de SGSI en
el año 2017 Segundo
semestre
Plan de recuperación de
desastres
Se incluye politica en el
manual de politicas
numeral 6.8.6. Seguridad
de equipos y activos fuera
de las instalaciones
DRIVE: carpeta
Se incluye Manual
politica en el
de Politicas
manual de politicas
numeral 6.5.3. Uso
aceptable de los activos
DRIVE: carpeta Manual
de Politicas
Socialización de SGSI en
el año 2017 Segundo
semestre
Se incluye politica en el
manual
Listas de politicas
de asistencia que
numeral
reposan en el 6.8.7.
archivo de
Disposición Segura o
la dependecia
Reutilización de Equipos
DRIVE: carpeta Manual
de Politicas
Socialización de SGSI en
el año 2017 Segundo
semestre
Se aprobaron los
procedimientos de gestión
de cambios, gestión de
capacidad y mantener las
herramientas tecnológicas
Procedimiento publicado
Procedimiento
en isolucion en
implementación.
Carpeta con solicitud de
cambio en el archivo del
área
Procedimiento publicado
en isolucion
Se incluye politica en el
manual de politicas
numeral 6.8.8. política de
Equipo Desatendido,
Escritorio Limpio y
Pantalla Limpia
DRIVE: carpeta Manual
Socialización de SGSI en
de Politicas
el año 2017 Segundo
semestre
Se incluye politica en el
manual de politicas
numeral 6.2.3. Contacto
con Autoridades y Grupos
de Interés
DRIVE: carpeta Manual
de Politicas
Socialización de SGSI en
el año 2017 Segundo
semestre
Socialización de SGSI en
el año 2017 Segundo
semestre
Se incluye politica en el
manual de politicas
numeral 1.1.1. Acceso a
Redes y a Servicios en
Red
DRIVE: carpeta Manual
de Politicas
Se incluye politica en el
manual de politicas
numeral 6.6.5. Control
de Acceso a Sistemas y
Aplicaciones
DRIVE: carpeta Manual
de Politicas
Socialización de SGSI en
el año 2017 Segundo
semestre
Procedimiento publicado
en isolucion
Socialización de SGSI en
el año 2017 Segundo
semestre
Principio de desarrollo
Listas deseguro
asistencia que
reposan en el archivo de
la dependecia
DRIVE: carpeta
Procedimiento de
"procedimientos/Desarroll
desarrollo y/ actualizacion
de software o"
Procedimiento
publicadoen en
implementación.
isolucion
Carpeta conpolitica
Se incluye solicitud
en de
el
cambio
manual de politicasdel
en el archivo
área
numeral 6.17.2.8. Datos
de Prueba
DRIVE: carpeta Manual
de Politicas
Procedimiento publicado
en isolucion
Procedimiento publicado
en isolucion
Instructivo publicado en
isolucion
Listas de asistencia que
reposan en el archivo de
Se incluye politica en el
la dependecia
manual de politicas
numeral 6.18. Relación
Con Los Proveedores
DRIVE: carpeta Manual
de Politicas
Socialización de SGSI en
el año 2017 Segundo
semestre
Plan de recuperación de
desastres
Se debe realizar seguimiento y actualizacion para agregar nuevos procesos, actualizacion de activos de informa
El Manual de políticas de seguridad de la información fue actualizado por el consultor de la UT Password - Adal
encuentra en proceso de revisión y aprobación
La política general, el alcance, los objetivos de seguridad de la información y el manual de política s de segurid
información aún se encuentran en proceso de revisión y aprobación
Se encuentra definida en el documento Manual de Seguridad y privacidad de la información asi como en el man
política de seguridad.
De acuerdo a resolución 380 de 2017 se elabora plan de capacitación para el año 2017 y 2018. En dicho plan s
encuentra establecido el contenido temático: Seguridad de la información (Hacking ético, ingeniería social, prue
pentesting y auditoría)
En el plan de capacitaciones para vigencia 2020 se propone incluir Capacitacion y entrenamiento en Seguridad
Informacion
Una vez aprobado el procedimiento de etiquetado y manejo de información, se realizará la respectiva socializac
Se crea directorio con las autoridades y grupos de interés. Al correo sgsi@idrd.gov.co llegan notificaciones de m
y reporte de vulnerabilidades. Como parte de la implementación de CSIR Gobierno llegan notificaciones a los co
de marie.ruiz@idrd.gov.co y monica.sejin@idrd.gov.co
Las responsabilidades en cuando a contacto con las autoridades de encuentran definidas en el el procedimiento
gestión de incidentes de seguridad y en el procedimiento de atención a entes de control y vigilancia
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.2.4. Seguridad de la
Información en la Gestión de Proyectos
Se envió memorando al área de apoyo a la contratación para la inclusión de objetivos de seguridad de la inform
Se envió memorando al área de apoyo a la contratación para la inclusión de objetivos de seguridad de la inform
Se envió memorando al área de apoyo a la contratación para la inclusión de objetivos de seguridad de la inform
En el Manual de política s de Seguridad de la Información se encuentra definida política para Medidas a Adopta
Caso de Incumplimiento
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.3.1. Dispositivos Móv
En el Manual de política s de Seguridad de la Información se encuentra definida política para Medidas a Adopta
Caso de Incumplimiento
se prublico pendon en los pasillos de IDRD para control de acceso a redes inalambricas
Una vez se encuentre aprobado el Manual de política s se realizará la respectiva firma de acuerdos de confiden
e inclusión para las próximas contrataciones
Se realiza modificación a los procedimientos relacionados con las desvinculación laboral, situaciones administra
cambio de empleo (traslado)
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.5.6. Gestión de Medio
Removibles (unidades de almacenamiento)
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.5.6. Gestión de Medio
Removibles (unidades de almacenamiento)
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.6.5. Control de Acces
Sistemas y Aplicaciones
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.6.1. política de Contro
Acceso
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.6.3. Gestión de Acce
Usuarios
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.6.5. Control de Acces
Sistemas y Aplicaciones
Se realiza modificación a los procedimientos relacionados con las desvinculación laboral, situaciones administra
cambio de empleo (traslado)
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.6.5. Control de Acces
Sistemas y Aplicaciones
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.6.5. Control de Acces
Sistemas y Aplicaciones
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.6.4. Uso de Informaci
Autenticación Secreta (Responsabilidades de los Usuarios)
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.7. Controles Criptográ
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.7. Controles Criptográ
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.7. Controles Criptográ
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.8.1. Áreas Seguras
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.8.6. Seguridad de equ
activos fuera de las instalaciones
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.5.3. Uso aceptable de
activos
Se encuentra en proceso de revisión y aprobación
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.8.7. Disposición Segu
Reutilización de Equipos
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.8.8. política de Equipo
Desatendido, Escritorio Limpio y Pantalla Limpia
Se instalo enterpraise manger de oracle para realizar la revision y seguimiento a los acceso y modificaciones a l
de datos, se realizaron ajustes en el directorio activo para desactivar usuarios no autorizados
se implementos un servicio de administracion de logs de firewall, se estan realizando pruebas para implementa
los servidores de infraestructura tecnologica
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.14.1. Gestión de las
vulnerabilidades técnicas
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.2.3. Contacto con
Autoridades y Grupos de Interés
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.6.5. Control de Acces
Sistemas y Aplicaciones
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.17. Adquisición, Desa
Mantenimiento de Sistemas
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.17. Adquisición, Desa
Mantenimiento de Sistemas
La gestión de cambio para desarrollo de software se maneja desde el procedimiento de desarrollo y/o actualizac
software
El procedimiento de gestión de cambios se encuentra en aprobación, una vez aprobado se realizará la impleme
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.17.2.8. Datos de Prue
8/11/2017
8/11/2017
8/11/2017
5/17/2019
5/17/2019
8/11/2017
5/14/2019
8/11/2017
8/11/2017
5/17/2019
La política general, el alcance, los objetivos de seguridad de la información y el manual de política s de segurid
proceso de revisión y aprobación
Se realizaron charlas en cada una de las dependencias dando a conocer las responsabilidades
En el plan de capacitaciones para vigencia 2020 se propone incluir Capacitacion y entrenamiento en Seguridad
Se aprobó el procedimiento etiquetado y manejo de que está en el cual se encuentra cargado en isolucion.
Se requiere concepto jurídico de la clasificación de los activos de información. Una vez se tenga el concepto jur
se comenzará a implementar el procedimiento.
Se crea directorio con las autoridades y grupos de interés. Al correo sgsi@idrd.gov.co llegan notificaciones de m
parte de la implementación de CSIR Gobierno llegan notificaciones a los correos de mariae.ruiz@idrd.gov.co y s
Las responsabilidades en cuando a contacto con las autoridades de encuentran definidas en el el procedimiento
procedimiento de atención a entes de control y vigilancia
Se realiza control de los cambios en los proyectos mediante el procedimiento de gestion de cambio de segurida
Se realizaron reuniones de socialización del SGSI en las oficinas de la sede central del IDRD
Se incluye obligaciones en los contratistas y se encuentra en proceso de validación la implementación del acuer
El procedimiento de gestión de cambio se encuentra en revisión y aprobación. Una vez aprobado se realizará la
Se aprobó el procedimiento etiquetado y manejo de que está en el cual se encuentra cargado en isolucion.
5/14/2019
11/24/2017
La política general, alcance y objetivos del SGSI se encuentra documentada en el Manual de Seguridad y Priv
Tanto el Manual de Seguridad y Privacidad de la Información como el Manual de política s de Seguridad se enc
aprobación.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
La figura de Oficial de Seguridad de la Información se encuentra definida en el Manual de Seguridad y Privacida
Las responsabilidades del oficial de seguridad de la información se encuentran definidas en el Manual de Segur
Información. Para los funcionarios y contratistas las responsabilidades se encuentran definidas en el Manual de
la información, los procedimientos de seguridad, las obligaciones contractuales y la resolución de confidencialid
proceso de vito bueno jurídico .
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.5.3. Uso aceptable de
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.18. relación con los p
En el Manual de política s de Seguridad de la Información se encuentra definida política para Medidas a Adopta
Incumplimiento
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
El procedimiento de etiquetado y manejo de información se socializó en charlas realizada en cada una de las of
Para la implementación de este procedimiento se envió el inventario de activos de información a jurídica y estos
la confidencialidad de los activos descritos, sin embargo se requiere reunión con los dueños de los procesos pa
de algunos activos. De igual manera se encuentra en proceso de identificación y valoración de activos de inform
procesos que entran en el alcance del subsistema.
El inventario de activos de información se encuentra en proceso de actualización debido a que se solicitó conce
confidencialidad y se requieren reuniones para comenzar con la implementación del procedimiento de etiquetad
encuentra en proceso de inclusión la identificación y valoración de los activos de información para planeación de
de la recreación.
Se encuentra en proceso de revisión y aprobación
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
Se encuentra en proceso de aprobación por parte de la oficia jurídica la resolución por la cual se establece el co
confidencialidad para los funcionarios del IDRD, para los contratistas se implementan cláusulas contractuales
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
El Manual de política s de Seguridad de la Información se encuentra en proceso de revisión para aprobación.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
El Manual de política s de Seguridad de la Información se encuentra en proceso de revisión para aprobación.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
El Manual de política s de Seguridad de la Información se encuentra en proceso de revisión para aprobación.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
FECHA RESPONSABLE
SEGUIMIENTO SEGUIMIENTO #3
Riesgo Residual
EVALUACIÓN DEL
FECHA RESPONSABLE CONTROL PROBABILIDAD IMPACTO
SEGUIMIENTO SEGUIMIENTO #4 (1-5) (1-5)
4 2
5/13/2019 Área de Sistemas
4 2
4 3
3 2
3 4
5 3
4 4
5/14/2019 Área de Sistemas
4 3
2 3
3 3
3 3
6/7/2018 Monica Sejin
4 5
4 4
4 4
3 3
3 3
2 4
2 4
3 3
3 3
4 4
4 4
4 4
4 3
2 4
2 3
4 4
4 4
3 3
3 3
2 3
3 3
2 3
2 3
3 3
3 3
4 3
3 3
3 3
4 3
3 4
4 4
2 3
3 3
3 3
4 3
2 3
5 4
3 3
3 4
3 4
3 4
4 4
4 4
3 4
3 4
4 4
3 4
4 4
1 3
4 4
4 4
4 4
1 3
3 3
4 4
4 4
3 2
4 3
4 4
4 4
4 3
4 3
4 4
4 4
esgo Residual
MEDIDA DE
Seguimiento No. 1
TRATAMIENTO
NIVEL DE RIESGO control Interno
DEL RIESGO
(P*I)
Err:520 Aceptar
Err:520 Aceptar
Se elaboró el procedimiento y se
Err:520 Reducir
encuentra en aprobación
Se elaboró el procedimiento y se
Err:520 Reducir
encuentra en aprobación
El procedimiento de desvinculación de
Err:520 Reducir
personal se encuentra en revisión
Err:520 Reducir
Err:520 Aceptar
Err:520 Aceptar
Err:520 Aceptar
El procedimiento de gestión de
cambios se encuentra aprobado para
Err:520 Reducir su implementación y se encuentra en
aprobación el procedimiento de gestión
de capacidad
Se encuentra en proceso de
implementación el cableado
Err:520 Reducir
estructurado de acuerdo a anexo 16
del contrato 421 de etb
Err:520 Aceptar
Err:520 Reducir
Err:520 Reducir
Err:520 Reducir
Err:520 Aceptar
El procedimiento de clasificación,
etiquetado y manejo de información se
encuentra publicado en isolucion.
Err:520 Reducir
las políticas se encuentran definidas en
El procedimiento de clasificación,
etiquetado y manejo de información se
encuentra publicado en isolucion.
Err:520 Reducir
las políticas se encuentran definidas en
el manual de política s de seguridad de
la información el cual se encuentra en
aprobación.
El procedimiento de gestión de
cambios se encuentra aprobado y está
Err:520 Reducir en proceso de implementación.
Se encuentran en isolución el
procedimiento de gestión de incidentes
Err:520 Reducir de seguridad y el proceso de
recolección y preservación de la
evidencia digital.
Se encuentran en isolución el
procedimiento de gestión de incidentes
Err:520 Reducir de seguridad y el proceso de
recolección y preservación de la
evidencia digital.
Err:520 Reducir
Err:520 Aceptar
Se encuentra definido en el manual de
Err:520 Reducir
política de seguridad de la información
Err:520 Aceptar
Err:520 Reducir
Se encuentra en proceso de
Err:520 Reducir construcción de acuerdo a contrato
4190 de 2016
Se encuentra en proceso de
Err:520 Reducir construcción de acuerdo a contrato
4190 de 2016
Err:520 Aceptar
Err:520 Reducir
Err:520 Reducir
Err:520 Reducir
Err:520 Reducir
Err:520 Reducir
Err:520 Reducir
Err:520 Reducir
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Seguimiento No. 2
control Interno
Tanto el Manual de
Seguridad y
Privacidad de la
Información, como
el Manual de
Políticas se
encuentran en
proceso de revisión
para aprobación.
Se esta en proceso
de elaboración la
resolución para el
cumplimiento del
SGSI por parte de
los funcionarios.
Mediante resolución
380 de 2017 se
estableció el plan de
capacitación que
incluye SGSI
Se esta en proceso
de elaboración la
resolución para el
cumplimiento del
SGSI por parte de
los funcionarios.
Se publica el
manual aprobado el
31 de mayo de 2018
Se aprobaron los
procedimientos el
31 de mayo de 2108
para ser publicados
en isolucion
ESTIM
Probabilidad
Raro (1)
Improbable (2)
Posible
(3)
(3)
Probable
(4)
Casi Seguro
(5)
• Probabilidad:
• Impacto:
o Insignificante: Afecta la confidencialidad, integridad o d
ver afectada la actividad de una persona del proceso. No
o Menor: Afecta la confidencialidad, integridad o disponi
baja.
Se podría ver afectada la actividad de dos o más personas
Ocasiona pérdidas financieras bajas.
o Moderado: Afecta la confidencialidad, integridad o disp
Se podría ver afectada una o varias actividades de uno o m
Ocasiona pérdidas financieras medias.
o Mayor: Afecta la confidencialidad, integridad o disponib
Afecta la normal operación de uno o más procesos mision
Ocasiona pérdidas financieras considerables.
o Catastrófico: Afecta la confidencialidad, integridad y dis
Afecta la normal operación de la entidad.
Ocasiona pérdidas financieras altas. Puede ocasionar mul
Afecta la reputación e imagen de la entidad.
A partir del tipo de riesgo, existen 5 alternativas de tratam
Probabilidad
Raro (1)
Improbable (2)
Posible
(3)
(3)
Probable
(4)
Casi Seguro
(5)
ZONA DE RIESGOS
Extremo
Alto
Moderado
Bajo
(3)
(1) (2) Aceptar
Aceptar Aceptar Evitar
Reducir
(6)
(2) (4) Aceptar
Aceptar Aceptar Evitar
Reducir
(9)
(6) Evitar
(3) Aceptar Transferir
Aceptar Evitar Compartir
Reducir Reducir
(9)
(6) Evitar
(3) Aceptar Transferir
Aceptar Evitar Compartir
Reducir Reducir
(8) (12)
(4) Evitar Evitar
Aceptar Transferir Transferir
Evitar Compartir Compartir
Reducir Reducir Reducir
rangos:
s definiciones:
d de dos o más personas del proceso y, por ende, una de las actividades del proces
jas.
ialidad, integridad o disponibilidad de activos de información con valoración media
as actividades de uno o más procesos.
edias.
ad, integridad o disponibilidad de activos de información con valoración Alta.
o o más procesos misionales de la entidad.
nsiderables.
ncialidad, integridad y disponibilidad de activos de información con valoración crític
entidad.
as. Puede ocasionar multas por incumplimiento de la legislación.
la entidad.
n 5 alternativas de tratamiento:
(3)
(1) (2) Aceptar
Aceptar Aceptar Evitar
Reducir
(6)
(2) (4) Aceptar
Aceptar Aceptar Evitar
Reducir
(9)
(6) Evitar
(3) Aceptar Transferir
Aceptar Evitar Compartir
Reducir Reducir
(9)
(6) Evitar
(3) Aceptar Transferir
Aceptar Evitar Compartir
Reducir Reducir
(8) (12)
(4) Evitar Evitar
Aceptar Transferir Transferir
Evitar Compartir Compartir
Reducir Reducir Reducir
gos está compuesto por aquellos riesgos que no expongan a la organización a pérd
icos, operativos o de imagen.
es, después de aplicar los controles apropiados a un riesgo, su nivel puede seguir s
n debe determinar la aceptación del riesgo.
(4) (5)
Evitar Evitar
Transferir Transferir
Compartir Compartir
Reducir Reducir
(8) (10)
Evitar Evitar
Transferir Transferir
Compartir Compartir
Reducir Reducir
(12) (15)
Evitar Evitar
Transferir Transferir
Compartir Compartir
Reducir Reducir
(12) (15)
Evitar Evitar
Transferir Transferir
Compartir Compartir
Reducir Reducir
(16) (20)
Evitar Evitar
Transferir Transferir
Compartir Compartir
Reducir Reducir
(20) (25)
Evitar Evitar
Transferir Transferir
Compartir Compartir
Reducir Reducir
al año.
gislación.
particular.
ciación del riesgo).
á el siguiente:
(4) (5)
Evitar Evitar
Transferir Transferir
Compartir Compartir
Reducir Reducir
(8) (10)
Evitar Evitar
Transferir Transferir
Compartir Compartir
Reducir Reducir
(12) (15)
Evitar Evitar
Transferir Transferir
Compartir Compartir
Reducir Reducir
(12) (15)
Evitar Evitar
Transferir Transferir
Compartir Compartir
Reducir Reducir
(16) (20)
Evitar Evitar
Transferir Transferir
Compartir Compartir
Reducir Reducir
(20) (25)
Evitar Evitar
Transferir Transferir
Compartir Compartir
Reducir Reducir
an a la organización a pérdidas
l riesgo.
tamiento idóneo para disminuir su nivel,
deberán ser monitoreados.