2019 Plan Tratamiento Riesgos Sgsi

CONTEXTO DE SEGURIDAD DE LA INFORMACIÓN
1. Identificación de las Partes Interesadas
2. Identificación de Requisitos de las Partes Interesadas
Se deben identificar los requisitos y necesidades de las partes interesadas teniendo en cuenta la siguiente jerarquía:
1. Requisitos legales
2. Requisitos regulatorios y reglamentarios
3. Requisitos organizacionales (Contractuales y técnicos) y de Seguridad de la Información
PARTES INTERESADAS
REQUISITOS LEGALES
MinTIC
Congreso de la República
REQUISITOS REGLAMENTARIOS Y REGULATORIOS

Presidencia de la República
Superintendencia de Industria y Comercio
Superintendencia de Industria y Comercio
Oficina Alta Consejería Distrital de TIC
Secretaria General
Alcaldía Mayor de Bogotá
El Consejo Nacional de Política Económica y
Social, CONPES
El Consejo Nacional de Política Económica y
Social, CONPES
REQUISITOS ORGANIZACIONALES Y DE SEGURIDAD DE LA INFORMACIÓN
Ciudadanos
Ciudadanos
Ciudadanos
Funcionarios, contratistas, visitantes
Director del IDRD
Director del IDRD
Director del IDRD

Director del IDRD
OPORTUNIDADES EN SEGUIDAD DE LA INFORMACIÓN

Documentación guía, cursos, talleres, capacitaciones
MinTIC - Gobierno en Línea – Seguridad y

Privacidad de la Información
OEA - Programa de Becas para el Desarrollo

Profesional
Archivo General de la Nación
Departamento Administrativo de la Función

Pública
ONTEXTO DE SEGURIDAD DE LA INFORMACIÓN
es Interesadas
dades de las partes interesadas teniendo en cuenta la siguiente jerarquía:
ios
uales y técnicos) y de Seguridad de la Información
REQUISITOS
REQUISITOS LEGALES
Gobierno en Línea – Seguridad y Privacidad de la Información
Ley 1712 de 2014. Ley de Transparencia y del Derecho de Acceso a la
Información Pública Nacional
Ley 1581 de 2012. Por la cual se dictan disposiciones generales para la
protección de datos personales
Ley 1266 de 2008. Por la cual se dictan las disposiciones generales del hábeas
data y se regula el manejo de la información contenida en bases de datos
personales, en especial la financiera, crediticia, comercial, de servicios y la
proveniente de terceros países y se dictan otras disposiciones.
Ley 527 de 1999. Por medio de la cual se define y reglamenta el acceso y uso
de los mensajes de datos, del comercio electrónico y de las firmas digitales, y
se establecen las entidades de certificación y se dictan otras disposiciones.
REQUISITOS REGLAMENTARIOS Y REGULATORIOS
Decreto 103 de 2015. Reglamenta parcialmente la Ley 1712 de 2014
Decreto 1377 de 2013. Por el cual se reglamenta parcialmente la Ley 1581 de
2012.
Decreto 886 de 2014. Por el cual se reglamenta el artículo 25 de la Ley 1581 de
2012, relativo al Registro Nacional de Bases de Datos.
Circular Externa 001 del 8 de Noviembre de 2016. Instrucciones para el realizar

la inscripción de sus bases de datos en el Registro Nacional de Bases de Datos -
RNBD a partir del 9 de noviembre de 2016.
Circular Externa 001 del 11 de Enero de 2017. Modifica los numerales 2.2, 2.3,
2.6 y 2.7 del Capítulo Segundo del Título V de la Circular Única de la
Superintendencia de Industria y Comercio.
Circular 001 de 2016. Entrega de las claves de Ingreso a los sistemas de

información por parte de los funcionarios que dejan el cargo.
Circular 009 de 2016. Implementación de la ley de transparencia (Ley 1712 de
2014, Decreto 103 de 2015 y Resolución 3564 de 2015).
CONPES 3701. Lineamientos de política para la Ciberseguridad y Ciberdefensa.
CONPES 3854. Política Nacional de Seguridad Digital.
S ORGANIZACIONALES Y DE SEGURIDAD DE LA INFORMACIÓN

Mecanismos seguros que faciliten la realización de trámites y la solicitud de
servicios.
Mecanismos seguros para interponer PQRS.
Protección de datos personales.
Sensibilización y capacitación en seguridad de la información.
Cumplimiento de la estrategia GEL – Seguridad y Privacidad de la Información.
Cumplimiento de la legislación relacionada con seguridad de la información.
Cumplimiento de políticas y procedimientos de seguridad de la información
por parte de los funcionarios y contratistas.
Realizar auditorías internas con el fin de verificar el cumplimiento de políticas y
procedimientos de seguridad de la información y, por ende, verificar el
cumplimiento con la estrategia de Gobierno en Línea (GEL) – Modelo de
Seguridad y Privacidad de la Información.
PORTUNIDADES EN SEGUIDAD DE LA INFORMACIÓN

Documentación guía, cursos, talleres, capacitaciones
1. Mantener la documentación actualizada

2. Asistir a eventos relacionados con Seguridad de la Información.
3. Comunicar eventos de Seguridad de la Información al interior del IDRD con
el fin de masificar la asistencia a dichos eventos.
4. Estar actualizados acerca de los cursos que ofrece MinTIC y comunicarlos al
interior de la entidad para que haya representación por parte de la entidad.
Responsable: Gestión de Tecnología de la Información y las Comunicaciones

(Oficial de Seguridad de la Información)
1. Revisar periódicamente la página www.oas.org con el fin de comunicar al

interior de la entidad las becas disponibles para formación en seguridad de la
información.
Responsable: Gestión de Tecnología de la Información y las Comunicaciones

(Oficial de Seguridad de la Información)
1. Mantener información actualizada y aplicarla al interior de la entidad.
Responsable: Gestión Documental
1. Mantener información actualizada y aplicarla al interior de la entidad.
Responsable: Planeación de la Gestión

Gestión de Tecnología de la Información y las Comunicaciones (Oficial de
Seguridad de la Información)
MATRIZ DE RIESGOS GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
Vigencia 2017 - 2020
No. RIESGO PROCESO/ÁREA
Malas prácticas en seguridad de la

1 Todos los procesos
información
Incumplimiento de responsabilidades de
seguridad de la información
Falta de competencia de las personas para

Gestión de Talento
3 cumplir con las respnsabilidades de
Humano
seguridad de la información asignadas
Uso indebido, accidental o deliberado, de
los activos de información de la entidad
Ausencia de comunicación, reporte a

destiempo y/o mediante formatos y
canales no apropiados con autoridades Gestión de Tecnología de
5 (por ejemplo, las encargadas de hacer la Información y las
cumplir la ley, los organismos de Comunicaciones
reglamentación y las autoridades de
supervisión)
Pérdida de confidencialidad, integridad y/o
6 disponibilidad de la información en la Todos los procesos
ejecución de proyectos de todo tipo
Acceso o divulgación no autorizada de la

información almacenada y procesada por
7 dispositivos móviles, equipos de Todos los procesos
contratistas o equipos utilizados para
teletrabajo
Divulgación de información por parte de
8 exfuncionarios o funcionarios/contratistas Todos los procesos
disgustados o malintencionados
Gestión de Talento
Humano
Manejo inadecuado de terminación o
9
cambio de empleo
Adquisición de Bienes y
Servicios
Contratación de
funcionarios/contratistas/proveedores con
Gestión del Talento
10 antecedentes penales, disciplinarios y/o
Humano
financieros para cargos críticos de la
entidad
Gestión de Talento
No devolución de uno o varios activos de
11 Humano y Adquisición de
información
Bienes y Servicios
Incumplimiento de la Ley de Transparencia

y del Derecho de Acceso a la Información
Pública Nacional (Ley 1712 de 2014), sus
principios y decretos reglamentarios
Incumplimiento de la Ley 1581 de 2012
(Ley de Protección de Datos Personales)
Infección por malware en equipos de

14 cómputo mediante medios removibles Todos los procesos
infectados
Divulgación de información por medios

15 removibles no cifrados extraviados o Todos los procesos
dados de baja
Degradación de los medios removibles o

medios de almacenamiento externo
mientras aún se necesitan los datos
almacenados
Degradación de los medios removibles o
medios de almacenamiento externo
mientras aún se necesitan los datos
almacenados
Acceso no autorizado a sistemas y Gestión de Tecnología de

17 servicios, o abuso de derechos de acceso la Información y las
a sistemas y servicios Comunicaciones
Ejecución de actividades regulares del Gestión de Tecnología de

18 negocio desde cuentas de usuario la Información y las
privilegiado Comunicaciones
Gestión de Tecnología de
Uso de la misma identidad de usuario por
19 la Información y las
dos o más personas
Comunicaciones
dos o más personas
Comunicaciones
Contraseñas por defecto, del fabricante, en
software y firmware de la entidad
Comunicaciones
Debilidades en el proceso de retiro o ajuste

de derechos de acceso cuando se termina
o cambia el empleo de un funcionario,
Comunicaciones
contratista y/o proveedor
Aplicaciones críticas para el IDRD con
procedimientos de ingreso inseguro
Comunicaciones
Malas prácticas en el uso de contraseñas

por parte de los usuarios
Uso de programas utilitarios privilegiados,
sin restricción
Comunicaciones
Acceso no autorizado a códigos fuente de
programas
Comunicaciones
26 Uso de controles criptográficos débiles la Información y las
Comunicaciones
Pérdida y/o uso no autorizado de llaves

criptográficas, como por ejemplo, tokens
bancarios, tokens de acceso a sistemas de
Comunicaciones
información o certificados digitales
Acceso físico no autorizado a las Gestión de Recursos

28
instalaciones Físicos
Acceso físico no autorizado a las Gestión de Recursos
28
instalaciones Físicos
Daños en los equipos y/o interrupciones
del servicio
Comunicaciones
Daño de información y/o instalaciones de
procesamiento de información
Comunicaciones
Daños o mal funcionamiento de servidores Gestión de Tecnología de

31 o equipos de cómputo debido a la falta de la Información y las
mantenimiento Comunicaciones
32 Retiro de activos sin autorización Todos los procesos
Fuga de información por pérdida o robo de
equipos fuera de las instalaciones
Comunicaciones
Fuga de información por pérdida o robo de
equipos fuera de las instalaciones
Comunicaciones
Acceso no autorizado a información crítica

de la entidad por equipos reutilizados o
dados de baja a los cuales no se les
Comunicaciones
realiza un proceso de borrado seguro
Ausencia del personal crítico que Gestión de Tecnología de

35 administra instalaciones de procesamiento la Información y las
de información Comunicaciones
Interceptación, interferencia o daño del Gestión de Tecnología de

36 cableado de potencia y el cableado de la Información y las
comunicaciones Comunicaciones
Fallas en sistemas o en la seguridad de los
mismos debido a malas configuraciones
Comunicaciones
Inadecuada o inexistente gestión de
capacidad
Comunicaciones
Acceso no autorizado a información del

IDRD debido a puestos de trabajo
39 desatendidos, equipos sin bloquear y Todos los procesos
escritorio lógico y físico con
documentación sensible
Acceso o cambios no autorizados en
ambiente de producción
Comunicaciones
Pérdida de trazabilidad de actividades del Gestión de Tecnología de

41 usuario, excepciones, fallas y eventos de la Información y las
seguridad en sistemas de información Comunicaciones
41 usuario, excepciones, fallas y eventos de la Información y las
seguridad en sistemas de información Comunicaciones
Acceso no autorizado y/o alteración de
registros de eventos
Comunicaciones
43 Logs de auditoría inexactos la Información y las
Comunicaciones
44 Software con vulnerabilidades conocidas la Información y las
Comunicaciones
Afectación (alteración de información,
interrupción del servicio) en los sistemas
operacionales producto de auditorías a los
Comunicaciones
mismos.
Acceso no autorizado a las redes de la
entidad
Comunicaciones
Acceso no autorizado o secuestro de Gestión de Tecnología de

47 información almacenada y/o transmitida la Información y las
mediante mensajería electrónica Comunicaciones
Acceso no autorizado o secuestro de Gestión de Tecnología de
47 información almacenada y/o transmitida la Información y las
mediante mensajería electrónica Comunicaciones
Software con vulnerabilidades conocidas
debido a malas prácticas de desarrollo
Comunicaciones
Exposición de datos sensibles por traslado Gestión de Tecnología de

49 de datos de producción al ambiente de la Información y las
pruebas Comunicaciones
Gestión inadecuada de Incidentes de Administración de

50
Seguridad de la Información Tecnologías e Información
Gestión inadecuada de Incidentes de Administración de
50
Seguridad de la Información Tecnologías e Información
Incumplimiento de requisitos de seguridad

51 de la información por parte de Todos los procesos
proveedores/contratistas
Fallas en componentes que representan

puntos únicos de falla tales como, UTM, Gestión de Tecnología de
52 Switch corey el Switch que recibe la la Información y las
conexión de los routers (principal y Comunicaciones
contingencia) del ISP
Pérdida de continuidad de la seguridad de

la información
Incumplimiento de la Ley 527 de 1999

(define y reglamenta el acceso y uso de
los mensajes de datos, del comercio
electrónico y de las firmas digitales, y se
establecen las entidades de certificación y
se dictan otras disposiciones)
Incumplimiento de política s de seguridad
55 de la información en sistemas de Todos los procesos
información
Ineficacia del SGSI (política general,

56 objetivos, política s, controles, procesos y Todos los procesos
procedimientos del SGSI)
Fuga de información a través de
herramientas de computación en la nube
Comunicaciones
Violación de derechos de propiedad

intelectual
Pérdida, destrucción, falsificación, acceso

59 no autorizado y liberación no autorizada de Todos los procesos
registros

IDRD debido al almacenamiento
inadecuado de la documentación de la
entidad
IDRD debido al almacenamiento
inadecuado de la documentación de la
entidad
Periodos de no contratación por ley de

garantías
la Información y las
Comunicaciones
Cambios locativos orientados a oficinas
abiertas poniendo en riesgo la
Gestión de Talento
62 confidencialidad, integridad y disponibilidad
Humano
de las instalaciones de procesamiento de
información (área de sistemas)
Gestión Financiera
Gestión Documental
Desconocimiento o falta de competencia

63 de funcionarios y contratistas que tienen Todos los procesos
responsablidades de Ley 1581 de 2012
Incumplimiento de responsabilidades de
Duplicidad de información de contratistas

65 que podría afectar la integridad y la Todos los procesos
confidencialidad de la información
Divulgación de información por debilidades

en el proceso de validación de identidad de
66 Atención al Ciudadano
las personas que realizan peticiones al
IDRD
Pérdida de confidencialidad, integridad y

disponibilidad de la información debido a
cambios temporales en las oficinas por Subdirección Administrativa
67
modernización de instalaciones del IDRD y Financiera
orientada a la estructuración de oficinas
abiertas
Incumplimiento de Ley 1581 de 2012
68 debido a tratamiento inadecuado de datos Todos los procesos
personales de titulares
69
70
71
72
73
74
75
76
77
78
79
80
LA INFORMACIÓN
CONSECUENCIAS
CAUSA DEL RIESGO
POTENCIALES
1. Ausencia de una política

general, un alcance y objetivos de 1. Incumplimiento norma ISO
seguridad de la información, así 27001:2013 y estrategia GEL
como también un conjunto de (Modelo de Seguridad y Privacidad
política s en temas específicos de de la Información)
aprobados mediante acto 2. Pérdida de la cultura
administrativo. organizacional en materia de
seguridad de la información.
2. Falta de revisión periódica de la
política general y/o el conjunto de 3. Alto nivel de incidentes de
política s de seguridad de la seguridad de la información
información
1. Sanciones y/o multas
1. Responsabilidades de seguridad
de la información sin asignar
2. Procesos disciplinarios y
requerimientos de entes de control
2. Falta de comunicación de las
responsabilidades de seguridad de
3. Incidentes de seguridad de la
la información a todas las personas
información
1. Decisiones erróneas
2. Pérdida total/parcial de
información
1. Falta de capacitación, toma de
conciencia, educación y formación 3. Fuga de información
en seguridad de la información
4. Incidenes de Seguridad de la
Información
5. Sanciones
1. Falta de inventario de activos con

su respectivo propietario, con el fin
de identificar responsabilidades
para el uso apropiado de los
mismos y una valoración para
definir las necesidades de
1. Falta de inventario de activos con
su respectivo propietario, con el fin
de identificar responsabilidades
para el uso apropiado de los
mismos y una valoración para
definir las necesidades de
protección.
2. Inadecuada separación de 1. Incidentes de Seguridad de la

funciones Información
3. Falta de socialización al personal 2. Fraude

en el uso de los activos de
información 3. Fuga de Información o pérdida
total/parcial de información
4. Ausencia de un procedimiento de
clasificación, etiquetado y manejo 4. Demoras y/o interrupción del
de la información servicio
5. Ausencia de acuerdos o 5. Pérdida de imagen, credibilidad

cláusulas de confidencialidad en o confianza
acuerdos con
funcionarios/contratistas/proveedor
es
6. Ausencia de requisitos de
seguridad de la información en
acuerdos contractuales con
contratistas/proveedores
1. Desconocimiento de las
autoridades a las cuales reportar 1. Sanciones y/o multas
incidentes de seguridad de la
información 2. Ataques no sancionados.
2. Desconocimiento de nuevas 3. Aumento de ataques externos e

reglamentaciones internos debido a la percepción de
que no tienen ninguna
3. No atención de requerimiento de consecuencia penal.
entes de control y vigilancia
información
2. Fuga de información
1. Falta de integración de seguridad
de la información a los métodos de
3. Demoras y/o interrupción del
gestión de proyectos de la entidad.
servicio
4. Pérdida de imagen, credibilidad

o confianza
1. Ausencia de mecanismos de
protección contra códigos
maliciosos
2. Pérdida o robo de dispositivos 1. Fuga de información

móviles que contienen información
del IDRD 2. Pérdida total/parcial de
información
3. Uso de dispositivos móviles
infectados y rooteados para 3. Demoras y/o interrupción del
almacenar información del IDRD o servicio
conexión de estos dispositivos a la
red del IDRD 4. Pérdida de imagen, credibilidad
o confianza
4. Uso de equipos de cómputo con
software no licenciado para labores
de teletrabajo o por parte de
contratistas
de teletrabajo o por parte de
contratistas
1. Falta de cláusulas de
confidencialidad en acuerdos
contractuales o acuerdos de
confidencialidad firmados por parte
de funcionarios/contratistas
2. Falta de cláusulas contractuales
que indiquen los términos y 2. Sanciones
condiciones del contrato que
continúan durante un período
determinado después de finalizado
el contrato de funcionarios y/o
contratistas
2. Pérdida parcial/total de
1. Desconocimiento de los riesgos información
de seguridad de la información que
implica el manejo inadecuado de 3. Abuso de derechos
cambio de empleo de los
funcionarios y/o contratistas 4. Sanciones
5. Procesos disciplinarios y/o

1. Fraude
1. Falta de verificación de
antecedentes penales
información
antecedentes disciplinarios
3. Sanciones
antecedentes financieros
reqeurimientos de entes de control
1. Falta de un documento firmado
por las partes que asegure que los 2. Pérdida total/parcial de
activos asignados al información.
funcionario/contratista fueron
devueltos. 3. Pérdida de activos de
información.
1. Desconocimiento de la Ley 1712

de 2014 o de alguno(s) de sus
1. Sanciones
componentes
2. Desconocimiento de plazos para
dar cumplimiento a la Ley 1712 de
2014 y el decreto 103 de 2015
1. Desconocimiento de la ley o
alguno(s) de sus componente(s) 1. Sanciones
2. Incumplimiento de plazos para 2. Procesos disciplinarios y

realizar el registro nacional de requerimientos de entes de control
bases de datos
1. Infección por malware
1. Medios removibles infectados
2. Unidades de medios removibles información
habilitadas en todos los equipos de
cómputo 4. Demoras y/o interrupción del
servicio
5. Sanciones o multas
1. Disposición no segura de medios
removibles
información
2. Medios removibles que contienen
información sensible, no cifrados
1. Cumplimiento del tiempo de vida 1. Pérdida total/parcial de

de los medios removibles. información
2. Daño de medios removibles sin 2. Demoras y/o interrupción del

causa aparente servicio
1. Cumplimiento del tiempo de vida 1. Pérdida total/parcial de
de los medios removibles. información
2. Daño de medios removibles sin 2. Demoras y/o interrupción del

causa aparente servicio
1. Ausencia o inadecuado proceso

formal de registro y de cancelación
de registro de usuarios.
2. Ausencia o inadecuado proceso
de suministro de acceso a usuarios 2. Pérdida total/parcial de
para asignar o revocar derechos de información
acceso
3. Suministro de contraseñas servicio
temporales débiles y/o no exigencia
de cambio de contraseña después
del primer ingreso
2. Abuso de privilegios
1. Ausencia de controles
adecuados para la asignación de 3. Acceso no autorizado
derechos de acceso privilegiado.
2. Ausencia de política s para el
uso adecuado de derechos de 5. Pérdida total/parcial de
acceso privilegiado información

servicio
1. Abuso de privilegios
2. Acceso no autorizado
1. Ausencia de controles 3. Fuga de información

adecuados para la gestión de
identidades de usuarios 4. Pérdida total/parcial de
información

servicio
adecuados para la gestión de
identidades de usuarios 4. Pérdida total/parcial de
información

servicio
implementada de cambio de
configuraciones por defecto del
software y firmware utilizado en la
información
entidad antes de sacarlo a
producción
servicio
implementada de retiro o ajuste de 2. Fuga de información
los derechos de acceso
2. Ausencia de controles información
adecuados para el retiro o ajuste de
los derechos de acceso 4. Demoras y/o interrupción del
servicio
1. Envío de credenciales en texto
claro por la red
información

servicio
1. Ausencia de política s
relacionadas con el uso de 1. Fuga de información
contraseñas por parte de los
usuarios. 2. Pérdida total/parcial de
información
2. Incumplimiento de las políticas
definidas por parte de la entidad 3. Demoras y/o interrupción del
para el uso de contraseñas por servicio
parte de los usuarios
1. Ausencia de política s adecuadas
implementadas para controlar el
información
uso de programas utilitarios
privilegiados
servicio
1. Introducción de funcionalidades
1. Ausencia de mecanismo
no autorizadas
apropiados para el control de
acceso a códigos fuente de
2. Cambios involuntarios
programas
2. Ausencia de registros de
auditoría de acceso a los códigos
fuente de programas
información
1. Ausencia de política s para el 2. Ataques MiTM (Man in The

uso de controles criptográficos Middle)
3. Fraude
1. Ausencia de política s para el
2. Ataques MiTM (Man in The
uso, protección y tiempo de vida de
Middle)
controles criptográficos
3. Fraude
1. Controles de acceso físico

débiles a las instalaciones o áreas
seguras
2. Controles débiles en perímetros
información
de seguridad
3. Áreas de despacho y carga
servicio
permite acceso fácil a las
instalaciones de la entidad
1. Controles de acceso físico
débiles a las instalaciones o áreas
seguras
2. Controles débiles en perímetros
información
de seguridad
3. Áreas de despacho y carga
servicio
permite acceso fácil a las
instalaciones de la entidad
1. Fallas en servicios de suministro

(electricidad, telecomunicaciones,
servicio
aire acondicionado)

1. Amenazas externas y servicio
ambientales
2. Daño de información y/o
2. Tiempo de vida útil finalizado instalaciones de procesamiento de
información

servicio
1. Mantenimiento insuficiente de
servidores y equipos de cómputo
información
1. Ausencia de mecanismos
formales de autorizacíón para el
retiro de equipos, información o
software.
información
2. Falta de socialización de los
mecanismos de autorización para el
3. Pérdida o robo del equipo
retiro de equipos, información o
software
1. Ausencia de mecanismo de
protección de equipos fuera de las
instalaciones
información
1. Ausencia de mecanismo de
protección de equipos fuera de las
instalaciones
información
1. Ausencia de controles de
borrado seguro de información o
destrucción de medios de 1. Fuga de información
almacenamiento de equipos antes
de su disposición o reuso
1. Vacaciones
2. Incapacidad
servicio
3. Retiro laboral
1. Cables de potencia que no están

debidamente separados de los
cables de comunicaciones y, por
ende, se producen interferencias
2. Cableado de comunicaciones servicio
que entran a instalaciones de
procesamiento de información no
cuentan con una protección
adecuada
servicio
1. Control inadecuado de cambios
en instalaciones y sistemas de
procesamiento de información
gestión de capacidad
2. Estimación errada de servicio
capacidades futuras
3. Ausencia de mecanismos de información
seguimiento y control de la gestión
de capacidad
1. Ausencia de política s de equipo

de usuario desatendido, escritorio
limpio y pantalla limpia
2. Desconocimiento de política s de
equipo de usuario desatendido,
información
escritorio limpio y pantalla limpia
3. Incumplimiento de política s de
equipo de usuario desatendido,
escritorio limpio y pantalla limpia
1. Falta de separación de
ambientes de desarrollo, pruebas y
2. Demoras y/o interrupciones del
producción
servicio

servicio
1. Ausencia de pistas de auditoría
información
1. Ausencia de pistas de auditoría
información
1. Protección inadecuada de los

registros de eventos
1. Pérdida de trazabilidad de
actividades del usuario,
2. Se excede la capacidad de
excepciones, fallas y eventos de
almacenamiento del medio
seguridad en sistemas de
información
3. Alteración de registros por parte
de un administrador Los logs de auditoría inexactos
1. Falta de sincronización de relojes pueden dificultar las
en servidores y equipos de investigaciones (casos legales o
cómputo disciplianrios) y afectar la
credibilidad de esta evidencia
1. Ausencia de mecsnimos 2. Demoras y/o interrupciones del

formales de administración de servicio
actualizaciones
información
servicio
1. Auditorías de sistemas de
información
información
1. Controles inadecuados de
seguridad en redes
servicio
información
1. Controles de acceso al correo

electrónico no adecuados 1. Fuga de información
2. Desconocimiento de ataques de 2. Envío de spam

ingeniería social mediante correo
1. Controles de acceso al correo
electrónico no adecuados 1. Fuga de información
2. Desconocimiento de ataques de 2. Envío de spam

ingeniería social mediante correo
electrónico por parte de los 3. Pérdida total/parcial de
funcionarios/contratistas de la información
entidad
1. Ausencia de principios y/o

metodologías de desarrollo seguro
2. Falta de conciencia en seguridad 1. Software con vulnerabilidades

de la información por parte de conocidas.
supervisores de contrato
3. No exigencia de requisitos de
seguridad de la información y la 3. Pérdida total/parcial de
implementación de principios y/o información
metodologías de desarrollo seguro
en desarrollos contratados 4. Demoras y/o interrupciones del
externamente servicio
4. Falta de pruebas de seguridad y

pruebas de aceptación de software
1. Sanciones o multas por

1. Controles inadecuados para el
exposición de datos personales
paso de datos de producción al
ambiente de pruebas
1. Ausencia de un procedimiento
formal de gestión de incidentes
información
recolección de evidencia que
permita darle validez jurídica a la
servicio
misma
5. Ataques a la entidad sin
judicialización
1. Ausencia de un procedimiento
formal de gestión de incidentes
información
recolección de evidencia que
permita darle validez jurídica a la
servicio
misma
5. Ataques a la entidad sin
judicialización
información
1. Falta de seguimiento a la
prestación de servicios por aprte de 2. Fuga de información
proveedores/contratistas
información
1. Punto único de falla 1. Denegación del servicio
1. Interrupciones no planificadas en
TI
servicio
2. Ciberataques
3. Interrupción de servicios de
suministro tales como electricidad o
red
información
4. Amenazas ambientales
1. Sanciones
1. Desconocimiento de la ley o
alguno(s) de sus componente(s) 2. Procesos disciplinarios y/o
1. Falta de revisiones periódicas a 2. Fuga de información

los sistemas de información para
determinar que cumplen con las 3. Pérdida total/parcial de
políticas de seguridad de la información
información
servicio
1. Ausencia de mecanismos de
revisión periódica de la 1. Sanciones o multas
conveniencia, la adecuación y la
eficacia del enfoque de seguridad 2. Procesos disciplinarios y
de la información. requerimientos de entes de control
2. Ausencia de mecanismos de 3. Incidentes de seguridad de la

revisión periódica de cumplimiento información (acceso no autorizado,
de controles, política s, procesos y fuga de información, denegación
procedimientos de seguridad de la de servicio)
información
1. Ausencia de controles
adecuados para controlar la
transferencia de información a
través de herramientas en la nube
1. Uso de software sin licencia en

equipos de contratistas 1. Sanciones
2. Instalación no autorizada de 2. Procesos disciplinarios y

software por parte de los requerimientos de entes de control
funcionarios
1. Desconocimiento de política s y
procedimientos de seguridad de la 1. Fuga de información
información
2. Funcionarios/contratistas información
disgustados o malintencioandos
3. Ciberataques
4. Robo físico de documentación o requerimientos de entes de control
equipos de cómputo
1. Espacio insuficiente en el área
de archivo central y archivos de
información
gestión
1. Espacio insuficiente en el área
de archivo central y archivos de
información
gestión
1. Falta de personal para la

ejecución de labores
1. La ley de garantías prohibe la
contratación directa en las 2. Incumplimiento legal por
entidades públicas ausencia del personal encargado
de actividades que dan
cumplimiento a requisitos legales
1. Directriz de la dirección de
implementar cambios locativos
información
orientados a oficinas abiertas
1. Decisiones erróneas
información
1. Falta de capacitación formal y no
formal en temas relacionados con 3. Fuga de información
la Ley 1581 de 2012
4. Incidentes de Seguridad de la
Información
1. Sanciones y/o multas
1. Responsabilidades de seguridad
5. Sanciones
de la información sin asignar
2. Falta de comunicación de las
responsabilidades de seguridad de
la información a todas las personas
información
información
1. Bases de datos de contratistas
descentralizada 2. Fuga de información
1. Debilidades en el proceso de
validación de identidades de las
personas que realizan peticiones
relacionadas con datos personales
1. Traslado temporal de oficinas al 2. Pérdida total/parcial de

salón C del IDRD información
1. Ausencia de autorización por
parte de titulares cuya información
reposa en las bases de datos del
IDRD.
2. Ausencia de autorización por

parte de titulares cuya información
va a ingresar a la base de datos del
IDRD. 1. Sanciones o multas por parte de
la SIC
3. Tratamiento de datos personales
para finalidades diferentes a las
que fueron comunicadas a los
titulares
4. Falta de comunicación de
finalidades de tratamiento de datos
personales a los titulares
Riesgo Inicial (teniendo en cu
actuales)
CONTROLES EXISTENTES
PROBABILIDAD
(1-5)
A.5.1.1 - A.5.1.2. Se cuenta con manual de política s de TI y con una política

del SIG, que fue aprobada por resolución y tiene inmersa una directriz de
seguridad de la información.
El manual de política s fue aprobado por planeación y la dirección general. 4
+ Resolución 658 de 2014

A.6.1.1. Mediante resolución se asignaron responsabilidades al Comité de
Seguridad de la Información (CSI), El líder de Seguridad de la Información y
la Secretaría Técnica del CSI.
A.7.2.2. Procedimiento de Capacitación y Formación implementado
A.6.1.2. Separación de deberes en el proceso de Gestión Financiera

(Contabilidad, Presupuesto y Tesorería)
A.5.1.1 - A.5.1.2 - A.8.1.3 - A.6.1.2. Numerales 6.3.3.4, 6.3.3.5, 6.3.3.6.

6.3.3.7, 7.9.1.2 del documento "política s en Tecnologías de la Información y
las Comunicaciones - TIC"
A.15.1.2 - A.15.1.3. Cláusulas de confidencialidad en acuerdos contractuales
con contratistas/proveedores
A.15.1.2 - A.15.1.3 Manual de política s numerales 6.4.1.5 y 7.4.3

relacionados con cláusulas y acuerdos de confidencialidad
3
A.7.2.3. Manual de política s numeral 7.4.5 relacionado con sanciones
A.6.1.3. Procedimiento de atención a entes de control y vigilancia
3
A.7.2.3. Manual de política s numeral 7.4.5 relacionado con sanciones
A.12.2. Software para protección contra código malicioso en servidores,

estaciones de trabajo y equipos de cómputo del IDRD
5
A.7.3.1. Procedimiento de desvinculación de personal
A.7.3.1. El cambio de empleo se maneja como la terminación de empleo.

Para encargos o traslados se exige el acta de entrega.
4
A.7.1.1 - A.7.1.2 - A.7.2.1. Procedimiento de provisión del talento humano

A.7.1.1 - A.7.1.2 - A.7.2.1. Manual de contratación 2
A.7.3.1. Procedimiento de desvinculación de personal.
Se exige elaborar comunicación interna solicitando el examen médico de

egreso, informe de gestión y el diligenciamiento del acta de entrega
completamente diligenciada. con el visto bueno del Responsable del Área de
Desarrollo Humano. 3
A.12.3. Copias de seguridad a las base de datos (diariamente), a las

carpetas compartidas y a las estaciones de trabajo (mensual)
A.18.1.1. Plan de implementación de Ley 1712 de 2014

3
4
A.8.3.1. Bloqueo de medios removibles en equipos de tesorería
A.12.2. Protección contra códigos maliciosos en equipos de cómputo y

servidores
A.8.3.1. Bloqueo de medios removibles en equipos de tesorería
A.12.3. Copias de seguridad a las base de datos (diariamente), a las

carpetas compartidas y a las estaciones de trabajo (mensual)
3
A.12.3. Los backups de las bases de datos se generan diariamente y de
forma automática a la 1.00 p.m. y a las 7 p.m. de acuerdo con lo establecido 3
en el INSTRUCTIVO PARA REALIZAR BACK UP DE LAS BASES DE
DATOS.
En este backup se incluyen los datos de las carpetas compartidas de las

diferentes áreas, aplicaciones como (Orfeo, Zimbra, Isolución entre otras)
A.12.3. Semanalmente las copias de seguridad son recogidas por un

proveedor especializado en el almacenamiento de cintas de backups
A.9.2. Procedimiento de Otorgamiento de acceso a los medios de

procesamiento.
A.9.2.5 - A.9.2.6. Acta de entrega del cargo en la cuál se exige la entrega de

credenciales de acceso a los sistemas de información y su inactivación.
A.13.1. Protección de redes Wi-Fi con contraseña WPA2-personal y

2
separación de redes mediante VLANs
A.13.1. Protección perimetral mediante firewall e IPS
A.13.1. Restricción de navegación web mediante servidor proxy.
A.9.1.2 - A.9.2.3 - A.9.4.1. Procedimiento de Otorgamiento de acceso a los

medios de procesamiento.
A.9.1.2 - A.9.4.1. Procedimiento de Otorgamiento de acceso a los medios de

procesamiento.
3
3
4
A.9.4.4 - A.9.4.4 - A.12.5.1 - A.12.6.2. La mayoría de usuarios tienen
cuentas estándar que les restringe la instalación de programas utilitarios
privilegiados y limita las acciones que peden enviar al sistema operativo
desde la línea de comandos
A.9.4.4 - A.12.5.1 - A.12.6.2. Se restringe la instalación de software

mediante política s de directorio activo
A.9.4.4 - A.12.5.1 - A.12.6.2. Manual de política s sección 5.2 y política

6.3.3.2.1 y 6.3.3.6.9
A.13.1.3. Separación de ambientes de desarrollo, pruebas y producción
A.9.4.5. Acceso restringido a los códigos fuentes. Sólo se permite el acceso

del equipo de desarrollo 2
A.9.4.5. Almacenamiento central (GitHub) controlado de los códigos fuente
de programas
A.13.1.3. Ambiente de producción y de pruebas de software desarrollado
internamente es contratado mediante hosting
A.10.1.1. política general relacionada con criptografía
A.11.1 - A.11.1.2. Controles de acceso físico del edificio. Vigilancia privada,

recepción y control de acceso biométrico.
A.11.1.3 - A.11.1.5. Control de acceso al datacenter mediante cerradura

3
3
A.11.1.3. Control de acceso a las oficinas mediante cerradura
A.11.1.3 - A.11.1.5. Control de acceso al almacén mediante cerradura y

candado
A.11.2.2. Sistema de Alimentación Ininterrumpida (UPS)
A.11.2.4. Contrato de mantenimiento para el adecuado funcionamiento de
las UPS
2
A.11.2.1 - A.11.2.2. Tomas regulados para conectar equipos de cómputo
A.11.2.2. Dos enlaces de red con el mismo proveedor
A.11.1.4. Plan de emergencias
A.11.1.4. Pruebas periódicas al plan de emergencias

3
A.11.2.1 - A.11.1.4. DRP documentado
A.12.3. Procedimiento de copias de respaldo
A.11.2.4. Procedimiento de mantenimiento técnico de software y hardware

A.11.2.4. Contratos de mantenimiento y soporte con terceros
2
A.11.2.4. El área de sistemas en conjunto con los proveedores elaboran el
plan anual de mantenimiento.
A.11.2.5. No se permite el retiro de elementos si no se cuenta con el formato

diligenciado de retiro de elementos, firmado por la subdirectora
administrativa o el profesional especializado responsable de servicios
generales o el profesional encargado de apoyo corporativo. A excepción del
director y subdirectores, el retiro de equipos debe hacerse con orden de
salida, firmada por jefe del área y jefe de servicios generales.
En el caso de los visitantes que ingresan equipos de cómputo, estos deben

ser registrados en la recepción al ingresar y al momento de salir se verifica 2
que el código y la marca del equipo coincidan con el registro realizado al
momento de ingresar a las instalaciones.
A.11.2.5. Procedimiento Préstamo de Documentos del Archivo de Gestión,

Central e Históico
A.11.2.5. Procedimiento de Transferencias Documentales
A.11.2.5. Procedimiento de Administración de Correspondencia Interna y
Externa
A.12.3. Procedimiento de gestión de backups de la sede administrativa
3
3
A.12.3. Procedimiento de gestión de backups de la sede administrativa
3
A.12.1.1. Procedimiento de monitoreo
A.12.1.1. Procedimiento de soporte técnico de hardware y software
A.12.1.1. Procedimiento de gestión de actualizaciones y desarrollos de
software
A.12.1.1. Topología de red documentada
A.11.2.3. En datacenter se cumple con la normatividad de cableado

estructurado y el cableado está debidamente certificado
3
4
A.13.1.1. Procedimiento de monitoreo
A.12.1.4. Los tres ambientes (producción, desarrollo y pruebas) están

separados de manera virtual. Sin embargo, los tres ambientes están dentro
de la misma VLAN.
Se utilizan perfiles de usuario diferentes para acceder a sistemas 2

operacionales y ambientes de pruebas.
A.12.4.1. Se tienen activados registros de eventos en servidores, a nivel de

sistema operativo y a nivel de aplicaciones.
Las aplicaciones core del negocio tales como cactus, seven y orfeo se tienen
activados los registros de eventos.
En switches, APs y firewall se tienen activados los registros de eventos. 3

A nivel de equipos de computo se tienen activados los registros de eventos
del sistema operativo.
3
A.12.4.4. Los relojes están sincronizados con un servidor NTP por medio del
directorio activo.
2
A.6.1.4 - A.12.6.1. En los contratos de soporte se considera la actualización

periódica de los sistemas de información adquiridos. Actualmente está en
ejecución un contrato de consultoría para implementación del SGSI producto
del cual se ejecutaron pruebas de seguridad.
5
3
A.13.1.1 - A.13.2.1 - A.14.1.2 - A.14.1.3. La entidad cuenta con UTM

SonicWall con funcionalidades de Firewall, IDS, IPS, antivirus, restricción de
contenido.
A.13.1.1 - A.13.2.1 - A.14.1.2 - A.14.1.3. Asimismo, se cuenta con un

servidor proxy que restringe el contenido que puede ser accedido. Dos
perfiles. Tesorería, que funciona mediante lista blanca y un perfil general.
A.13.1.1 - A.13.2.1 - A.14.1.2 - A.14.1.3. El acceso a sistemas de 3

información está controlado por credenciales de usuario y contraseña.
A.13.1.1 - A.13.2.1 - A.14.1.2 - A.14.1.3. Las redes Wi-Fi están protegidas

mediante una contraseña WPA2
A.13.2.1. Las condiciones para el intercambios de información están
documentadas en la "Guía Protección Intercambio de Información"
A.13.2.1. Sección 7.9.6 del manual de política s de seguridad de la
información relacionada con política s de transferencia o intercambio de
información
A.13.2.3 - A.14.1.2. Envío de mensajería electrónica mediante HTTPS
A.13.2.3 - A.14.1.2. Análisis de virus para correos provisto por Gmail
3
A.13.2.3 - A.14.1.2. Análisis de virus para correos provisto por Gmail
3
A.6.1.3 - A.13.2.3 - A.14.1.2. La comunicación con entes de control se

realiza utilizando mecanismos definidos por los mismo entes de control, tales
como, firmas digitales, tokens para el acceso a los sistemas.
Adicionalmente, la información de estos sistemas de información se
transmite de forma cifrada.
A.16. Procedimiento de Gestión de incidentes
3
3
A.15.2.1. Proveedores tales como Oracle, Symantec, UPS Ingeniería y

Digital Ware reportan regularmente las actividades realizadas.
A.17.2. El mecanismo de redundancia con que se cuenta son las copias de

respaldo.
A.17.2. Se cuenta con redundancia a nivel de red. La redundancia es con el
3
mismo proveedor (ETB), pero por un canal diferente.
A.17.1.1 - A.17.2. DRP documentado
A.18.1.5. Contexto estratégico

A.18.1.1 - A.18.1.5. Normograma
A.18.1.5. Uso de controles criptográficos (firmas digitales, tokens) para envío

1
de información y/o acceso a sistemas de entes de control que lo requieren
A.18.1.5. Responsabilidades designadas para la comunicación con entes de

control (DIAN, Secreatría de Hacienda, entre otros)
4
A.18.2.1. Procedimiento de auditorías internas del sistema integrado de

gestión
A.18.2.1. Procedimiento de acciones correctivas
A.18.1.2. Sección 7.10.5, 7.11.3 y 7.14.1 del manual de política s de

seguridad de la información relacionadas con derechos de autor y propiedad
intelectual
A.18.1.2. Control de software instalado en equipos de cómputo mediante 1
System Center
A.18.1.3. Software gestión documental ISOlución que controla acceso a la

información mediante usuarios y contraseña y otorga acceso a la
información de acuerdo con los permisos asignados
A.18.1.3. Procedimiento de Gestión de Archivo
A.18.1.3. Procedimiento de Administración de Correspondencia 3
A.18.1.3. Procedimiento de Consultas y Préstamos de la Documentación de

los Archivos de Gestión, Central e Histórico
A.18.1.3. Instructivo para Efectuar Transferencia Documentales
A.18.1.3. Procedimiento de Control de Documentos y Registros
A.11.1.3 - A.18.1.3. Las oficinas se cierran con llave cuando se termina la
jornada laboral
4
4
A.7.1.2. El contrato se extiende durante el periodo que se puede contratar

normalmente, incluyendolo en el plan anual de adquisiciones del año
inmediatamente anterior.
3
A.7.1.2. Cumplimiento de anualidades
A.11.1.2 - A.11.1.3 - A.11.1.5 - A.11.2.1. El Datacenter quedará asegurado

adecuadamente mediante controles de acceso biométrico (Contrato de
modernización de las instalaciones)
A.11.1.2 - A.11.1.3 - A.11.1.5 - A.11.2.1. Los cuartos de cableado se
asegurarán mediante controles de acceso biométrico (Contrato de
modernización de las instalaciones)
4
A.11.1.2 - A.11.1.3 - A.11.1.5. Área de tesorería asegurada mediante
controles de acceso restringido.
4
A.18.1.4. Consentimiento para la intervención en el área de ciencias
aplicadas al deporte con adultos
4
consecuenc
ia
o Inicial (teniendo en cuenta los controles
actuales)
MEDIDA DE
CONTROLES ISO
TRATAMIENTO
IMPACTO NIVEL DE RIESGO 27001:2013
DEL RIESGO
(1-5) (P*I)
A.5.1.1
2 Err:520 Reducir
A.5.1.2
2 Err:520 Reducir A.6.1.1
A.7.2.1
3 Err:520 Reducir
A.7.2.2
A.5.1.1
A.5.1.2
A.6.1.2
A.7.2.3
A.8.1
A.8.2
4 Err:520 Reducir
A.8.3.3
A.13.2.2
A.13.2.4
A.15.1.1
A.15.1.2
A.15.1.3

A.6.1.5
4 Err:520 Reducir
A.7.2.3
A.6.2
A.12.2
A.7.1.2
A.7.3.1
A.7.2.1
3 Err:520 Reducir
A.7.3
A.7.2.1
3 Err:520 Aceptar
A.7.1.1
A.8.1.4
3 Err:520 Aceptar
A.12.3

A.18.1.4
5 Err:520 Reducir
A.18.1.4
A.8.3.1
A.12.2
4 Err:520 Reducir
A.13.1.1
A.13.1.2
A.8.3.1
A.13.1.1
3 Err:520 Reducir A.12.3

A.9.1.1
A.9.1.2
A.9.2.1
A.9.2.2
A.9.4.1
A.13.1.1
A.13.1.2
A.13.1.3
A.9.1.1
A.9.1.2
4 Err:520 Reducir
A.9.2.3
A.9.4.1
A.9.1.1
A.9.4.1
A.9.4.1
A.9.1.2
4 Err:520 Reducir
A.9.2.4
A.9.2.5
A.9.4.1
A.9.4.2
A.13.1.2

A.9.1.1
A.9.4.4
4 Err:520 Reducir
A.12.5.1
A.12.6.2
A.9.1.1
A.9.4.5
3 Err:520 Reducir
A.12.3
A.13.1.3
A.10.1.1
A.14.1.3
A.10.1.1
A.10.1.2
4 Err:520 Reducir
A.14.1.2
A.14.1.3

3 Err:520 Aceptar A.11.2.2
A.11.1.4
A.12.3
A.11.2.6
3 Err:520 Reducir
A.12.3
A.11.2.6
3 Err:520 Reducir
A.12.3
A.12.1.1
A.12.1.3

A.12.1.3
4 Err:520 Reducir
A.13.1.1
A.11.2.8
4 Err:520 Reducir
A.11.2.9

A.12.4.2
3 Err:520 Reducir
A.12.4.3
A.12.6.1
4 Err:520 Reducir
A.6.1.4
A.13.1.1
A.13.2.1
4 Err:520 Reducir
A.14.1.2
A.14.1.3
A.13.2.3
4 Err:520 Reducir
A.14.1.2
A.13.2.3
4 Err:520 Reducir
A.14.1.2
A.14.1.1
4 Err:520 Reducir
A.14.2
4 Err:520 Reducir A.16

4 Err:520 Reducir A.16

A.18.2.1
4 Err:520 Reducir
A.18.2.2
A.13.1.1
A.14.1.3
4 Err:520 Reducir A.18.1.3.

4 Err:520 Reducir A.18.1.3.
A.11.1.2
A.11.1.3
3 Err:520 Reducir
A.11.1.5
A.11.2.1
A.7.2.2
4 Err:520 Reducir
A.18.1.1
4 Err:520 Reducir
3 Err:520 Reducir
3 Err:520 Reducir
A.11.1.3
A.11.2.1
A.18.1.1
4 Err:520 Reducir
A.18.1.4
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
ACCIONES DEL PLAN DE TRATAMIENTO FECHA
Documentar una política general, alcance y objetivos de seguridad de la

6/30/2017
información
30/06/2017 se
Actualizar el manual de política s de seguridad de la información para ampliar el
modifica
alcance a toda la Entidad en lugar de Tecnología Informatica unicamente
30/06/2020
30/06/2017
se modifica
Aprobar la política general, el alcance, los objetivos de seguridad de la
30/06/2018
información y el manual de política s de seguridad de la información
se modifica
15/09/2019
31/07/2017
se modifica
Socializar e implementar el nuevo manual de políticas de seguridad de la
30/12/2018
información
se modifica
31/12/2019
Revisión periódica (al menos anualmente) de la política general, alcance y

30/06/2018
objetivos del SGSI, así como también el manual de política s de seguridad de la
se modifica
información con el fin de confirmar que sigue siendo válidos para la entidad y
30/06/2019
actualizarlos en caso de ser necesario.
30/06/2017
Definir la figura de Oficial de Seguridad de la Información. se modifica
30/06/2018
Documentar y socializar las responsabilidades del Oficial de Seguridad de la

6/30/2017
Información y las responsabilidades de los demás funcionarios.
31/08/2017
Asignar responsabilidades de seguridad de la información en manuales de
se modifica
funciones y/o contratos, así como también las responsabilidades genéricas de
30/06/2018
seguridad de la información en el manual de política s de seguridad de la
se modifica
información.
30/06/2020
30/06/2017
Actualizar procedimiento de capacitación Y formación para incluir aspectos
se modifica
relacionados con seguridad de la información
31/12/2019
Definir el plan anual de capacitación y formación en seguridad de la información 6/30/2017
20/02/2019
Ejecutar y hacer seguimiento al plan anual de capacitación, educación (formal y
se modifica
no formal) y formación en seguridad de la información
31/12/2019
Actualizar la política de separación de deberes para ampliar el alcance a toda la

6/30/2017
entidad y no solo a sistemas
Actualizar las políticas de seguridad relacionadas con el uso aceptable de los

6/30/2017
activos de información
Definir una política de seguridad de la información para la relación con
proveedores que defina entre otras cosas los requisitos mínimos a incluir en
acuerdos contractuales con contratistas/proveedores y el deber de los
supervisores de contrato de incluir los requisitos de seguridad de la información
adicionales a que haya lugar. Tener en cuenta cláusulas de confidencialidad, 6/30/2017
acuerdos sobre transferencia de información, el conocimiento y aceptación de
las políticas de seguridad de la información, etiquetado y manejo de información
de acuerdo con el procedimiento correspondiente y, requisitos específicos de
seguridad de la información de acuerdo con el tipo de proyecto
Actualizar la sección 7.4.5 del manual de política s de seguridad de la

información con el fin de indicar que el incumplimiento de las políticas de
6/30/2017
seguridad de la información se considera como una falta y será tratada de
acuerdo con el Código Disciplinario Único expedido por la Ley 734 de 2002.
14/07/2017
Aprobar el manual de política s de seguridad de la información actualizado se modifica
30/06/2018
31/07/2017
Socializar e implementar el nuevo manual de política s de seguridad de la
se modifica
información
30/12/2018
Documentar procedimiento de clasificación, etiquetado y manejo de la
6/30/2017
información
31/07/2017
Socializar e implementar procedimiento de clasificación, etiquetado y manejo de
se modifica
la información
30/12/2018
Definir, ejecutar y hacer seguimiento al plan anual de capacitación (formal y no

2/20/2019
formal) en seguridad de la información
30/06/2017
Documentar un inventario de activos de información y valorar los activos con el
se modifica
fin de determinar los niveles de protección requeridos
30/06/2018
Elaborar un directorio de autoridades a contactar para reportar incidentes de

seguridad de la información (por ejemplo, cuando se sospecha de violación de la 6/30/2017
ley)
Asignar responsabilidad para el contacto con el directorio de autoridades 6/30/2017

Incluir objetivos de seguridad de la información en los objetivos del proyecto
6/30/2017
(política s de seguridad de la información)
Realizar valoración de los riesgos de seguridad de la información en una etapa

temprana del proyecto, para identificar los controles necesarios (política s de 6/30/2017
seguridad de la información)
Hacer seguimiento a los riesgos y controles aplicados para tratar los riesgos,
6/30/2017
durante todas las fases del proyecto (política s de seguridad de la información)
Actualizar la sección 7.4.5 del manual de política s de seguridad de la

información con el fin de indicar que el incumplimiento de las políticas de
6/30/2017
seguridad de la información se considera como una falta y será tratada de
acuerdo con el Código Disciplinario Único expedido por la Ley 734 de 2002.
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Definir una política de dispositivos móviles que tenga en cuenta los riesgos de
6/30/2017
trabajar con dispositivos móviles
Establecer política s de teletrabajo que tengan en cuenta los riesgos que implica
el teletrabajo, los dispositivos que se usen para este fin y las comunicaciones
6/30/2017
(por ejemplo, la exigencia de uso de conexiones VPN para la conexión con
servidores del IDRD)
Definir política s de seguridad de la información relacionadas con mecanismos de

revisión de los equipos de contratistas/proveedores antes de permitir su conexión 6/30/2017
a la red, con el fin de validar que todo su software es licenciado.
Documentar una sección en el manual de política s de seguridad de la

información donde se indique que el incumplimiento de las políticas de seguridad
6/30/2017
de la información se considera como una falta y será tratada de acuerdo con el
Código Disciplinario Único expedido por la Ley 734 de 2002.
Entrenamiento para el personal que usa dispositivos móviles y equipos propios

en instalaciones del IDRD y para labores de teletrabajo con el fin de incrementar
el nivel de conciencia sobre los riesgos que introduce el uso de dispositivos 2/20/2019
móviles y equipos con software no licenciado, y los controles que se deberían
implementar (Plan Anual de capacitación y sensibilización)
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
31/07/2017
Incluir acuerdos de confidencialidad con funcionarios y contratistas se modifica
30/06/2018
Incluir cláusulas contractuales que indiquen los términos y condiciones del

31/07/2017
contrato que continúan durante un período determinado después de finalizado el
se modifica
contrato de funcionarios, contratistas y/o proveedores (por ejemplo,
30/06/2018
confidencialidad durante 5 años después de terminado el contrato)
Documentar el cambio de empleo en procedimientos de talento humano 30/06/2017

correspondientes (Desvinculación laboral y/o situaciones administrativas) o se modifica
documentar un nuevo procedimiento que describa el cambio de empleo 30/06/2018
31/07/2017
Socializar e implementar el procedimiento nuevo o los procedimientos
se modifica
actualizados
30/12/2018
Incluir cláusulas contractuales que indiquen los términos y condiciones del

31/07/2017
contrato que continúan durante un período determinado después de finalizado el
se modifica
contrato de funcionarios, contratistas y/o proveedores (por ejemplo,
30/06/2018
confidencialidad durante 5 años después de terminado el contrato)
Incluir en Acta de terminación de contrato la entrega de activos de información

12/30/2018
asignados.
Hacer seguimiento al plan de implementación de la Ley 1712 de 2014 y el

12/29/2017
decreto 103 de 2015
30/06/2017
política de tratamiento de datos personales se modifica
30/06/2018
Elaboración, ejecución y seguimiento al plan de implementación de la Ley 1581 y

6/30/2018
sus decretos reglamentarios
Definición e implementación de política s de medios removibles, teniendo en

cuenta las siguientes directrices:
1. sólo se deberían habilitar unidades de medios removibles si hay una razón de

6/30/2017
negocio para hacerlo.
2. En donde hay necesidad de usar medios removibles, se debería hacer
seguimiento a la transferencia de información a estos medios.
3. Promover el uso de carpetas compartidas en lugar de medios removibles.
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Definición e implementación de política s de medios removibles, teniendo en

cuenta las siguientes directrices:
1. sólo se deberían habilitar unidades de medios removibles si hay una razón de

negocio para hacerlo.
2. En donde hay necesidad de usar medios removibles, se debería hacer 6/30/2017
seguimiento a la transferencia de información a estos medios.
3. Promover el uso de carpetas compartidas en lugar de medios removibles.
4. La información clasificada o reservada que deba ser almacenada en medios
removibles debe ser cifrada.
5. Los backups que contengan información sensible para el IDRD deben cifrarse
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Actualizar, aprobar e implementar el procedimiento para incluir pruebas 30/06/2017

periódicas de restauración de copias de respaldo con el fin de validar que se se modifica
puede depender de la cintas de backups en caso de emergencia 30/06/2018
Definir política de suministro de acceso a los usuarios teniendo en cuenta la
asignación de contraseñas temporales seguras y la exigencia de cambio de 6/30/2017
contraseña después del primer ingreso de forma automática o manual.
Implementación de un segundo factor de autenticación para el acceso a sistemas

6/30/2017
y aplicaciones críticas del IDRD (política )
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Realizar cambios en la arquitectura de red de forma tal que el tráfico interno 29/12/2017
desde y hacia la VLAN de servidores pase a través del dispositivo de seguridad se modifica
perimetral 30/12/2018
Definir política donde se exija el uso de cuentas con privilegios mínimos para
labores operativas y uso de cuentas privilegiadas solo para labores específicas.
Por ejemplo, uso de cuenta con privilegios reducidos para monitoreo del 6/30/2017
dispositivo de seguridad perimetral y uso de cuenta privilegiada únicamente para
realizar cambios en la configuración del mismo.
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Establecer políticas de asignación de identidades de acceso únicas a cada

6/30/2017
persona
Definir política donde se indique que en caso de requerirse el uso compartido de

una cuenta debe estar aprobada por el líder del proceso y por Gestión de
6/30/2018
Tecnología de la Información y las Comunicaciones y, se debe dejar rastro de
auditoría del equipo desde el que fue usada la cuenta de usuario.
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Definir política de cambio de configuraciones por defecto del software y firmware
6/30/2017
utilizado en la entidad antes de ponerlo en producción
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Actualizar los procedimientos de talento humano para adicionar controles

adecuados relacionados con el retiro o ajuste de los derechos de acceso. Al
terminar el contrato, los derechos de acceso a información o a activos asociados
30/06/2017
con las instalaciones y servicios de procesamiento de la información se deberían
se modifica
retirar o suspender. Los cambios de empleo se deberían reflejar en el retiro de
30/06/2018
todos los derechos de acceso que no fueron aprobados para el nuevo empleo.
Los derechos de acceso que se deberían retirar o ajustar incluyen los de acceso
físico y lógico.
Definir política de revisión periódica de los derechos de acceso 6/30/2018
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Formularios de autenticación de las aplicaciones por https (política ) 6/30/2017
Implementación de un segundo factor de autenticación para el acceso a sistemas

6/30/2017
y aplicaciones críticas del IDRD (política )
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Actualizar política s de seguridad de la información relacionadas con el uso
6/30/2017
adecuado de contraseñas por parte de los usuarios
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
política para la implementación de los siguientes controles:
Configurar la Directiva "Software Restriction Policies" (SRP). Esta directiva

trabaja de dos formas, pemitir todo salvo lo denegado, o denegar todo salvo lo
explícitamente permitido. Adicionalmente, puede identificar aplicaciones por: 6/30/2017
nombre, path, extensión, zona de Internet, firma digital, o hashing.
A partir de Windows Server 2008 R2 y Windows 7, Windows AppLocker se puede

utilizar en lugar de o en conjunto con la directiva SRP.
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Realizar copias de respaldo de los códigos fuentes de programas mediante la

sincronización del servidor de GitLab con un repositorio en el Datacenter del 11/30/2018
IDRD.
Definir política s sobre el uso de controles criptográficos robustos 6/30/2017
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Definir política s sobre el uso, protección y tiempo de vida de controles

criptográficos durante su ciclo de vida (generación, almacenamiento, archivo, 6/30/2017
recuperación, distribución, retiro y destrucción)
Definir política de cambio periódico de llaves criptográficas o cada vez que se
6/30/2017
sospeche que han perdido confidencialidad
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Definir política donde se indique el uso de una bitácora para dejar registro de
6/30/2017
ingresos y salidas del datacenter
14/07/2017
Aprobar el manual de políticas de seguridad de la información actualizado se modifica
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Actualizar el DRP 6/30/2017
Implementar el DRP 6/29/2018
Realizar pruebas periódicas al DRP 12/28/2018
29/12/2017
Compra y ubicación de sensores para controlar las condiciones ambientales
Se modifica
(temperatura, humedad) apropiadas para el datacenter
30/06/2018
política de equipos fuera de las instalaciones 6/30/2017
Seguro para equipos portátiles 12/29/2017
política s de uso aceptable de los activos 6/30/2017

14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Definir política de borrado seguro de información antes de dar de baja o reutilizar
6/30/2017
equipos
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Documentar, aprobar e implementar procedimientos operacionales, tales como

instalación y configuración de sistemas, gestión de cambios, gestión de 12/29/2017
capacidad.
Implementar cableado estructurado de acuerdo con las normas ANSI/TIA/EIA-

568-B (Cableado de Telecomunicaciones en Edificios Comerciales; sobre como
cómo instalar el Cableado), ANSI/TIA/EIA-569-A (Normas de Recorridos y 6/30/2018
Espacios de Telecomunicaciones en Edificios Comerciales; sobre cómo enrutar
el cableado) ANSI/TIA 942 (Diseño y Cableado de un Centro de Datos)
Documentar procedimiento de gestión de cambios 6/30/2017
Socializar e implementar procedimiento de gestión de cambios 7/28/2017

Actualizar el procedimiento de monitoreo para incluir la gestión de capacidad en
servidores (a nivel de hardware y software) y estaciones de trabajo, además de
proyectar las necesidades de capacidad futuras para la entidad.
La gestión de capacidad incluye además de la medición de consumo de recursos:
+ Eliminar datos obsoletos (espacio en disco); 6/30/2017

+ realizar cierre definitivo de aplicaciones, sistemas, bases de datos o ambientes;
+ optimizar procesamiento por lotes;
+ optimizar las consultas de bases de datos o lógicas de las aplicaciones;
+ realizar una restricción de ancho de banda a servicios ávidos de recursos, si
estos no son críticos para el negocio (por ejemplo, video en tiempo real).
+ Realizar proyecciones de necesidades de capacidad futuras
28/07/2017
Socializar e implementar procedimientode gestión de cambios se modifica
30/06/2018
Documentar política s de equipo de usuario desatendido, escritorio limpio y

6/30/2017
pantalla limpia
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Verificar y habilitar en caso de ser necesario el registro de todos los intentos de

acceso exitosos y fallidos y, actividades críticas tales como inserción,
7/31/2018
modificación y borrado de información de las bases de datos en los sistemas de
información y sobretodo los sistemas de información expuestos hacia Internet.
Implementar mecanismo de centralización de logs y en la medida de lo posible sistemas
de correlación de eventos para facilitar el proceso de revisión de logs. 7/31/2018
12/31/2019
Definir política s de gestión de vulnerabilidades técnicas teniendo en cuenta:
+ definir y establecer los roles y responsabilidades asociados con la gestión de la

vulnerabilidad técnica, incluido el seguimiento de la vulnerabilidad, la valoración
de riesgos de vulnerabilidad, la colocación de parches, el seguimiento de activos
y cualquier responsabilidad de coordinación requerida;
+ definir los recursos de información que se usarán para identificar las
6/30/2017
vulnerabilidades técnicas pertinentes.
+ definir que la gestión de vulnerabilidades técnicas se realizará siguiendo el
procedimiento de gestión de cambios.
+ hacer seguimiento y evaluación regulares del proceso de gestión de
vulnerabilidad técnica, con el fin de asegurar su eficacia y eficiencia;
+ definir política s relacionadas con la ejecución periódica de pruebas de ethical
hacking, análisis de código y/o ingeniería social.
Definir política s relacionadas con la administración de actualizaciones teniendo

en cuenta la suscripción a grupos de interés con el fin de estar al tanto de nuevas
6/30/2017
vulnerabilidades conocidas, parches y/o actualizaciones del software y firmware
utilizado en la entidad
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Definir política s de seguridad relacionadas con las consideraciones a tener en
cuenta para la realización de auditorías a sistemas de información, teniendo en
cuenta:
+ que los requisitos de auditoría para acceso a sistemas y a datos se debe

acordar con el área de sistemas;
+ que el alcance de las pruebas técnicas de auditoría se debe acordar y controlar
por parte del área de sistemas;
+ establecer que las pruebas de auditoría se deben limitar para acceso a
software y datos únicamente en modo lectura; 6/30/2017
+ definir que el acceso diferente al de solo lectura solamente se debe prever para
copias aisladas de los archivos del sistema, que se deben borrar una vez que la
auditoría haya finalizado, o se debe proporcionar información apropiada si hay
obligación de mantener estos archivos bajo los requisitos de documentación de
auditoría;
+ que las pruebas de auditoría que puedan afectar la disponibilidad del sistema
se deberían realizar fuera de horas laborales;
+ hacer seguimiento de todos los accesos y logged para producir un rastro de
referencia de las actividades realizadas durante la auditoría.
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Utilizar mecanismos automáticos tales como soluciones tipo NAC o mecanismos

manuales tales como filtrado de MAC o asignación manual de direcciones IP con
6/30/2018
el fin de evitar que los puntos de la red cableada otorguen acceso a la red a
cualquier equipo que se conecte.
Implementar una DMZ y ubicar allí los servidores que publican servicios hacían 6/30/2018
Internet.
Se recomienda considerar la posibilidad de no exponer servicios tales como

ISOlución y Orfeo hacia Internet. En su lugar se recomienda publicar estos
12/29/2018
servicios únicamente en la intranet y si alguien requiere acceso remoto
proporcionar conexiones por VPN.
Definir contraseñas robustas para las redes Wi-Fi 6/30/2017
Cambiar la arquitectura de la red para que el dispositivo de seguridad UTM

6/30/2018
monitoree tanto el tráfico interno como el tráfico de la VLAN de servidores.
Habilitar verificación en dos pasos para la autenticación del correo electrónico

6/30/2017
(política )
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Ejecutar pruebas periódicas (al menos una vez al año) de ingeniería social con el
fin de concientizar a los funcionarios y/o contratistas sobre los riesgos a los que 12/30/2018
están expuestos
Definir, ejecutar y hacer seguimiento al Plan Anual de capacitación y

2/20/2019
sensibilización en seguridad de la información
Documentar procedimiento de clasificación, etiquetado y manejo de la

6/30/2017
información
Definir política s donde se exija la inclusión de requisitos de seguridad de la
información para desarrollos nuevos o mejoras al software existente; entre estos
6/30/2017
requisitos se encuentran la aplicación de principios de desarrollo seguro, las
pruebas de seguridad y pruebas de aceptación del software.
Definir política s donde se exija la inclusión de requisitos de seguridad de la

información para desarrollos contratados externamente; entre estos requisitos se 6/30/2017
encuentran la aplicación de principios de desarrollo seguro, las pruebas de segur
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Documentar principios de desarrollo seguro 6/30/2017
Documentar procedimiento de gestión de cambios que incluya cambios en

6/30/2017
paquetes de software
Socializar e implementar procedimiento de gestión de cambios 8/31/2017
Asegurar la protección de datos usados para pruebas teniendo en cuenta el

enmascaramiento de datos sensibles y/o el borrado de los datos copiados al 8/31/2017
ambiente de desarrollo después de terminadas las pruebas.
Actualizar procedimiento de gestión de incidentes de seguridad de la información

con el fin de incluir los eventos de seguridad de la información que deberían
reportarse, tales como:
+ errores humanos que afecten la confidencialidad, integridad y/o disponibilidad

de la información; 6/30/2017
+ violación de política s de seguridad de la información;
+ mal funcionamiento en el software o hardware;
+ violaciones de acceso físico o lógico.
+ ataques informáticos.
+ Alertas del software antivirus, firewall e IPS.
Actualizar procedimiento de gestión de incidentes de seguridad de la información
con el fin de incluir reuniones para analizar y tomar decisiones acerca de las
6/30/2017
lecciones aprendidas de los incidentes, con el fin de disminuir la posibilidad o
impacto de incidentes futuros
Definir procedimiento de recolección y preservación de evidencia digital 6/30/2017
socializar e implementar procedimiento de gestión de incidentes de seguridad de

8/31/2017
la información y procedimiento de recolección y preservación de evidencia
Definir política s de seguridad de la información relacionadas con la gestión de la

6/30/2017
prestación de servicios y la gestión de cambios en servicios con proveedores.
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Implementar redundancias a nivel de los puntos únicos de fallas 12/31/2018
Definir un Plan de continuidad del Negocio, que tenga en cuenta no sólo los
30/06/2017
recursos tecnológicos, sino también los demás activos de información, los
se modifica
procesos críticos del IDRD, y que incluya la continuidad de la seguridad de la
30/06/2018
información.
31/12/2018
Implementar el plan de continuidad de negocio se modifica
31/12/2019
Realizar pruebas periódicas (al menos anualmente) al plan de continuidad de
6/30/2019
negocio
Actualizar el DRP de la entidad 6/30/2017
Implementar el DRP 12/31/2018
Realizar pruebas periódicas (al menos anualmente) al DRP 6/30/2019

Definir política de revisión periódica a los sistemas de información, con el fin de
validar si los controles de hardware y software se implementaron de manera 6/30/2017
adecuada
31/08/2017
Socializar e Implementar política de revisión periódica de sistemas de
se modifica
información
30/12/2018
Realizar auditorías internas al SGSI de la entidad periódicamente (al menos una vez al
año) 7/19/2017
Definir política de revisiones periódicas por parte de los responsables de

6/30/2017
procesos
Definir política de revisión (al menos una vez al año) por la dirección 6/30/2017
14/07/2017
30/06/2018
31/07/2017
se modifica
información
30/12/2018
Implementar controles de transferencia de información en la nube mediante
12/31/2018
soluciones tipo DLP (Data Loss Prevention)
Hacer seguimiento al uso y actualización constante del FUID en las diferentes

6/29/2018
dependencias de la entidad.
Hacer seguimiento al cumplimiento de las directrices descritas en la TRD 6/29/2018

Hacer seguimiento al cumplimiento del procedimiento de clasificación, etiquetado
y manejo de la información y demás procedimientos relacionados con el manejo 6/29/2018
de documentación
Construir una bodega para archivo central con espacio suficiente para almacenar
12/31/2018
la información del IDRD
Realizar adecuación para el uso de las actuales oficinas de archivo central como
3/30/2019
archivos de gestión.
Realizar el traslado del archivo de gestión almacenado en las oficinas hacia el
6/30/2019
nuevo archivo de gestión
(Control de archivo para historias laborales independiente y con llave) 29/06/20018
(Archivo de gestión documental independiente de acuerdo con las regulaciones

29/06/20018
archivísticas)
(Estaciones de trabajo del área de sistemas aseguradas mediante control de

29/06/20018
acceso restringido por cerradura o acceso biométrico)
(Ubicación de estaciones de trabajo de sistemas de forma tal que no se vean las

29/06/20018
actividades de procesamiento de información)
Actualizar procedimiento de capacitación Y formación para incluir aspectos

6/29/2018
relacionados con seguridad de la información
Definir el plan anual de capacitación y formación en seguridad de la información 2/28/2018
Ejecutar y hacer seguimiento al plan anual de capacitación, educación (formal y

2/20/2019
no formal) y formación en seguridad de la información
Definir la figura de Oficial de Protección de Datos Personales 2/28/2018

Documentar y socializar las responsabilidades del Oficial de Protección de Datos
6/29/2018
Personales y las responsabilidades de los demás funcionarios.
Centralizar la información de los contratistas del IDRD. 6/29/2018
Permitir acceso (escritura) a la base de datos de contratistas con el fin de facilitar

6/29/2018
las labores de seguimiento por parte de los supervisores de contratos.
Peticiones anónimas relacionadas con datos personales no serán respondidas

2/28/2018
por parte del IDRD (política )
Validar la identidad de las personas que realizan solicitudes relacionadas con
2/28/2018
datos personales (política )
Aprobar el manual de política s de seguridad de la información actualizado 3/30/2018
3/30/2018
información
Elaborar documentos jurídicos relacionados con la autorización para el
1/31/2018
tratamiento de datos personales
Revisar y dar visto bueno a documentos jurídicos elaborados por la UT Password
2/28/2018
- Adalid
Socializar documentos jurídicos aprobados por el IDRD relacionados con Ley

3/30/2018
1581 de 2012
Implementar documentos jurídicos para la recolección de autorizaciones para el

6/29/2018
tratamiento de datos personales
Dar tratamiento de los datos personales teniendo en cuenta las finalidades
documentadas en la política de tratamiento de datos personales y aviso de 6/29/2018
privacidad de la entidad.
En caso de ser requerido, solicitar la inclusión de una nueva funcionalidad a la

6/29/2018
política de tratamiento de datos personales o aviso de privacidad del IDRD
Comunicar las finalidades existentes y nuevas a los titulares de datos personales

6/29/2018
que son tratados en el IDRD
Evidencias
Manual de Seguridad y
Privacidad de la
información.
DRIVE: carpeta Manual

de Seguridad y privacidad
de la información
Manual de politicas de
seguridad de la
ifnormación

de Politicas
No se ha formalizado la
aprobacion
Socialización de SGSI en
el año 2017 Segundo
semestre
Listas de asistencia que

reposan en el archivo de
la dependecia
La figura del oficial se
encuentra documentada
en el manual de seguridad
y privacidad de la
información
semestre

la dependecia
En los contratos se
definieron clausulas para
el cumplimiento del SGSI
Se incluye politica en el
manual de politicas
numeral
6.4.2.Capacitación y
Entrenamiento en
Seguridad de la
Información

de Politicas
Resolución 380 de 2017
manual de politicas
numeral 6.2.2 Separación
de Deberes

de Politicas
manual de politicas
numeral 6.5.3 Uso
aceptable de los activos

de Politicas
manual de politicas
numeral 6.18. RELACIÓN
CON LOS
PROVEEDORES

de Politicas
manual de politicas
Medidas a Adoptar en
Caso de Incumplimiento

de Politicas
semestre

reposan en el archivo
Se encuentra de
publicado
laendependecia
Isolución.
Inventario de activos de
información actualizado
para los 7 procesos del
alcance
DRIVE: carepeta
"Procedimientos/Gestión
Directorio deIventario
de activos/ autoridades
de
y grupos de interes
activos de información"
DRIVE: carpeta "Politica,
confidencialidad y
directorio de interes"
gestión de incidentes
publicado en isolución.
manual de politicas
numeral 6.2.4. Seguridad
de la Información en la
Gestión de Proyectos
Se incluye
DRIVE: politica
carpeta en el
Manual
manual de politicas
de Politicas
Se incluye
DRIVE: politica
carpeta en el
Manual
manual de politicas
de Politicas
Se incluye
DRIVE: politica
carpeta en el
Manual
manual de politicas
de Politicas

de Politicas
semestre
manual
Listas de politicas
de asistencia que
reposan en el 6.3.1.
numeral archivo de
Dispositivos Móviles
la dependecia
manual
DRIVE: de politicas
carpeta Manual
numeralde 6.3.2. Teletrabajo
Politicas

de Politicas
manual de politicas
numeral 6.3.1.3

de Politicas
manual de politicas

de Politicas
pendon publicado
semestre

la dependecia
En los contratos se
definieron clausulas para
elSe
cumplimiento del en
incluye politica SGSI
el
manual de politicas
de la información en las
relaciones con los
Proveedores

de Politicas
Desvinculación del
personal
DRIVE: carpeta
"procedimiento/TH"
manual de politicas
de la información en las
relaciones con los
Proveedores

de Politicas
La oficina de atención al
ciudadano realiza
seguimiento periodico de
implementación. (Nicolas
Amortegui)
Se encuentra definida en
el manual de tratamiento
de datos personales
publicado en isolución
manual de politicas
numeral 6.5.6. Gestión de
Medios Removibles

de Politicas
semestre

la dependecia
manual de politicas
numeral 6.5.6. Gestión de
Medios Removibles

de Politicas
semestre

la dependecia
El procedimiento se
encuentra publicado en
isolución con aprobación
del 31 de mayo de 2018.
Se encuentra en proceso
de implementación.
manual de politicas
numeral 6.6.5. Control de
Acceso a Sistemas y
Aplicaciones
manual de politicas
numeral 6.6.5. Control de
Acceso a Sistemas y
de Politicas
Aplicaciones

de Politicas
semestre

la dependecia
manual de politicas
numeral 6.6.1. política de
Control de Acceso

de Politicas
semestre
Listas de asistencia
Se incluye politica enque
el
reposan en el archivo
manual de politicas de
numeralla dependecia
6.6.3. Gestión de
Acceso de Usuarios

de Politicas
semestre
manual de politicas
numeral
Listas de6.6.5. Control
asistencia de
que
Accesoen
reposan a Sistemas
el archivo yde
laAplicaciones
dependecia
DRIVE: carpeta
Socialización Manual
de SGSI en
de2017
el año Politicas
Segundo
semestre

la dependecia
Procedimiento situaciones
administrativas
DRIVE: carptea
"procedimientos/TH"
semestre
manual de politicas
numeral
Listas de6.6.5.
Se incluye Control
asistencia
politica enquede
el
Acceso
reposan
manual a Sistemas
ende
el politicas
archivo dey
numeral laAplicaciones
dependecia
6.6.5. Control de
Acceso a Sistemas y
Aplicaciones
de Politicas
DRIVE: carpeta
Socialización Manual
de SGSI en
Se de
incluye Politicas
politica
el año 2017 Segundo en el
manual de politicas
semestre
numeral 6.6.4. Uso de
ListasInformación de que
de asistencia
Autenticación
reposan Secretade
en el archivo
(Responsabilidades
la dependecia de los
Usuarios)
DRIVE: carpeta
el año 2017 Manual
Segundo
de Politicas
semestre

la dependecia
manual de politicas
numeral 6.13.1.
Instalación de software en
sistemas operativos

de Politicas
semestre

la dependecia
manual de politicas
numeral 6.7. Controles
Criptográficos
de Politicas
semestre

reposan en politica
Se incluye el archivo
en de
el
la dependecia
manual de politicas
Criptográficos
manual
DRIVE: de politicas
carpeta Manual
de Politicas
Criptográficos
de Politicas
semestre
Listas de asistencia
manual que
de politicas
reposan
numeral 6.8.1. Áreasde
en el archivo
la dependecia
Seguras
de Politicas
semestre

la dependecia
Plan de recuperación de
desastres
DRIVE: carpeta "BCP-

DRP"
manual de politicas
de equipos y activos fuera
de las instalaciones
DRIVE: carpeta
Se incluye Manual
politica en el
de Politicas
manual de politicas
numeral 6.5.3. Uso
aceptable de los activos
de Politicas
semestre
manual
Listas de politicas
de asistencia que
numeral
reposan en el 6.8.7.
archivo de
Disposición Segura o
la dependecia
Reutilización de Equipos
de Politicas
semestre

la dependecia
Se aprobaron los
procedimientos de gestión
de cambios, gestión de
capacidad y mantener las
herramientas tecnológicas
Procedimiento publicado
Procedimiento
en isolucion en
implementación.
Carpeta con solicitud de
cambio en el archivo del
área
en isolucion
manual de politicas
numeral 6.8.8. política de
Equipo Desatendido,
Escritorio Limpio y
Pantalla Limpia
de Politicas
semestre

la dependecia
manual de politicas
numeral 6.14.1. Gestión
de las vulnerabilidades
técnicas
de Politicas
manual de politicas
numeral 6.2.3. Contacto
con Autoridades y Grupos
de Interés
de Politicas
semestre

la dependecia
manual de politicas
numeral 6.15.1.
Controles sobre auditorías
de sistemas de
información
de Politicas
semestre

la dependecia
manual de politicas
numeral 1.1.1. Acceso a
Redes y a Servicios en
Red
de Politicas
manual de politicas
numeral 6.6.5. Control
de Acceso a Sistemas y
Aplicaciones
de Politicas
semestre

la dependecia
en isolucion
semestre
Principio de desarrollo
Listas deseguro
asistencia que
la dependecia
DRIVE: carpeta
Procedimiento de
"procedimientos/Desarroll
desarrollo y/ actualizacion
de software o"
Procedimiento
publicadoen en
implementación.
isolucion
Carpeta conpolitica
Se incluye solicitud
en de
el
cambio
manual de politicasdel
en el archivo
área
numeral 6.17.2.8. Datos
de Prueba
de Politicas
en isolucion
en isolucion
Instructivo publicado en
isolucion
la dependecia
manual de politicas
numeral 6.18. Relación
Con Los Proveedores
de Politicas
semestre

la dependecia
Plan de recuperación de
desastres
DRIVE: carpeta "BCP-

DRP"
manual de politicas
numeral 6.22.3. Revisión
del cumplimiento técnico
de Politicas
semestre

la dependecia
manual de politicas
numeral 6.22.1. Revisión
Seindependiente
incluye politicadeenla el
manual de politicas
seguridad de la
numeralinformación
6.1. revisión de la
política y el manual
DRIVE: carpeta de
Manual
política
de s
Politicas
de Politicas
semestre

la dependecia
SEGUIMIENTO #1
Se generó el documento Manual de Seguridad y Privacidad de la Información por parte de la UT Password - Ad

está en proceso de revisión y aprobación
Se debe realizar seguimiento y actualizacion para agregar nuevos procesos, actualizacion de activos de informa
El Manual de políticas de seguridad de la información fue actualizado por el consultor de la UT Password - Adal
encuentra en proceso de revisión y aprobación
La política general, el alcance, los objetivos de seguridad de la información y el manual de política s de segurid
información aún se encuentran en proceso de revisión y aprobación
Se encuentra en proceso de socialización el manual de política s de seguridad de la información

Se encuentra definida en el documento Manual de Seguridad y privacidad de la información.
Se encuentra en proceso de resolución
Se encuentra definida en el documento Manual de Seguridad y privacidad de la información asi como en el man
política de seguridad.
Se encuentra en proceso de socialización
Se envió memorando a contratación para inclusión de responsabilidades en los contratos
Las responsabilidades genéricas de seguridad de la información se encuentran definidas en el Manual de polític

Seguridad y Privacidad de la Información.
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.4.2. Capacitación y

Entrenamiento en Seguridad de la Información
De acuerdo a resolución 380 de 2017 se elabora plan de capacitación para el año 2017 y 2018. En dicho plan s
encuentra establecido el contenido temático: Seguridad de la información (Hacking ético, ingeniería social, prue
pentesting y auditoría)
En el plan de capacitaciones para vigencia 2020 se propone incluir Capacitacion y entrenamiento en Seguridad
Informacion
Se encuentra establecido en el manual de funciones, contratos y Manual de política s de Seguridad de la Inform
Se encuentra en el Manual de política s de Seguridad de la Información y en proceso de socialización

Se encuentra definido en el Manual de política s de Seguridad de la Información
Se encuentra definido en el Manual de política s de Seguridad de la Información
Se encuentra en proceso de revisión y aprobación
El procedimiento de etiquetado y manejo de información está en proceso de revisión y aprobación
Una vez aprobado el procedimiento de etiquetado y manejo de información, se realizará la respectiva socializac
El inventario de activos de información se encuentra documentado
Se crea directorio con las autoridades y grupos de interés. Al correo sgsi@idrd.gov.co llegan notificaciones de m
y reporte de vulnerabilidades. Como parte de la implementación de CSIR Gobierno llegan notificaciones a los co
de marie.ruiz@idrd.gov.co y monica.sejin@idrd.gov.co
Las responsabilidades en cuando a contacto con las autoridades de encuentran definidas en el el procedimiento
gestión de incidentes de seguridad y en el procedimiento de atención a entes de control y vigilancia
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.2.4. Seguridad de la
Información en la Gestión de Proyectos
Se envió memorando al área de apoyo a la contratación para la inclusión de objetivos de seguridad de la inform


En el Manual de política s de Seguridad de la Información se encuentra definida política para Medidas a Adopta
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.3.1. Dispositivos Móv
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.3.2. Teletrabajo
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.3.1.3,3
se prublico pendon en los pasillos de IDRD para control de acceso a redes inalambricas

Una vez se encuentre aprobado el Manual de política s se realizará la respectiva firma de acuerdos de confiden
e inclusión para las próximas contrataciones
Se encuentra estipulado en el acuerdo de confidencialidad
Se realiza modificación a los procedimientos relacionados con las desvinculación laboral, situaciones administra
cambio de empleo (traslado)
Una vez aprobados se realizará la socialización de los procedimientos
Se encuentra estipulado en el acuerdo de confidencialidad
Se realiza seguimiento por parte del área de atención al ciudadano

Se encuentra en proceso de ejecución el contrato
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.5.6. Gestión de Medio
Removibles (unidades de almacenamiento)
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.5.6. Gestión de Medio
Removibles (unidades de almacenamiento)
Se encuentra en proceso de modificación el procedimiento de gestión de backups

En el Manual de política s de Seguridad de la Información se encuentra definida política 6.6.5. Control de Acces
Sistemas y Aplicaciones
Debido a que se encuentra en proceso de remodelación y se requiere adquisición de dispositivo y configuración

mismo se reprograma actividad
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.6.1. política de Contro
Acceso
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.6.3. Gestión de Acce
Usuarios

Se realiza modificación a los procedimientos relacionados con las desvinculación laboral, situaciones administra
cambio de empleo (traslado)
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.6.4. Uso de Informaci
Autenticación Secreta (Responsabilidades de los Usuarios)

En el Manual de política s de Seguridad de la Información se encuentra definida política 6.13.1. Instalación de s
en sistemas operativos
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.7. Controles Criptográ
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.8.1. Áreas Seguras

Se encuentra en proceso de actualización el documento de DRP
Se encuentra en el plan de adquisición la compra de termhigrometro para el datacenter
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.8.6. Seguridad de equ
activos fuera de las instalaciones
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.5.3. Uso aceptable de
activos
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.8.7. Disposición Segu
Reutilización de Equipos
Se documenta y aprueba el procedimiento de gestión de cambio y está en proceso de implementación.
El procedimiento de gestión de capacidad se encuentra en aprobación al igual que el de gestión y mantenimient

herramientas tecnológicas
Se documenta el procedimiento de gestión de cambio
El procedimiento de gestión de capacidad se encuentra en aprobación, una vez aprobado se realizará la

implementación.
Se actualiza el procedimiento de gestión de capacidad para las estaciones de trabajo y servidores
El procedimiento se encuentra en revisión para posterior aprobación, socialización e implementación
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.8.8. política de Equipo
Desatendido, Escritorio Limpio y Pantalla Limpia
Se instalo enterpraise manger de oracle para realizar la revision y seguimiento a los acceso y modificaciones a l
de datos, se realizaron ajustes en el directorio activo para desactivar usuarios no autorizados
se implementos un servicio de administracion de logs de firewall, se estan realizando pruebas para implementa
los servidores de infraestructura tecnologica
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.14.1. Gestión de las
vulnerabilidades técnicas
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.2.3. Contacto con
Autoridades y Grupos de Interés

En el Manual de política s de Seguridad de la Información se encuentra definida política 6.15.1. Controles sobre
auditorías de sistemas de información
En el Manual de política s de Seguridad de la Información se encuentra definida política 1.1.1. Acceso a Re

Servicios en Red

se realizaron actividades de ingenieria social en 2018
se propoenen cambios en el plan anual de capacitacion para el 2020
El procedimiento de etiquetado y manejo de información está en proceso de revisión y aprobación
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.17. Adquisición, Desa
Mantenimiento de Sistemas
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.17. Adquisición, Desa
Mantenimiento de Sistemas
Se documentan los principios de desarrollo seguro
La gestión de cambio para desarrollo de software se maneja desde el procedimiento de desarrollo y/o actualizac
software
El procedimiento de gestión de cambios se encuentra en aprobación, una vez aprobado se realizará la impleme
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.17.2.8. Datos de Prue
Se actualiza el procedimiento de gestión incidentes de seguridad de la información

Se actualiza el procedimiento de gestión incidentes de seguridad de la información
se elabora instructivo para la recolección de la evidencia digital
Se socializa e implementa el procedimiento de gestión de incidentes e instructivo de preservación de evidencia
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.18. Relación C

Proveedores
Se encuentra en proceso de revisión BCP
Se esta realizando el documentos se encuentra en recolpilacion de documentacion del area de sistemas
Se realiza actualización del documento DRP

En el Manual de política s de Seguridad de la Información se encuentra definida política 6.22.3. Revisión del
cumplimiento técnico
Se encuentra definido en el Manual de seguridad y privacidad de la información
Actualmente está en proceso de aprobación para su posterior socialización

En el Manual de política s de Seguridad de la Información se encuentra definida política 6.22.1. Revisión
independiente de la seguridad de la información
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.1. revisión de la polític
manual de política s
Se encuentra en proceo de contrucción la bdega para almacenamiento del archivo de gestión.

FECHA SEGUIMIENTO RESPONSABLE SEGUIMIENTO #1
8/11/2017 Área de Sistemas

Planeación y Sundirección Administrativa y
8/11/2017
Financiera
8/11/2017
8/11/2017










8/11/2017
5/17/2019
5/17/2019

8/11/2017

5/14/2019
8/11/2017
8/11/2017

5/17/2019


SEGUIMIENTO #2
Se realizó modificación del alcance por observación realizada en auditoría documental
El manual de políticas fue modificado y se encuentra en proceso de revisión y aprobación
La política general, el alcance, los objetivos de seguridad de la información y el manual de política s de segurid
proceso de revisión y aprobación
Se realizó la socialización de las políticas y se encuentran en proceso de implementación

Se encuentra definida en el documento Manual de Seguridad y privacidad de la información.
Se encuentra en proceso de resolución
Se realiza modificación a las responsabilidades definidas en el documento Manual de Seguridad y privacidad de

política de seguridad.
Se realizaron charlas en cada una de las dependencias dando a conocer las responsabilidades
En las obligaciones de los contratistas se encuentran definidas responsabilidades en seguridad de la informació
En el plan de capacitaciones para vigencia 2020 se propone incluir Capacitacion y entrenamiento en Seguridad
La política se encuentra definida en el manual de política s que está en proceso de aprobación

Se encuentra en proceso de aprobación
Se ha adelantado la tarea de socialización en cada una de las oficinas
Se aprobó el procedimiento etiquetado y manejo de que está en el cual se encuentra cargado en isolucion.
Se requiere concepto jurídico de la clasificación de los activos de información. Una vez se tenga el concepto jur
se comenzará a implementar el procedimiento.
Activos de información documentados y se encuentran en jurídica para emisión de concepto
Se crea directorio con las autoridades y grupos de interés. Al correo sgsi@idrd.gov.co llegan notificaciones de m
parte de la implementación de CSIR Gobierno llegan notificaciones a los correos de mariae.ruiz@idrd.gov.co y s
Las responsabilidades en cuando a contacto con las autoridades de encuentran definidas en el el procedimiento
procedimiento de atención a entes de control y vigilancia
Se realiza control de los cambios en los proyectos mediante el procedimiento de gestion de cambio de segurida
Se realizaron reuniones de socialización del SGSI en las oficinas de la sede central del IDRD

Se han adelantado charlas de socialización en cada una de las oficinas
Se incluye obligaciones en los contratistas y se encuentra en proceso de validación la implementación del acuer
Se encuentra en proceso de validación con las áreas responsables
Se realiza modificación a los procedimientos
Se encuentra en proceso de validación con las áreas responsables

Se elaboró la política y se encuentra en el área de jurídica para su revisión
Se elaboró el procedimiento para la gestión de backup y se encuentra en proceso de aprobación


Se realiza modificación a los procedimientos


Se elaboró el documento DRP por parte de la UT Password-Adalid

El procedimiento de gestión de cambio ya se encuentra probado se da inicio a la implementación

Se encuentra en proceso el procedimiento de gestión de capacidad para los equipos de cómputo y servidores
El procedimiento de gestión de cambio se encuentra en revisión y aprobación. Una vez aprobado se realizará la



Se aprobó el procedimiento etiquetado y manejo de que está en el cual se encuentra cargado en isolucion.
El procedimiento de gestión de cambio ya se encuentra probado se da inicio a la implementación

Los documentos se encuentran en revisión

Se encuentra definido en el Manual de seguridad y privacidad de la información
Actualmente está en proceso de aprobación para su posterior socialización

RESPONSABLE
FECHA SEGUIMIENTO
SEGUIMIENTO #2

5/14/2019






11/24/2017










SEGUIMIENTO #3
La política general, alcance y objetivos del SGSI se encuentra documentada en el Manual de Seguridad y Priv
Se actualiza el Manual de política s de Seguridad de la Información.
Tanto el Manual de Seguridad y Privacidad de la Información como el Manual de política s de Seguridad se enc
aprobación.
Se realizaron campañas de sensibilización por cada una de las oficinas para dar a conocer las políticas generale
información.
La figura de Oficial de Seguridad de la Información se encuentra definida en el Manual de Seguridad y Privacida
Se encuentra en proceso en proceso de resolución la asignación.
Las responsabilidades se encuentran documentadas en el Manual de Seguridad y Privacidad, el Manual de polí

información.
Se realizaron campañas de sensibilización para dar a conocer dichas responsabilidades.
Las responsabilidades del oficial de seguridad de la información se encuentran definidas en el Manual de Segur
Información. Para los funcionarios y contratistas las responsabilidades se encuentran definidas en el Manual de
la información, los procedimientos de seguridad, las obligaciones contractuales y la resolución de confidencialid
proceso de vito bueno jurídico .
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.2.2. Separación de D
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.5.3. Uso aceptable de
En el Manual de política s de Seguridad de la Información se encuentra definida política 6.18. relación con los p
Incumplimiento
El Manual de política s de Seguridad de la Información se encuentra en proceso de revisión para aprobación.
información.
El procedimiento de etiquetado y manejo de la información se encuentra documentado y aprobado para su impl

con fecha 6 de octubre de 2017
El procedimiento de etiquetado y manejo de información se socializó en charlas realizada en cada una de las of
Para la implementación de este procedimiento se envió el inventario de activos de información a jurídica y estos
la confidencialidad de los activos descritos, sin embargo se requiere reunión con los dueños de los procesos pa
de algunos activos. De igual manera se encuentra en proceso de identificación y valoración de activos de inform
procesos que entran en el alcance del subsistema.
El inventario de activos de información se encuentra en proceso de actualización debido a que se solicitó conce
confidencialidad y se requieren reuniones para comenzar con la implementación del procedimiento de etiquetad
encuentra en proceso de inclusión la identificación y valoración de los activos de información para planeación de
de la recreación.
información.

información.
Se encuentra en proceso de aprobación por parte de la oficia jurídica la resolución por la cual se establece el co
confidencialidad para los funcionarios del IDRD, para los contratistas se implementan cláusulas contractuales

relaciones con los Proveedores, una vez aprobado se incluirán las clausulas en los contratos.
Los procedimientos se encuentran en revisión

relaciones con los Proveedores, una vez aprobado se incluirán las clausulas en los contratos.
Se encuentra en la secretaria general para aprobación
información.
información.
El procedimiento se encuentra en secretaría general para aprobación

información.
información.

información.
información.
Los procedimientos se encuentran en revisión
información.
información.
información.
información.
información.
información.

información.
información.
información.
Se encuentra en implementación el procedimiento

información.
información.
información.

información.
El procedimiento de etiquetado y manejo de la información se encuentra documentado y aprobado para su impl

con fecha 6 de octubre de 2017
información.
Se encuentra en implementación el procedimiento

información.
Se encuentra en proceso de modificación para inclusión de los procesos misionales

información.
información.
FECHA RESPONSABLE
SEGUIMIENTO SEGUIMIENTO #3
















SEGUIMIENTO #4
Se actualizan las fechas de cumplimiento para actualizacion de el manuel de politicas

de seguridad de la informacion
Tanto el Manual de Seguridad y Privacidad de la Información como el Manual de

política s de Seguridad se encuentra en revisión para aprobación.
Se realizaron campañas de sensibilización mediante publicacion de pendones en los

pasillos principales del IDRD
Las responsabilidades del oficial de seguridad de la información se encuentran
definidas en el Manual de Seguridad y Privacidad de la Información. Para los
funcionarios y contratistas las responsabilidades se encuentran definidas en el
Manual de política s de Seguridad de la información, los procedimientos de
seguridad, las obligaciones contractuales y la resolución de confidencialidad que se
encuentra en proceso de vito bueno jurídico .
En el Manual de política s de Seguridad de la Información se encuentra definida

política 6.5.3. Uso aceptable de los activos
política 6.18. relación con los proveedores

política para Medidas a Adoptar en Caso de Incumplimiento
El Manual de política s de Seguridad de la Información se encuentra en proceso de

revisión para aprobación.
Se tienen proyectadas socializaciones para ser ejjecutadas en el 4 trimetre de 2019
Se aprobó el procedimiento etiquetado y manejo de que está en el cual se encuentra

cargado en isolucion.
Se esta a la espera del concepto juridico de clasificacion de informacion, la ficina

asesora juridica esta responsable del avance de la gestion
Se encuentra actualizado el incentario de activos, se solicitó concepto a jurídica del

nivel de confidencialidad y se requieren reuniones para comenzar con la
implementación del procedimiento de etiquetado
política 6.18.1. Seguridad de la información en las relaciones con los Proveedores,
una vez aprobado se incluirán las clausulas en los contratos.
Se realizan los cambios en el procedimiento para incluir los traslados de

dependeincia, esta en revision en el area de sistemas
Se aprueba el Manual de tratamiento de datos personales el 31 de mayo de 2018
Se aprobaron los procedimientos y se encuentran publicado en isolución
consecuenc
ia
Riesgo Residual
EVALUACIÓN DEL
FECHA RESPONSABLE CONTROL PROBABILIDAD IMPACTO
SEGUIMIENTO SEGUIMIENTO #4 (1-5) (1-5)
4 2
4 2
4 3


3 4
3 2
3 4
5 3
4 4
4 3
2 3
3 3
3 3
6/7/2018 Monica Sejin
4 5
4 4
4 4
3 3
3 3
2 4
2 4
3 3
3 3
4 4
4 4
4 4
4 3
2 4
2 3
4 4
4 4
3 3
3 3
2 3
3 3
2 3
2 3
3 3
3 3
4 3
6/7/2018 Monica Sejin
3 3
3 3
4 3
3 4
4 4
2 3
3 3
3 3
4 3
2 3
5 4
3 3
3 4
3 4
3 4
4 4
4 4
3 4
3 4
4 4
3 4
4 4
1 3
4 4
4 4
4 4
1 3
3 3
4 4
4 4
3 2
4 3
4 4
4 4
4 3
4 3
4 4
4 4
esgo Residual
MEDIDA DE
Seguimiento No. 1
TRATAMIENTO
NIVEL DE RIESGO control Interno
DEL RIESGO
(P*I)
Se documentó el manual de seguridad

y privacidad de la información y el
manual de política s de seguridad de la
información.
Err:520 Reducir Se han realizado cambios al manual de

seguridad y privacidad de la
información y al manual de política s de
seguridad de la información. Dichos
documentos se encuentran en proceso
de aprobación.
Se define la figura de oficial de
seguridad en el manual de seguridad y
privacidad de la información.
Err:520 Reducir
Se han realizado cambios al manual de
información y se encuentra en proceso
de aprobación.
Se crea política de capacitación en

seguridad de la información en el
manual de política s de seguridad de la
información.
Err:520 Reducir
Se realizará capacitación por el área de
talento humano en donde se incluirán
aspectos de seguridad de la
información
Se crean las políticas en el manual de
política s de seguridad de la
información.

Err:520 Reducir información y se encuentra en proceso
de aprobación.
Se deben realizar reuniones con los

dueños de los activos para dar
seguimiento a la implementación del
procedimiento de etiquetado
Se cuenta con directorio de contacto

con las autoridades y están llegando
Err:520 Reducir notificaciones al correo
sgsi@idrd.go.vo y
monica.sejin@idrd.gov.co
de aprobación.
Err:520 Reducir
Se remitió memorando al área de
contratación para la inclusión de
objetivos de seguridad de la
información en los proyectos y
cláusulas contractuales.

Err:520 Reducir
de aprobación
En proceso de revisión legal por parte
de la oficina jurídica se encuentra la
resolución por la cual se establece el
compromiso de reserva y
confidencialidad.
Err:520 Reducir
Una vez aprobado el manual de política

s de seguridad de la información se
debe incluir cláusulade cumplimiento
para los contratistas
Se encuentra en proceso de revisión el

procedimiento de situaciones
administrativas.
Err:520 Reducir
Una vez aprobado el manual de política
s de seguridad de la información se
debe incluir cláusula de cumplimiento
para los contratistas
Err:520 Aceptar
Err:520 Aceptar
En el área de atención al ciudadano se

encuentra contratado un profesional
Err:520 Reducir para realizar el seguimiento e
implementación a la ley de
transparencia
La política de tratamiento de datos
Err:520 Reducir personales se encuentra en proceso de
aprobación

Err:520 Reducir
de aprobación.

Err:520 Reducir
de aprobación.
Se elaboró el procedimiento y se
Err:520 Reducir
encuentra en aprobación
Se elaboró el procedimiento y se
Err:520 Reducir
encuentra en aprobación

Err:520 Reducir
de aprobación.

Err:520 Reducir
de aprobación.

Err:520 Reducir
de aprobación.
Err:520 Reducir
de aprobación.

Err:520 Reducir
de aprobación.
El procedimiento de desvinculación de
Err:520 Reducir
personal se encuentra en revisión

Err:520 Reducir
de aprobación.

Err:520 Reducir
de aprobación.
Err:520 Reducir
de aprobación.
Err:520 Reducir

Err:520 Reducir
de aprobación.

Err:520 Reducir
de aprobación.

Err:520 Reducir
de aprobación.
Err:520 Reducir
de aprobación.
Err:520 Aceptar
La consultoría elaboro el documento

DRP
Err:520 Reducir
Se tienen programadas pruebas de
ejecución del PCN
Err:520 Aceptar
Err:520 Aceptar

Err:520 Reducir
de aprobación.
Err:520 Reducir
de aprobación.

Err:520 Reducir
de aprobación.
El procedimiento de gestión de
cambios se encuentra aprobado para
Err:520 Reducir su implementación y se encuentra en
aprobación el procedimiento de gestión
de capacidad
Se encuentra en proceso de
implementación el cableado
Err:520 Reducir
estructurado de acuerdo a anexo 16
del contrato 421 de etb
El procedimiento de gestión de cambio

Err:520 Reducir se encuentra aprobado y se está
implementando
El procedimiento se encuentra en
Err:520 Reducir
secretaria general para aprobación

Err:520 Reducir
de aprobación.
Err:520 Aceptar
Err:520 Reducir
Err:520 Reducir
Err:520 Reducir
Err:520 Aceptar

Err:520 Reducir
de aprobación.
Err:520 Reducir
de aprobación.
Se cuenta con protocolos de

contraseña seguras y está en proceso
Err:520 Reducir
de elaboración la arquitectura de red
debido al contrato de remodelación.
El procedimiento de clasificación,
etiquetado y manejo de información se
encuentra publicado en isolucion.
Err:520 Reducir
las políticas se encuentran definidas en
El procedimiento de clasificación,
etiquetado y manejo de información se
encuentra publicado en isolucion.
Err:520 Reducir
el manual de política s de seguridad de
la información el cual se encuentra en
aprobación.
Se elaboró el documento con los

principios de desarrollo seguro.
El procedimiento de gestión de
cambios se encuentra aprobado y está
Err:520 Reducir en proceso de implementación.

el manual de política s de seguridad de
la información el cual se encuentra en
aprobación.
Se encuentra definido en el manual de

Err:520 Reducir
política de seguridad de la información
Se encuentran en isolución el
procedimiento de gestión de incidentes
Err:520 Reducir de seguridad y el proceso de
recolección y preservación de la
evidencia digital.
Se encuentran en isolución el
procedimiento de gestión de incidentes
Err:520 Reducir de seguridad y el proceso de
recolección y preservación de la
evidencia digital.

Err:520 Reducir
Err:520 Reducir
Se cuenta con contrato para

elaboración del plan de continuidad del
Err:520 Reducir
negocio con la empresa consultora
Password-Adalid
Err:520 Aceptar
Err:520 Reducir
En 2017 se realizó auditoría

documental al SGSI y en febrero de
Err:520 Reducir
2018 se realizó la auditoría de
implementación.
Se requirió DLP en el plan de

Err:520 Reducir
adquisición
Err:520 Aceptar
Err:520 Reducir
Err:520 Reducir construcción de acuerdo a contrato
4190 de 2016
Err:520 Reducir construcción de acuerdo a contrato
4190 de 2016
Err:520 Aceptar
Err:520 Reducir
Err:520 Reducir
Err:520 Reducir
Err:520 Reducir
Err:520 Reducir
Err:520 Reducir
Err:520 Reducir
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Err:520
Seguimiento No. 2
control Interno
Tanto el Manual de
Seguridad y
Privacidad de la
Información, como
el Manual de
Políticas se
encuentran en
proceso de revisión
para aprobación.
Se esta en proceso
de elaboración la
resolución para el
cumplimiento del
SGSI por parte de
los funcionarios.
Mediante resolución
380 de 2017 se
estableció el plan de
capacitación que
incluye SGSI
Se esta en proceso
de elaboración la
resolución para el
cumplimiento del
SGSI por parte de
los funcionarios.
Se publica el
manual aprobado el
31 de mayo de 2018
Se aprobaron los
procedimientos el
31 de mayo de 2108
para ser publicados
en isolucion
ESTIM
El análisis de riesgos se realizó mediante la metodología d

valores numéricos tanto para las consecuencias como par
A continuación se presenta la matriz de riesgo a utilizar p
siguiente fórmula:
Riesgo = Probabi
Probabilidad
Raro (1)
Improbable (2)
Posible
(3)
(3)
Probable
(4)
Casi Seguro
(5)
El riesgo está agrupado en cuatro rangos:
Bajo (B): Riesgos que deben ser objeto de seguimiento po

Moderado (M): Riesgos que deben ser objeto de adecuad
Jefes de Área.
Alto (A): Riesgos altos que requieren la atención del Direc
Extremo (E): Riesgos que deben ponerse en conocimiento
Bajo (B): Riesgos que deben ser objeto de seguimiento po
Moderado (M): Riesgos que deben ser objeto de adecuad
Jefes de Área.
Alto (A): Riesgos altos que requieren la atención del Direc
Extremo (E): Riesgos que deben ponerse en conocimiento
Teniendo en cuenta las siguientes definiciones:
• Probabilidad:
o Raro: El evento puede ocurrir solo en circunstancias exc

o Improbable: Puede ocurrir en circunstancias excepcion
o Posible: Podría ocurrir en algún momento. Al menos un
o Probable: Podría ocurrir en cualquier momento. Al men
o Casi Seguro: Se espera que ocurra en la mayoría de las
NOTA: Es importante evaluar la probabilidad de los riesgo

interno de la entidad, como el contexto externo, es decir,
entidades del sector, a nivel regional y a nivel nacional.
• Impacto:
o Insignificante: Afecta la confidencialidad, integridad o d
ver afectada la actividad de una persona del proceso. No
o Menor: Afecta la confidencialidad, integridad o disponi
baja.
Se podría ver afectada la actividad de dos o más personas
Ocasiona pérdidas financieras bajas.
o Moderado: Afecta la confidencialidad, integridad o disp
Se podría ver afectada una o varias actividades de uno o m
Ocasiona pérdidas financieras medias.
o Mayor: Afecta la confidencialidad, integridad o disponib
Afecta la normal operación de uno o más procesos mision
Ocasiona pérdidas financieras considerables.
o Catastrófico: Afecta la confidencialidad, integridad y dis
Afecta la normal operación de la entidad.
Ocasiona pérdidas financieras altas. Puede ocasionar mul
Afecta la reputación e imagen de la entidad.
A partir del tipo de riesgo, existen 5 alternativas de tratam
- Evitar: Evitar la actividad o la acción que da origen al rie

- Transferir: Transferir a otra parte que pueda gestionar d
- Compartir: Compartir el riesgo con uno o varios terceros
- Reducir: Reducir el riesgo mediante la implementación d
- Aceptar: Retener el riesgo sin acción posterior.
De acuerdo a los cuadrantes de riesgo definidos, el tratam
Probabilidad
Raro (1)
Improbable (2)
Posible
(3)
(3)
Probable
(4)
Casi Seguro
(5)
En la Plantilla de análisis de riesgos se presenta el cálculo

riesgo seleccionada, se proponen nuevos controles.
El nivel de aceptación de los riesgos está compuesto por a

sustanciales en términos económicos, operativos o de im
- La siguiente ilustración permite observar las zonas de rie
ZONA DE RIESGOS
Extremo
Alto
Moderado
Bajo
Todos los riesgos que se encuentren en la zonas de no ac

de acuerdo a las acciones establecidas en la anterior ilust
NOTA: En algunos casos especiales, después de aplicar lo

extremo; en este caso la Dirección debe determinar la ac
Ejemplo: En el caso de un riesgo de acceso no autorizado

16), los controles estarán orientados a reducir la probabil
logre obtener credenciales de usuario privilegiado no se p
impacto seguirá siendo 4 y, por lo tanto, el nivel de riesgo
ESTIMACIÓN DEL RIESGO
ediante la metodología de estimación cuantitativa del nivel de riesgo, utilizando un

consecuencias como para la probabilidad.
triz de riesgo a utilizar para la estimación del riesgo, donde el riesgo es calculado a
Riesgo = Probabilidad x Consecuencia
Insignificante (1) Menor (2) Moderado (3)
(3)
(1) (2) Aceptar
Aceptar Aceptar Evitar
Reducir
(6)
(2) (4) Aceptar
Reducir
(9)
(6) Evitar
(3) Aceptar Transferir
Aceptar Evitar Compartir
Reducir Reducir
(9)
(6) Evitar
Reducir Reducir
(8) (12)
(4) Evitar Evitar
Aceptar Transferir Transferir
Evitar Compartir Compartir
Reducir Reducir Reducir
(5) (10) (15)

Evitar Evitar Evitar
Transferir Transferir Transferir
Compartir Compartir Compartir
rangos:
objeto de seguimiento por parte de Jefes de Área.

en ser objeto de adecuado seguimiento por parte del Subdirector Administrativo y
ren la atención del Director, Secretario General, Subdirector Administrativo y Fina

ponerse en conocimiento del Director y ser objeto de seguimiento permanente.
objeto de seguimiento por parte de Jefes de Área.
en ser objeto de adecuado seguimiento por parte del Subdirector Administrativo y
ren la atención del Director, Secretario General, Subdirector Administrativo y Fina

ponerse en conocimiento del Director y ser objeto de seguimiento permanente.
s definiciones:
olo en circunstancias excepcionales. No se ha presentado en los últimos 5 años.

ircunstancias excepcionales o remotas. Al menos una vez en los últimos 5 años.
n momento. Al menos una vez cada 2 años.
lquier momento. Al menos una vez cada año.
rra en la mayoría de las circunstancias. Más de una vez al año.
robabilidad de los riesgos de seguridad de la información teniendo en cuenta tant

ntexto externo, es decir, la frecuencia de ocurrencia del evento al interior de la en
onal y a nivel nacional.
encialidad, integridad o disponibilidad de un activo de información con valoración b

persona del proceso. No ocasiona pérdidas financieras o las pérdidas financieras so
ad, integridad o disponibilidad de un activo o un grupo de activos de información c
d de dos o más personas del proceso y, por ende, una de las actividades del proces
jas.
ialidad, integridad o disponibilidad de activos de información con valoración media
as actividades de uno o más procesos.
edias.
ad, integridad o disponibilidad de activos de información con valoración Alta.
o o más procesos misionales de la entidad.
nsiderables.
ncialidad, integridad y disponibilidad de activos de información con valoración crític
entidad.
as. Puede ocasionar multas por incumplimiento de la legislación.
la entidad.
n 5 alternativas de tratamiento:
ción que da origen al riesgo particular.

e que pueda gestionar de manera más eficaz el riesgo particular.
on uno o varios terceros (incluyendo contratos y financiación del riesgo).
ante la implementación de controles.
cción posterior.
esgo definidos, el tratamiento dentro de la Entidad será el siguiente:
Insignificante (1) Menor (2) Moderado (3)
(3)
(1) (2) Aceptar
Reducir
(6)
(2) (4) Aceptar
Reducir
(9)
(6) Evitar
Reducir Reducir
(9)
(6) Evitar
Reducir Reducir
(8) (12)
(4) Evitar Evitar
Aceptar Transferir Transferir
Evitar Compartir Compartir
(5) (10) (15)

Evitar Evitar Evitar
Transferir Transferir Transferir
Compartir Compartir Compartir
os se presenta el cálculo del nivel de riesgo, y dependiendo de la alternativa de tra

nuevos controles.
gos está compuesto por aquellos riesgos que no expongan a la organización a pérd
icos, operativos o de imagen.
observar las zonas de riesgo y el nivel de aceptación del riesgo.
NA DE RIESGOS ACEPTACION DE LOS RIESGOS

Evitar, Transferir, Compartir o
Extremo Reducir
Evitar, Transferir, Compartir o
Alto Reducir
Moderado Evitar, Reducir o Aceptar
Bajo Aceptar
ren en la zonas de no aceptación, necesitarán de un tratamiento idóneo para dism

cidas en la anterior ilustración. Los riesgos aceptables deberán ser monitoreados.
es, después de aplicar los controles apropiados a un riesgo, su nivel puede seguir s
n debe determinar la aceptación del riesgo.
de acceso no autorizado calificado como extremo (probabilidad 4 e impacto 4, nive

dos a reducir la probabilidad de ocurrencia debido a que el impacto de que un usu
uario privilegiado no se puede disminuir. Por lo anterior, aunque la probabilidad ba
o tanto, el nivel de riesgo será alto (nivel de riesgo 4).
ivel de riesgo, utilizando una escala con
nde el riesgo es calculado a partir de la
Mayor (4) Catastrófico (5)
(4) (5)
Evitar Evitar
Transferir Transferir
Compartir Compartir
Reducir Reducir
(8) (10)
Evitar Evitar
Compartir Compartir
Reducir Reducir
(12) (15)
Evitar Evitar
Compartir Compartir
Reducir Reducir
(12) (15)
Evitar Evitar
Compartir Compartir
Reducir Reducir
(16) (20)
Evitar Evitar
Compartir Compartir
Reducir Reducir
(20) (25)
Evitar Evitar
Compartir Compartir
Reducir Reducir
ubdirector Administrativo y Financiero y
ector Administrativo y Financiero.

eguimiento permanente.
ubdirector Administrativo y Financiero y
ector Administrativo y Financiero.

eguimiento permanente.
do en los últimos 5 años.

ez en los últimos 5 años.
al año.
ón teniendo en cuenta tanto el contexto

l evento al interior de la entidad, en las
nformación con valoración baja. Se podría

o las pérdidas financieras son bajas.
de activos de información con valoración
de las actividades del proceso.
mación con valoración media.
ón con valoración Alta.
mación con valoración crítica.
gislación.
particular.
ciación del riesgo).
á el siguiente:
Mayor (4) Catastrófico (5)
(4) (5)
Evitar Evitar
Compartir Compartir
Reducir Reducir
(8) (10)
Evitar Evitar
Compartir Compartir
Reducir Reducir
(12) (15)
Evitar Evitar
Compartir Compartir
Reducir Reducir
(12) (15)
Evitar Evitar
Compartir Compartir
Reducir Reducir
(16) (20)
Evitar Evitar
Compartir Compartir
Reducir Reducir
(20) (25)
Evitar Evitar
Compartir Compartir
Reducir Reducir
ndo de la alternativa de tratamiento de
an a la organización a pérdidas
l riesgo.
tamiento idóneo para disminuir su nivel,
deberán ser monitoreados.
sgo, su nivel puede seguir siendo alto o
abilidad 4 e impacto 4, nivel de riesgo

e el impacto de que un usuario malicioso
r, aunque la probabilidad baje a 1, el

2019 Plan Tratamiento Riesgos Sgsi

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

2019 Plan Tratamiento Riesgos Sgsi

Cargado por

Copyright:

Formatos disponibles

CONTEXTO DE SEGURIDAD DE LA INFORMACIÓN

1. Identificación de las Partes Interesadas

2. Identificación de Requisitos de las Partes Interesadas

REQUISITOS REGLAMENTARIOS Y REGULATORIOS

Superintendencia de Industria y Comercio

Superintendencia de Industria y Comercio

Oficina Alta Consejería Distrital de TIC

Director del IDRD

OPORTUNIDADES EN SEGUIDAD DE LA INFORMACIÓN

MinTIC - Gobierno en Línea – Seguridad y

OEA - Programa de Becas para el Desarrollo

Archivo General de la Nación

Departamento Administrativo de la Función

dades de las partes interesadas teniendo en cuenta la siguiente jerarquía:

Circular Externa 001 del 8 de Noviembre de 2016. Instrucciones para el realizar

Circular 001 de 2016. Entrega de las claves de Ingreso a los sistemas de

CONPES 3701. Lineamientos de política para la Ciberseguridad y Ciberdefensa.

CONPES 3854. Política Nacional de Seguridad Digital.

S ORGANIZACIONALES Y DE SEGURIDAD DE LA INFORMACIÓN

PORTUNIDADES EN SEGUIDAD DE LA INFORMACIÓN

1. Mantener la documentación actualizada

Responsable: Gestión de Tecnología de la Información y las Comunicaciones

1. Revisar periódicamente la página www.oas.org con el fin de comunicar al

Responsable: Gestión de Tecnología de la Información y las Comunicaciones

1. Mantener información actualizada y aplicarla al interior de la entidad.

Responsable: Gestión Documental

1. Mantener información actualizada y aplicarla al interior de la entidad.

Responsable: Planeación de la Gestión

Vigencia 2017 - 2020

No. RIESGO PROCESO/ÁREA

Malas prácticas en seguridad de la

Falta de competencia de las personas para

Ausencia de comunicación, reporte a

Acceso o divulgación no autorizada de la

Incumplimiento de la Ley de Transparencia

Infección por malware en equipos de

Divulgación de información por medios

Degradación de los medios removibles o

Acceso no autorizado a sistemas y Gestión de Tecnología de

Ejecución de actividades regulares del Gestión de Tecnología de

Debilidades en el proceso de retiro o ajuste

Malas prácticas en el uso de contraseñas

Pérdida y/o uso no autorizado de llaves

Acceso físico no autorizado a las Gestión de Recursos

Daños o mal funcionamiento de servidores Gestión de Tecnología de

32 Retiro de activos sin autorización Todos los procesos

Acceso no autorizado a información crítica

Ausencia del personal crítico que Gestión de Tecnología de

Interceptación, interferencia o daño del Gestión de Tecnología de

Acceso no autorizado a información del

Pérdida de trazabilidad de actividades del Gestión de Tecnología de

Acceso no autorizado o secuestro de Gestión de Tecnología de

Exposición de datos sensibles por traslado Gestión de Tecnología de

Gestión inadecuada de Incidentes de Administración de

Incumplimiento de requisitos de seguridad

Fallas en componentes que representan

Pérdida de continuidad de la seguridad de

Incumplimiento de la Ley 527 de 1999

Ineficacia del SGSI (política general,

Violación de derechos de propiedad

Pérdida, destrucción, falsificación, acceso

Acceso no autorizado a información del

Periodos de no contratación por ley de