Plan de Tratamiento de Riesos de Seguridad de La Informacion DM

PLAN TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN
G.I.T DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS TELECOMUNICACIONES
BOGOTA D.C
2.021
Página 1 de 18
Historia de Revisión
Fecha Versión Descripción Autor

31/01/2020 1.0 Creación del Plan
Andrés Francisco Boada Icabuco
Coordinador G.I.T. Tecnologías de
la Información y las
Telecomunicaciones
Guillermo Cadena Ronderos

Contratista G.I.T. Tecnologías de la
Información y las
Telecomunicaciones
31/01/2021 2.0 Revisión y Actualización Andrés Francisco Boada Icabuco

Estructura y contenido del Coordinador G.I.T. Tecnologías de
documento la Información y las
Telecomunicaciones
Guillermo Cadena Ronderos

Información y las
Telecomunicaciones
Erika Díaz Abella

Información y las
Telecomunicaciones
Página 2 de 18
CONTENIDO
1. OBJETIVOS ............................................................................................................................................. 4
1.1 GENERAL ............................................................................................................................................. 4
1.2 ESPECÍFICOS ........................................................................................................................................ 4
2. TÉRMINOS Y DEFINICIONES. ................................................................................................................. 4
3. CONTEXTO............................................................................................................................................. 5
4. ALCANCE ............................................................................................................................................... 6
5. MARCO NORMATIVO ............................................................................................................................ 6
6. ACCIONES PARA EL TRATAMIENTO DE LOS RIESGOS. .......................................................................... 7
7. APROBACIÓN ...................................................................................................................................... 18
Página 3 de 18
1. OBJETIVOS
1.1 GENERAL
Definir las actividades, lineamientos y factores determinantes que permitirán llevar a cabo la gestión para
el tratamiento de los riegos de seguridad de la información, identificados en la entidad
1.2 ESPECÍFICOS
• Definir las actividades requeridas para la implementar al tratamiento de riesgos de seguridad
de la información.
• Evaluar el nivel de riesgo actual con el impacto generado después de implementar el plan de
tratamiento de riesgos de seguridad de la información.
• Realizar seguimiento y control a la eficacia del plan de tratamiento de riesgos de seguridad de
la información.
2. TÉRMINOS Y DEFINICIONES.
Activo: En el contexto de seguridad digital son elementos tales como aplicaciones de la organización,
servicios web, redes, hardware, información física o digital, recurso humano, entre otros, que utiliza la
organización para funcionar en el entorno digital.
Amenazas: situación potencial de un incidente no deseado, el cual puede ocasionar daño a un

sistema o a una organización.
Análisis de Riesgo: Uso sistemático de la información para identificar fuentes y estimar el riesgo (Guía
ISO/IEC 73:2002).
Confidencialidad: propiedad de la información que la hace no disponible, es decir, divulgada a

individuos, entidades o procesos no autorizados.
Consecuencia: los efectos o situaciones resultantes de la materialización del riesgo que impactan en
el proceso, la entidad, sus grupos de valor y demás partes interesadas.
Control: medida que modifica el riesgo (procesos, políticas, dispositivos, prácticas u otras acciones).
Disponibilidad: propiedad de ser accesible y utilizable a demanda por una entidad.
Evaluación del riesgo: Proceso de comparar el riesgo estimado contra criterios de riesgo dados, para
determinar su importancia.
Página 4 de 18
Factor de riesgo: Agente ya sea humano o tecnológico que genera el riesgo
Gestión del riesgo: proceso efectuado por la alta dirección de la entidad y por todo el personal para
proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos.
Impacto: Se entiende como las consecuencias que puede ocasionar a la organización la

materialización del riesgo.
Integridad: propiedad de exactitud y completitud.
Mapa de riesgos: documento con la información resultante de la gestión del riesgo.
Nivel de riesgo: Da el resultado en donde se ubica el riesgo por cada activo de información.
Probabilidad: se entiende como la posibilidad de ocurrencia del riesgo. Esta puede ser medida con
criterios de frecuencia o factibilidad.
Riesgo: Efecto de la incertidumbre sobre el cumplimiento de los objetivos.
Riesgo Inherente: Nivel de incertidumbre propio de cada actividad, sin la ejecución de ningún control.
Tratamiento del riesgo: Proceso de selección e implementación de acciones de mejorar que permitan
mitigar el riesgo.
Valoración del riesgo: Proceso de análisis y evaluación del riesgo.
Vulnerabilidad: La debilidad de un activo o grupo de activos que puede ser explotada por una o más
amenazas.
3. CONTEXTO
La gestión de los riesgos de seguridad de la información son aquellos procesos que reducen las pérdidas
y brindan protección de la información, permitiendo conocer las debilidades que afectan durante todo el
ciclo de vida del servicio.
Se define al Plan de Tratamiento de Riesgos como el proceso mediante el cual se identifica, comprende,
evalúa, y mitiga cualquier tipo de riesgo o amenaza en la información de una determinada organización.
Dentro de dicho plan, se contempla la identificación de activos informáticos, las

vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y
el impacto de las mismas; lo anterior con el fin de determinar los controles adecuados para aceptar,
disminuir, transferir o evitar la ocurrencia del riesgo.
Es muy importante que las organizaciones cuenten con un plan de tratamiento de riesgos para garantizar
la continuidad del negocio. Por este motivo, se ha visto la necesidad de desarrollar un análisis de riesgo
de seguridad de la información aplicado en La Agencia Nacional de Infraestructura. Previo a este ejercicio,
Página 5 de 18
es importante conocer la situación actual de la agencia y la identificación de los activos con sus respectivas
amenazas, para continuar con la medición de riesgos existentes y sugerir las protecciones necesarias que
podrían formar parte del plan de gestión de riesgos en la seguridad de la información.
Los riesgos por desastres naturales, riesgos inherentes relacionados con procesos no adecuados en el
tratamiento de la misma información, desconocimiento de normas y políticas de seguridad y el no
cumplimiento de estas, suelen ser los temas más frecuentes y de mayor impacto presentes en las
entidades. Una organización sin un plan de gestión de riesgos está expuesta a perder su información.
El plan permite identificar el nivel de riesgo en que se encuentran los activos mediante el nivel de madurez
de la seguridad existente y sobre todo incentivar al personal de la ANI a seguir las respectivas normas y
procedimientos referentes a la seguridad de la información y recursos.
Son requisitos indispensables para la implementación del presente plan:
• Lograr el compromiso de la alta gerencia de la ANI para emprender la implementación del

plan de gestión del riesgo en la seguridad de la información.
• Designar funciones de liderazgo para apoyar y asesorar el proceso de diseño e
implementación del plan de gestión.
• Capacitar al personal de la entidad en el proceso de plan de gestión del riesgo de la seguridad
de la información.
Una vez se identifiquen todos los activos de información que hacen parte de la entidad, identificar el
riesgo de seguridad de la información significa definir las amenazas a las que se puede estar expuesto.
Estas amenazas pueden ser de diferente índole, como ataques externos, desastres naturales o errores
humanos.
4. ALCANCE
El tratamiento de los riesgos de seguridad de la información es de estricta aplicabilidad y cumplimiento

por parte de todos los funcionarios, contratistas que presten sus servicios o tengan algún tipo de relación
con la Entidad; dicho tratamiento de riesgo debe involucrar a todos los procesos y actividades
desarrolladas por la Entidad, en especial aquellos que impactan directamente la consecución de los
objetivos misionales.
5. MARCO NORMATIVO
• Decreto 1008 de 2018: Por el cual se establecen los lineamientos generales de la política de Gobierno
Digital y se subroga el capítulo 1 del título 9 de la parte 2 del libro 2 del Decreto 1078 de 2015, Decreto
Único Reglamentario del sector de Tecnologías de la Información y las Comunicaciones
• Decreto 1078 de 2015: Por medio del cual se expide el Decreto Único Reglamentario del Sector de
Tecnologías de la Información y las Comunicaciones.
• Norma NTC / ISO 27001:2013: Tecnología de la Información. Técnicas de seguridad de la información
y Código de Práctica para controles de seguridad de la información
Página 6 de 18
• Norma NTC/ISO 27002:2013: Tecnología de la información. Técnicas de seguridad. Código de Práctica
para controles de seguridad de la información
• Norma NTC / ISO 31000:2009: Gestión de Riesgo, Principios y Directrices
• Guía para la administración del riesgo y el diseño de controles en entidades públicas VERSIÓN 4 del
Departamento Administrativo de la Función Pública
6. ACCIONES PARA EL TRATAMIENTO DE LOS RIESGOS.

Los riesgos asociados a la seguridad de la información identificados actualmente en la entidad se
encuentran totalmente alineadas a las siguientes matrices: Matriz de riesgos del proceso GTEC, Matriz
antisoborno (SEPG-F-074 mapa de riesgos y medidas antisoborno y en el Mapa de riesgos anticorrupción
procesos estratégicos y de apoyo, son:
i. Revelar información reservada y clasificada para beneficio propio o de un tercero

ii. Ocultar a la ciudadanía la información considerada pública.
iii. Destrucción de información con fines ilícitos
iv. Fuga de información.
v. Detrimento al patrimonio y /o Deterioro de la reputación de la ANI
vi. Pérdida confidencialidad, integridad o disponibilidad de información sensible de la Entidad
vii. Ataques contra el sistema (negación del servicio, manipulación de software, manipulación de
equipo informático entre otros)
De acuerdo con los riesgos identificados a continuación, se describe las fichas de cada riesgo y se
determina el tratamiento que se ha definido darle a cada uno, de acuerdo con sus características:
• RIESGO 1: Revelar información reservada y clasificada para beneficio propio o de un tercero

Nombre del Plan de Plan de adopción de un esquema de Clasificación de la información:
Tratamiento:
Proceso: Todos los procesos de la Entidad.
La no adopción de un esquema claro de clasificación de la información genera
alto riesgo. Al adoptar uno adecuado se está asegurando que la información
reciba los niveles de protección adecuados, ya que con base en su valor y de
acuerdo con otras características particulares, requiere un tipo de manejo
Descripción del Plan especial. Los propietarios de los activos son responsables de ello. Para esta
de Tratamiento: actividad de clasificar, la ANI ha adoptado la recomendación descrita en la “Guía
para la Gestión y Clasificación de Activos de Información” dispuesta por el
Mintic, la cual indica que los criterios para realzar la clasificación son:
Confidencialidad, Integridad y Disponibilidad.
Fuga de información
Divulgación no permitida de información
Riesgos Asociados:
Detrimento al patrimonio y /o Deterioro de la reputación
Perdida de Disponibilidad
Controles Asociados: A.9.1.1.2 Gestión de derechos de acceso privilegiado.
Página 7 de 18
• RIESGO 1: Revelar información reservada y clasificada para beneficio propio o de un tercero
A.11 Seguridad física y del entorno
A.17.1.1 Planificación de la continuidad de la seguridad de la información
Metodologías: ISO 31000, ISO 22301, ISO 27001.
Actividad: Descripción Responsable(s) Periodicidad:

Divulgar y gestionar Líderes de Proceso
el cumplimiento de Todos los
1 la política de colaboradores de 30 jun-2021
seguridad y la ANI 30 dic 2021
privacidad de la Coordinación de
información. Tecnología
Actualizar la Matriz
Líderes de Proceso
2 de Clasificación y
Coordinación de
Registro de Activos 30 dic 2021
Tecnología
Actividades Para de Información
Realizar: Divulgar y gestionar
el cumplimiento del
instructivo GTEC -I- Líderes de Proceso
3 Diligenciamiento y Coordinación de 30 dic 2021
reporte de la Matriz Tecnología
de Activos de
Información
Verificar la adecuada
definición e
implementación de
Coordinación de 30 jun-2021
4 los esquemas de
Tecnología 30 dic 2021
perfiles de acceso a
la información
definidos.
Personas: funcionarios y Contratistas designados por el Coordinador de
Recursos Requeridos: Tecnología de la ANI.
Tecnológicos: Pc´s y Servidores
Coordinación de Tecnología
Funcionario(s) y Contratista(s) asignados por el Coordinador de Tecnología de
Responsable del Plan:
la ANI
Prestación de Servicios de profesional contratado para el desarrollo del plan.

Costos Estimados:
(Información registrada en el Plan anual de adquisiciones)
• RIESGO 2: Ocultar a la ciudadanía la información considerada pública.

Nombre del Plan de Plan de adopción de un esquema de Clasificación de la información:
Tratamiento:
Página 8 de 18
La no adopción de un esquema claro de clasificación de la información
genera alto riesgo. Al adoptar uno adecuado se está asegurando que la
información reciba los niveles de protección o divulgación adecuados.
Descripción del Plan de
Tratamiento: Para esta actividad es necesario que los colaboradores de la ANI tengan
claro que es información pública, cual información de la entidad es Publica
y las obligaciones de no ocultamiento de esa información Publica
No permitir la libre divulgación o acceso a información pública.

Riesgos Asociados: Detrimento al patrimonio y /o Deterioro de la reputación
A.9.1.1.2 Gestión de derechos de acceso privilegiado.
Controles Asociados: A.11 Seguridad física y del entorno
Actividad: Descripción Responsable(s) Periodicidad:

Líderes de
Divulgar y
Proceso
gestionar el
Todos los
cumplimiento de la
1 colaboradores de 30 jun-2021
política de
la ANI 30 dic 2021
seguridad y
Coordinación de
privacidad de la
Tecnología
información.
Actividades Para Realizar: Líderes de

Actualizar la Matriz
Proceso
2 de Clasificación y
Coordinación de 30 dic 2021
Registro de Activos
Tecnología
de Información
Divulgar y
gestionar el
Líderes de
cumplimiento del
Proceso
instructivo GTEC -I-
3 Coordinación de 30 dic 2021
Diligenciamiento y
Tecnología
reporte de la
Matriz de Activos
de Información
Coordinación de Tecnología.
Responsable del Plan: Funcionario(s) y Contratista(s) asignados por el Coordinador de
Tecnología de la ANI
Página 9 de 18
Prestación de Servicios de profesional contratado para el desarrollo del
Costos Estimados:
plan. (Información registrada en el Plan anual de adquisiciones)
• RIESGO 3: Destrucción de información con fines ilícitos

Nombre del Plan de
Plan de Control de acceso, de la seguridad físico y del entorno
Tratamiento:
La no definición de las condiciones de acceso tanto físico al centro de
datos como lógico a las bases y repositorios de datos genera alto riesgo.
Descripción del Plan de Es requerido la adopción de un protocolo de acceso al centro de datos de
Tratamiento: la entidad, así como asegurar los controles de acceso a la información
lógica de acuerdo con los perfiles que se definan.
Perdida de la Disponibilidad
Riesgos Asociados:
Perdida de la Integridad
A.9 Control de Acceso
Controles Asociados:
A.12 Seguridad de las Operaciones.
Actividad Descripción Responsable(s) Periodicidad

Generar y divulgar
G.I.T. de
1 un Protocolo de 30 jun-2021
Tecnología
Acceso al centro de 30 dic 2021
datos de la entidad
Verificar la
adecuada
definición e
G.I.T. de
implementación de 30 jun-2021
Actividades Para Realizar: 2 Tecnología
los esquemas de 30 dic 2021
la información
definidos.
Verificar que se
G.I.T. de
cuente con
3 Tecnología 30 nov 2021
esquemas de
cifrado de datos
Validar la correcta
y adecuada toma G.I.T. de 1 al 30 abril 2021
4
de copias de Tecnología 1 al 30 octubre 2021
respaldo y disponer
Página 10 de 18
• RIESGO 3: Destrucción de información con fines ilícitos
la información en
un servidor
replicado dentro o
fuera de la Entidad
Funcionario(s) y Contratista(s) asignados por el Coordinador de

Costos Estimados:
• RIESGO 4: Fuga de información

Nombre del Plan de
Plan de aseguramiento de la Información
Tratamiento:
La no adopción de un esquema claro de aseguramiento de la información,
y controles de acceso, genera alto riesgo. Al adoptar uno adecuado se está
Descripción del Plan de
Tratamiento: asegurando que la información reciba los niveles de protección y acceso
adecuados a fin de no permitir perdida de información.

Riesgos Asociados: Perdida de Disponibilidad
Perdida de la Confidencialidad
A.9 Control de Acceso
Actividad: Descripción Responsable(s) Periodicidad

Verificar la
adecuada
Actividades Para Realizar: definición e
G.I.T. de
implementación de
1 Tecnología 30 jun-2021
los esquemas de
30 dic 2021
la información
definidos.
Página 11 de 18
• RIESGO 4: Fuga de información
Contar con G.I.T. de

2 esquemas de Tecnología 30 nov 2021
cifrado de datos
Validar la correcta
y adecuada toma
de copias de
respaldo y disponer G.I.T. de 1 al 30 abril 2021
3
la información en Tecnología 1 al 30 octubre 2021
un servidor
replicado dentro o
fuera de la Entidad
Coordinación de Tecnología
Funcionario(s) y Contratista(s) asignados por el Coordinador de

Costos Estimados:
• RIESGO 5: Ataque Informático sobre la plataforma Tecnológica.

Nombre del Plan de
Plan para garantizar la continuidad de los servicios tecnológicos.
Tratamiento:
Cada vez es más frecuente la irrupción de hackers interesados en interrumpir
los servicios tecnológicos. Además de las medidas básicas de contar con una
seguridad perimetral, lo ideal es contar con un Plan de continuidad de (en
Descripción del Plan de inglés, BCP, por Business Continuity Plan) que es un plan que detalla paso a
Tratamiento: paso la forma de recuperar y restaurar las operaciones críticas parcial o
totalmente interrumpidas dentro de un tiempo predeterminado después de
una interrupción no deseada o desastre.
Interrupción parcial o total de las operaciones

Riesgos Asociados:
Perdida de confidencialidad
Perdida de Integridad
A.9.Control de Acceso
A.12 Seguridad de las Operaciones
Página 12 de 18
• RIESGO 5: Ataque Informático sobre la plataforma Tecnológica.
A.16 gestión de incidentes de Seguridad de la Información

Revisión periódica de
G.I.T. de
1 controles para evitar 30 jun-2021
Tecnología
la pérdida de 30 dic 2021
información.
G.I.T. de
Contar con esquemas
2 Tecnología 30 nov 2021
de cifrado de datos
Validar la correcta y
adecuada toma de
copias de respaldo y
Actividades Para Realizar: disponer la G.I.T. de 1 al 30 abril 2021
3
información en un Tecnología 1 al 30 octubre 2021
servidor replicado
dentro o fuera de la
Entidad
Mantener actualizado
G.I.T. de
y vigente el esquema
4 Tecnología 30 dic 2021
de seguridad
perimetral definido.
Mantener actualizado G.I.T. de

5 y vigente el esquema Tecnología 30 dic 2021
de antivirus definido
Personas: funcionarios y contratistas designados por el Coordinador de

Tecnología de la ANI.
Recursos Requeridos: Tecnológicos: Pc´s, Servidores, almacenamiento, esquemas en la Nube,
Licenciamiento de herramientas de seguridad, dispositivos físicos y lógicos
de seguridad
Responsable del Plan: Funcionario(s) y Contratista(s) asignados por el Coordinador de Tecnología
de la ANI.
Costos Estimados:
• RIESGO 6: Inadecuada gestión de requerimientos

Nombre del Plan de
Plan para atención adecuada de requerimientos de Tecnología
Tratamiento:
Página 13 de 18
Estado que no permite mantener la integridad, exactitud y difusión de los
Descripción del Plan de requerimientos de información o característica de un sistema de
Tratamiento: información como condición para su adecuado tratamiento o aceptación.
Interrupción parcial o total de las operaciones

Riesgos Asociados:
Perdida de Integridad
Controles Asociados: A.12 Seguridad de las Operaciones
Actividad Descripción Responsable(s) Periodicidad:

Verificar que se
cuente con
procedimientos
documentados que
establezcan y G.I.T. de
1
permitan aplicar Tecnología 30 nov 2021
reglas para el
gestionar de
manera adecuada
los requerimientos
Actividades Para Realizar: a tecnología.
Contar con el
soporte
documental
adecuado con la
especificación y
G.I.T. de
gestión de 30 jun-2021
2 Tecnología
operación de los 30 dic 2021
sistemas,
tratamiento de la
información y uso
de los activos de
información.
Página 14 de 18
Diseñar y poner en
marcha
sensibilizaciones
que permitan la
toma de conciencia
tanto de
funcionarios como
G.I.T. de
contratistas,
3 Tecnología 30 dic 2021
establecer sus
responsabilidades,
usar de manera
aceptable y con
acceso seguro los
activos de
información de la
entidad
Personas: funcionarios y contratistas designados por el Coordinador de
Tecnológicos: Pc´s, Servidores.
Responsable del Plan: Funcionario(s) y Contratista(s) asignados por el Coordinador de
Costos Estimados:
• RIESGO 7: Inadecuado tratamiento de datos personales

Nombre del Plan de
Plan para garantizar la reserva y manejo adecuado de los datos personales.
Tratamiento:
Uso no adecuado de la información que identifica a las personas, lo que
Descripción del Plan
de Tratamiento: repercute en una violación de los derechos constitucionales.

Riesgos Asociados:
Controles Asociados:

Actividades Para Verificar que se cuente G.I.T. de
Realizar: con un procedimiento Tecnología
1
que permita que la 30 nov 2021
información reciba un G.I.T. de
nivel apropiado de Planeación
Página 15 de 18
• RIESGO 7: Inadecuado tratamiento de datos personales
protección, de
acuerdo con su
calificación e
importancia para la
entidad, etiquetarla y
brindarle un adecuado
tratamiento.
Validar que se cuente
con definiciones y
políticas que aseguren
la privacidad y la
protección de los
G.I.T. de
datos personales, de
Planeación
2 acuerdo con los 30 nov 2021
lineamientos internos
para la calificación de
la información y las
disposiciones
generales que exige la
legislación nacional.
Revisar e implementar G.I.T. de
procedimientos para Tecnología
la recepción
3 30 dic 2021
información, G.I.T. de
adoptando un manejo Planeación
adecuado.
Tecnológicos: Pc´s, Servidores,
Funcionario(s) y Contratista(s) asignados por el Coordinador de Tecnología y el
Coordinador de Planeación de la ANI
Prestación de Servicios de profesional contratado para el desarrollo del plan.

Costos Estimados:
(Información registrada en el Plan anual de adquisiciones)
• RIESGO 8: Cambios o modificaciones no autorizados a la plataforma tecnológica

Nombre del Plan de Plan para garantizar la seguridad y adecuada programación de la
Tratamiento: plataforma tecnológica.
Un cambio no probado y/o no autorizado según los lineamientos
Descripción del Plan de establecidos, puede afectar la continuidad de las operaciones o accesos
Tratamiento: indebidos a la información de la entidad.
Página 16 de 18
• RIESGO 8: Cambios o modificaciones no autorizados a la plataforma tecnológica
Riesgos Asociados: Perdida de confidencialidad
Interrupción en la prestación de servicios tecnológicos.
Controles Asociados: A.12 Seguridad de las Operaciones

Cumplir con lo
V de Tecnología
dispuesto en el
1
procedimiento de 30 jun-2021
Gestión de 30 dic 2021
cambios.
Generar las G.I.T. de
condiciones para Tecnología
que todo cambio
en la configuración, G.I.T. de
2 30 jun-2021
programación, y Planeación
30 dic 2021
Actividades Para Realizar: disposición de
nuevos servicios
sea documentada.
Generar las
condiciones para
que todo cambio G.I.T. de
en la configuración, Tecnología
programación, y
3 disposición de G.I.T. de 30 jun-2021
nuevos servicios Planeación 30 dic 2021
supere los procesos
de pruebas y
simulaciones
pertinentes.
Tecnología de la ANI.
Recursos Requeridos:
Tecnológicos: Pc´s, Servidores, ambientes de pruebas, almacenamiento,
licenciamiento
Funcionario(s) y Contratista(s) asignados por el Coordinador de Tecnología
y el Coordinador de Planeación de la ANI

Costos Estimados:
Página 17 de 18
7. APROBACIÓN
Nombre Cargo Firma
Coordinador G.I.T. Tecnologías Firmado digitalmente por

Andrés Francisco Boada ANDRES FRANCISCO BOADA
de la Información y las ICABUCO
Fecha: 2021.01.29 14:56:41
Telecomunicaciones -05'00'
Diego Alejandro Morales Vicepresidente de Planeación Firmado digitalmente por DIEGO

DIEGO ALEJANDRO ALEJANDRO MORALES SILVA
Silva Riesgo y Entorno.
MORALES SILVA Fecha: 2021.01.31 11:31:06
-05'00'
Página 18 de 18

Plan de Tratamiento de Riesos de Seguridad de La Informacion DM

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Plan de Tratamiento de Riesos de Seguridad de La Informacion DM

Cargado por

Copyright:

Formatos disponibles

PLAN TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

G.I.T DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS TELECOMUNICACIONES

Fecha Versión Descripción Autor

Guillermo Cadena Ronderos

31/01/2021 2.0 Revisión y Actualización Andrés Francisco Boada Icabuco

Guillermo Cadena Ronderos

Erika Díaz Abella

Amenazas: situación potencial de un incidente no deseado, el cual puede ocasionar daño a un

Confidencialidad: propiedad de la información que la hace no disponible, es decir, divulgada a

Disponibilidad: propiedad de ser accesible y utilizable a demanda por una entidad.

Impacto: Se entiende como las consecuencias que puede ocasionar a la organización la

Integridad: propiedad de exactitud y completitud.

Mapa de riesgos: documento con la información resultante de la gestión del riesgo.

Riesgo: Efecto de la incertidumbre sobre el cumplimiento de los objetivos.

Valoración del riesgo: Proceso de análisis y evaluación del riesgo.

Dentro de dicho plan, se contempla la identificación de activos informáticos, las

Son requisitos indispensables para la implementación del presente plan:

• Lograr el compromiso de la alta gerencia de la ANI para emprender la implementación del

El tratamiento de los riesgos de seguridad de la información es de estricta aplicabilidad y cumplimiento

6. ACCIONES PARA EL TRATAMIENTO DE LOS RIESGOS.

i. Revelar información reservada y clasificada para beneficio propio o de un tercero

• RIESGO 1: Revelar información reservada y clasificada para beneficio propio o de un tercero

Metodologías: ISO 31000, ISO 22301, ISO 27001.

Actividad: Descripción Responsable(s) Periodicidad:

Prestación de Servicios de profesional contratado para el desarrollo del plan.

• RIESGO 2: Ocultar a la ciudadanía la información considerada pública.

No permitir la libre divulgación o acceso a información pública.

Metodologías: ISO 31000, ISO 22301, ISO 27001.

Actividad: Descripción Responsable(s) Periodicidad:

Actividades Para Realizar: Líderes de

• RIESGO 3: Destrucción de información con fines ilícitos

Metodologías: ISO 31000, ISO 22301, ISO 27001.

Actividad Descripción Responsable(s) Periodicidad

Prestación de Servicios de profesional contratado para el desarrollo del

• RIESGO 4: Fuga de información

Detrimento al patrimonio y /o Deterioro de la reputación

Metodologías: ISO 31000, ISO 22301, ISO 27001.

Actividad: Descripción Responsable(s) Periodicidad

Contar con G.I.T. de

Prestación de Servicios de profesional contratado para el desarrollo del

• RIESGO 5: Ataque Informático sobre la plataforma Tecnológica.

Interrupción parcial o total de las operaciones

Metodologías: ISO 31000, ISO 22301, ISO 27001.

Actividad Descripción Responsable(s) Periodicidad

Mantener actualizado G.I.T. de

Personas: funcionarios y contratistas designados por el Coordinador de

• RIESGO 6: Inadecuada gestión de requerimientos

Interrupción parcial o total de las operaciones

Metodologías: ISO 31000, ISO 22301, ISO 27001.

Actividad Descripción Responsable(s) Periodicidad:

• RIESGO 7: Inadecuado tratamiento de datos personales

Detrimento al patrimonio y /o Deterioro de la reputación

Metodologías: ISO 31000, ISO 22301, ISO 27001.

Actividad Descripción Responsable(s) Periodicidad

Prestación de Servicios de profesional contratado para el desarrollo del plan.

• RIESGO 8: Cambios o modificaciones no autorizados a la plataforma tecnológica

Metodologías: ISO 31000, ISO 22301, ISO 27001.

Actividad Descripción Responsable(s) Periodicidad

Prestación de Servicios de profesional contratado para el desarrollo del

Nombre Cargo Firma

Coordinador G.I.T. Tecnologías Firmado digitalmente por

Diego Alejandro Morales Vicepresidente de Planeación Firmado digitalmente por DIEGO

También podría gustarte