Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
INVENTARIO DE ACTIVOS
PROCESO: Gestión de Tecnologías de Informáticas y Sistemas de Información JEFE DEL PROCESO Diana Patricia Jurado
DEPENDECIA / PERSONAL
ID NOMBRE DESCRIPCIÓN TIPO ACTIVO PROPIETARIO CUSTODIO
ÁREA AUTORIZADO
Profesional
Administración de
Certificados Software: Administración de Servidores
Aseguramiento de los
1 Digitales -canales
PCT de comunicación de Información Servidores
GTIYSI GTIYSI Especializados y
(Llave privada -página
Humano Weby bancos Especializados y Bases de Datos -
segura
- publica) - Dspace Bases de Datos Profesional
Administración de
- Sigob Profesional
la red
- Olib Administración de
- Snies Servidores
- Andover Especializados y
- Aranda Bases de Datos ,
Administración de
profesionales de
2 Software de - Antivirus- kaspersky Servidores
Software GTIYSI GTIYSI desarrollo,
terceros - Ezproxy Especializados y
arquitecto de
- solid work Bases de Datos
software ,
- matlab. profesionales y
- vmware administración de
- windows server,assurance servicios
- office assurance informaticos
- mensajes de texto
- Equipo de Backup de Cintas
- Cintas Profesional
Administración de
Administración de
3 Sistemas de Elemento que contiene la Servidores
Software GTIYSI GTIYSI Servidores
Backup copia de respaldo de la Especializados y
Especializados y
información de las bases de Bases de Datos
Bases de Datos
datos u otra
Profesional
Administración de
Software desarrollado por la Servidores
Universidad Tecnologica de Administración de Especializados y
Software
4 Desarrollado Pereira para atender las Servidores Bases de Datos ,
Software GTIYSI GTIYSI
necesidades de Especializados y profesionales de
por la UTP. automatización de los Bases de Datos desarrollo,
servicios institucionales. arquitecto de
software ,
profesionales.
Profesional
Balanceador Hardware de balanceo de Administración de
Administración de
Servidores
5 de carga A10 - carga web, manejo de trafico Software GTIYSI GTIYSI Servidores
Especializados y
F5 de red Bases de Datos
Especializados y
Bases de Datos
Profesional
Administración de
Servidores
Base de datos que almacena Administración de Especializados y
6 Base de Datos la Información del software Servidores Bases de Datos ,
Información GTIYSI GTIYSI
Institucional Institucional. Especializados y profesionales de
Bases de Datos desarrollo,
arquitecto de
software ,
profesionales.
Profesional
Administración de
Servidores
Sistema de Sistema de inteligencia de Administración de Especializados y
Servidores Bases de Datos ,
7 Inteligencia negocios y Base de datos del Software GTIYSI GTIYSI
Especializados y profesionales de
de negocios mismo. Bases de Datos desarrollo,
arquitecto de
software ,
profesionales.
Servicios y Profesional
Software Administración de
Gforge, MSProject server,
Especializado Servidores
Serena, Git, librerias de
para el área Implementación de Especializados y
desarrollo, Enterprise
8 de architect, WordPress, Fortify, Software Sistemas de
GTIYSI GTIYSI Bases de Datos ,
implementaci Información profesionales de
Bases de datos, S.O.
ón de Institucional desarrollo,
sencha,Toad, toad dba,
Sistemas de arquitecto de
nessus, generador de codigo. software ,
Información
Institucional profesionales.
Administración de
Servidores
Sistemas de Administración de
Especializados y
12 Almacenamie Sistema de almacenamiento Servidores
Hardware GTIYSI GTIYSI Bases de Datos -
3Par Especializados y
nto HP 3Par Bases de Datos
CRIE
(Administracion de
la red)
Profesional
Balanceador Hardware de balanceo de Administración de
Administración de
Servidores
13 de carga A10 - carga web, manejo de trafico Hardware GTIYSI GTIYSI Servidores
Especializados y
F5 de red Bases de Datos
Especializados y
Bases de Datos
- Registros de Profesionales y
Novedades de mantenimientos preventivos tecnicos
Administración de
14 equipos de y correctivos Información GTIYSI GTIYSI Administración de
Servicios Informáticos
computo - prestamos de equipos Servicios
- cambio de partes Informáticos y
Jefe de
dependencia
Control de software cuando Profesionales y
tecnicos
15 Control de el técnico recibió a Administración de
Información GTIYSI GTIYSI Administración de
Software satisfacción el software para Servicios Informáticos
Servicios
entregarlo al usuario final. Informáticos y
Auxiliar
administrativa.
Jefe
dependencia,
tecnico
17 Licencias de Licencia de software que la administración administración
Información GTIYSI GTIYSI
software universidad ha adquirido. servicios informaticos. servicios
informaticos y
auxiliar
administrativa
Grado de destresas a
18 Jefe Area habilidadad que aportan al Conocimiento Jefe GTIYSI GTIYSI GTIYSI
desarrollo instituciuonal.
Grado de destresas a
19 Profesionales Profesional
habilidadad que aportan al Conocimiento GTIYSI GTIYSI GTIYSI
desarrollo desarrollo
desarrollo instituciuonal.
Profesionales Grado de destresas a Profesionales
20 de soporte de habilidadad que aportan al Conocimiento soporte de GTIYSI GTIYSI GTIYSI
aplicaciones desarrollo instituciuonal. aplicaciones
Grado de destresas a
21 Tecnicos de habilidadad que aportan al Conocimiento Tecnicos soporte GTIYSI GTIYSI GTIYSI
soporte desarrollo instituciuonal.
Tecnicos Grado de destresas a Tecnico
22 administrativo habilidadad que aportan al Conocimiento GTIYSI GTIYSI GTIYSI
Administrativo
s desarrollo instituciuonal.
Grado de destresas a
23 Auxiliar GTIYSI habilidadad que aportan al Conocimiento Auxiliar GTIYSI GTIYSI GTIYSI GTIYSI
desarrollo instituciuonal.
de Grado de destresas a
24 Arquitecto habilidadad que aportan al Conocimiento Profesional II GTIYSI GTIYSI GTIYSI
software desarrollo instituciuonal.
de Grado de destresas a
25 Profesional Profesional
habilidadad que aportan al Conocimiento GTIYSI GTIYSI GTIYSI
servidores servidores
desarrollo instituciuonal.
Profesional Grado de destresas a
Conocimiento Profesional soporte
26 soporte habilidadad que aportan al GTIYSI GTIYSI GTIYSI
tecnico
tecnico desarrollo instituciuonal.
Herramientas
para agilizar la Profesional y
prestación del Duplicador y recuperador de Administración de tecnico
29 servicio en Hardware Servicios GTIYSI GTIYSI Administración
Administracio discos duros . Informáticos de Servicios
n de servicios Informáticos
informaticos.
Código 1313-F09
Versión 2
Fecha 2017-08-23
Página 1
Centro de Datos
N/A N/A
(appserver)
Centro de Datos y
N/A administración de N/A
servicios informaticos
Centro de Datos N/A N/A
Puesto de trabajo
de cada Centro de Datos ,
Cada desarrollador o
desarrollador o maquina de cada
de Ing. De soporte
del Ing. De desarrollador.
soporte
Administración de Administración de
Servicios Servicios N/A
Informáticos. Informáticos
Puesto de trabajo
Administración de
jefe dependencia
Servicios
Administración de
Informáticos y
Servicios N/A
puesto de trabajo
Informáticos y puesto
auxiliar
de trabajo auxiliar
administrativa.
administrativa.
Administración de Administración de
Servicios Servicios N/A
Informáticos Informáticos
Archivador puesto
de trabajo tecnico
administración de
Puesto de trabajo
servicios N/A
Jefe de dependencia
informaticos y
auxiliar
administrativa
Profesional y
tecnico
Administración N/A N/A
de Servicios
Informáticos
SISTEMA DE GESTIÓN DE
CLASIFICACIÓN DE LO
PROCESO: Gestión de Tecnologías de Informáticas y Sistemas de Información
RESPONSABILIDAD FRENTE AL
GENERALIDADES DEL ACTIVO DE INFORMACIÓN UBICACIÓN DEL ACTIVO DE
ACTIVO DE INFORMACIÓN
MEDIO DE CONSERVACIÓN
ID NOMBRE DESCRIPCIÓN IDIOMA CUSTODIO PROPIETARIO
FÍSICO
- Registros de
Novedades de mantenimientos Administración de
14 equipos de preventivos y correctivos Español GTIYSI GTIYSI Servicios Informáticos.
computo - prestamos de equipos
- cambio de partes
Control de software Administración de
cuando el técnico recibió a
Control de Servicios Informáticos y
15 satisfacción el software Español GTIYSI GTIYSI
Software puesto de trabajo auxiliar
para entregarlo al usuario administrativa.
final.
Archivador puesto de
trabajo tecnico
Licencias de Licencia de software que la
17 Español GTIYSI GTIYSI administración de
software universidad ha adquirido. servicios informaticos y
auxiliar administrativa
Word-Excel -
enterprise
architect, .php,
Cada .java o del
Centro de Datos , maquina desarrollador CLASIFICADA Art 18 de la ley
o de lenguaje de No se publica 11/20/2015 Parcial
de cada desarrollador. 1712 del 2014.
Ing. De soporte programación
que se use
dependiendo
del caso
Puesto de
Puesto de trabajo de cada trabajo auxiliar art 19 de la ley
desarrollador y auxiliar 0 word administrativo e RESERVADA 1712 5/31/2018 Parcial
del 2014.
administrativa. ingenieros de
desarrollo
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
Código 1313-F09
Versión 2
Fecha 2017-08-23
Página 2
FECHA ULTIMA
atricia Jurado 5/31/2018
ACTUALIZACIÓN
Da espera
Se puede hacer mientras se
15 años MEDIA procesos de BAJA consigue esta MEDIA
reingenieria información o
se genera
Da espera
mientras se
15 años MEDIA Se puede reconstruir BAJA BAJA
consigue esta
información
Da espera
mientras se
15 años BAJA Se puede reconstruir BAJA BAJA
consigue esta
información
No afecta el Puede
5 años BAJA funcionamiento BAJA reconstruirse, MEDIA
institucional copias audio.
No afecta el Puede
15 años BAJA funcionamiento BAJA BAJA
reconstruirse.
institucional
SISTEMA DE GESTIÓN DE SEGURI
ANÁLISIS DE VULNERABIL
PROCESO: Gestión de Tecnologías de Informáticas y Sistemas de Información
Personal
Software
Software
Red
Falta de prueba del envío o la recepción de mensajes
Líneas de comunicación sin protección
Tráfico sensible sin protección
Conexión deficiente de los cables
Punto único de falla
Falta de identificación y autenticación de emisor y receptor
Arquitectura insegura de la red
Transferencia de contraseñas autorizadas
Gestión inadecuada de la red (capacidad de recuperación del enrutamiento)
Conexiones de red pública sin protección
Otro
Organización
Falta de procedimiento formal para el registro y retiro del registro de usuario
Falta de proceso formal para la revisión (supervisión) de los derechos de acceso
Falta o insuficiencia de disposiciones (con respecto a la seguridad) en los contratos con los clientes y/o terceras
Falta de procedimiento de monitoreo de los recursos de procesamiento información
Falta de auditorías (supervisiones) regulares
Falta de procedimientos de identificación y evaluación de riesgos
Falta de reportes sobre fallas incluidos en los registros de administradores y operador
Respuesta inadecuada de mantenimiento del servicio
Falta o insuficiencia en el acuerdo a nivel de servicio
Falta de procedimiento de control de cambios
Falta de procedimiento formal para el control de la documentación del SGSI
Falta de procedimiento formal para la supervisión del registro del SGSI
Falta de procedimiento formal para la autorización de la información disponible al público
Falta de asignación adecuada de responsabilidades en la seguridad de la Información
Falta de planes de continuidad
Falta de políticas sobre el uso del correo electrónico
Falta de procedimientos para la introducción del software en los sistemas operativos
Falta de registros en las bitácoras*(logs) de administrador y operario.
Falta de procedimientos para el manejo de información clasificada
Falta de responsabilidades en la seguridad de la información en la descripción de los cargos
Falta o insuficiencia en las disposiciones (con respecto a la seguridad de la información) en los contratos con los empleados
Falta de procesos disciplinarios definidos en el caso de incidentes de seguridad de la información
Falta de política formal sobre la utilización de computadores portátiles
Falta de control de los activos que se encuentran fuera de las instalaciones
Falta o insuficiencia de política sobre limpieza de escritorio y de pantalla
Falta de autorización de los recursos de procesamiento de la información
Falta de mecanismos de monitoreo establecidos para las brechas en la seguridad
Falta de revisiones regulares por parte de la gerencia
Falta de procedimientos para la presentación de informes sobre las debilidades en la seguridad
Falta de procedimientos del cumplimiento de las disposiciones con los derechos intelectuales
Otro
Lugar
Uso inadecuado o descuidado del control de acceso físico a las edificaciones y los recintos
Ubicación en un área susceptible de inundación
Red energética inestable
Falta de protección física de las puertas y ventanas de la edificación
Otro
E GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
Distribución Compromis
Otro no autorizada BAJA o_de_la_inf Divulgación
de los medios ormación
Configuración Mal
incorrecta de BAJA Software_ funcionamient
parámetros o del software
AMENAZAS ANEXO C Y
ISO 27005
No_Aplica TIPO A Personal_
No Aplica Personal_ Incumplimiento en la disponibilidad del personal
Hardware_ Destrucción de equipos o medios
Software_ Error en el uso
Red_ Procesamiento ilegal de los datos
Organización_ Hurto de medios o documentos
Lugar_ Uso no autorizado del equipo
Daño_físico Otro
Eventos_naturales Hardware_
Pérdida_de_los_servicios_esencialesDestrucción del equipo o los medios.
Perturbación_debida_a_la_radiación Polvo corrosión congelamiento
Compromiso_de_la_información Radiación electromagnética
Fallas_técnicas Error en el uso
Compromiso_de_las_funciones Pérdida del suministro de energía
Pirata_informatico_intruso_ilegal Fenómenos meteorológicos
Intrusos_empleados_con_entrenamiento_deficiente_descontento_malintencionado_negligente_deshonesto_o_despedido
Hurto de medios o documentos
Terrorismo Otro
No_Aplica Software_
Abuso de los derechos
Corrupción de datos
Error en el uso
Falsificación de derechos
Procesamiento ilegal de datos
Mal funcionamiento del software
Manipulación con software
Hurto de medios o documentos
Uso no autorizado del equipo
Otro
Red_
Negación de acciones
Escucha subrepticia
Falla del equipo de telecomunicaciones
Falsificación de derechos
Espionaje remoto
Uso no autorizado del equipo
Saturación del sistema de información
Otro
Organización_
Abuso de los derechos
Incumplimiento en el mantenimiento del sistema de infor
Corrupción de datos
Datos provenientes de fuentes no confiables
Negación de acciones
Falla del equipo
Error en el uso
Procesamiento ilegal de datos
Hurto de equipo
Hurto de medios o documentos
Uso no autorizado del equipo
Uso de software falso o copiado
Otro
Lugar_
Destrucción de equipo o medios
Inundación
Pérdida del suministro de energía
Hurto de equipo.
Otro
Daño_físico
Fuego
Daño por agua
Contaminación
Accidente importante
Destrucción del equipo o los medios
Otro
Pérdida_de_los_servicios_esenciales
Falla en el sistema de suministro de agua o de aire acondic
Pérdida de suministro de energía
Falla en el equipo de telecomunicaciones
Otro
Perturbación_debida_a_la_radiación
Radiación electromagnética
Radiación térmica
Impulsos electromagnéticos
Otro
Compromiso_de_la_información
Interceptación de señales de interferencia compromete
Espionaje remoto
Escucha subrepticia
Hurto de medios o documentos
Hurto de equipo
Recuperación de medios reciclados o desechados
Divulgación
Datos provenientes de fuentes no confiables
Manipulación con hardware
Detección de la posición
Otro
Fallas_técnicas
Falla del equipo
Mal funcionamiento del equipo
Saturación del sistema de información
Mal funcionamiento del software
Incumplimiento en el mantenimiento del sistema de infor
Otro
Compromiso_de_las_funciones
Error en el uso
Abuso de derechos
Falsificación de derechos
Negación de acciones
Incumplimiento en la disponibilidad del personal
Otro
Pirata_informatico_intruso_ilegal
Piratería
Ingeniería social
Intrusión
Acceso no autorizado al sistema (acceso a información clasificada, de propiedad /
Crimen por computador (por ejemplo, espionaje cibern
Acto fraudulento (por ejemplo, repetición, personificación, int
Soborno de la información
Suplantación de identidad
Explotación económica
Hurto de información
Penetración en el sistema
Otro
Eventos_naturales
Fenómenos climáticos
Fenómenos sísmicos
Fenómenos volcánicos
Fenómenos meteorológicos
Inundación
Otro
Intrusos_empleados_con_entrenamiento_deficiente_descontento_malintencionado_
Asalto a un empleado
Chantaje
Observar información de propietario
Abuso del computador
Soborno de información
Ingreso de datos falsos o corruptos
Interceptación
Código malintencionado (por ejemplo, virus, bomba lógica, cab
Venta de información personal
Errores * (bugs) en el sistema
Sabotaje del sistema
Acceso no autorizado al sistema
Otro
Terrorismo
Bomba / terrorismo
Guerra (warfare) de información
Ataques contra el sistema (por ejemplo, negación distribuida
Penetración en el sistema
Manipulación del sistema
Otro
Código 1313-F09
Versión 2
Fecha 2017-08-23
Página 3
VULNERABILIDAD x
AMENAZA
AZA RIESGOS
NIVEL
PROBABILIDAD
Se asume el
BAJA BAJA riesgo
Servicios seguros
MEDIA MEDIA no disponibles
Se asume el
BAJA BAJA riesgo
Se asume el
BAJA BAJA riesgo
Se asume el
BAJA BAJA riesgo
AMENAZAS ANEXO C Y ANEXO D
ISO 27005
uministro de energía
os meteorológicos
edios o documentos
de los derechos
pción de datos
ción de derechos
ento ilegal de datos
amiento del software
ción con software
edios o documentos
orizado del equipo
ón de acciones
ha subrepticia
de telecomunicaciones
ción de derechos
de los derechos
nimiento del sistema de información
pción de datos
s de fuentes no confiables
ón de acciones
edios o documentos
orizado del equipo
ware falso o copiado
de equipo o medios
uministro de energía
nte importante
el equipo o los medios
s_servicios_esenciales
stro de agua o de aire acondicionado
uministro de energía
o de telecomunicaciones
debida_a_la_radiación
electromagnética
electromagnéticos
_de_la_información
de interferencia comprometedoras
ha subrepticia
edios o documentos
s de fuentes no confiables
ión con hardware
n de la posición
o_de_las_funciones
o de derechos
ión de derechos
ón de acciones
a disponibilidad del personal
matico_intruso_ilegal
contento_malintencionado_negligente_deshonesto_o_despedido
a un empleado
mación de propietario
del computador
de información
tos falsos o corruptos
a / terrorismo
fare) de información
emplo, negación distribuida del servicio)
ión en el sistema
ación del sistema
PROCESO: Gestión de Tecnologías de Informáticas y Si
IDENTIFICACIÓN
10
IDENTIFICACIÓN
10
11
12
13
14
15
16
17
18
19
20
21
IDENTIFICACIÓN
22
23
24
25
26
27
28
29
30
31
32
IDENTIFICACIÓN
CONTROLES
DOMINPOLÍTICAS_DE_SEGU ORGANIZACIÓN_DE_LA_SEGURIDAD_DE_LASEGURIDAD_DE_LOS_RECURSOS_HUMAN
POLÍTIC Orientación_de_la_di Organización_interna Antes_de_asumir_el_contratación
ORGANIZACIÓN_DE_LA_SEGURDispositivos_moviles_y_teletrabajo Durante_la_ejecución_del_empleo
SEGURIDAD_DE_LOS_RECURSOS_HUMANOS Terminación_y_cambio_de_empleo
GESTIÓN_DE_ACTIVOS
CONTROL_DE_ACCESO
CRIPTOGRAFIA
SEGURIDAD_FÍSICA_Y_DEL_ENTORNO
SEGURIDAD_DE_LAS_OPERACIONES
SEGURIDAD_DE_LAS_TELECOMUNICACIONES
ADQUISICIÓN_DESARROLLO_Y_MANTENIMIENTO_DE_SISTEMAS
RELACIONES_CON_LOS_PROVEEDORES
GESTIÓN_DE_INCIDENTES_DE_SEGURIDAD_DE_LA_INFORMACIÓN
ASPECTOS_DE_SEGURIDAD_DE_LA_INFORMACIÓN_EN_LA_GESTIÓN_DE_CONTINUIDAD_DE_NEGOCIO
CUMPLIMIENTO
NO_DEFINIDO
SISTEM
NTIFICACIÓN ANÁLISIS
MAPA DE RIESGOS
JEFE DEL PROCESO
ANÁLISIS VALORACI
DESCRIPCIÓN CONTROL
ANEXO A ISO 270
PRIORIDAD ESTADO EXISTENTE
INICIAL (Máximo 3 controles) DOMINIO
0
ANÁLISIS VALORACI
DESCRIPCIÓN CONTROL
ANEXO A ISO 270
PRIORIDAD ESTADO EXISTENTE
INICIAL (Máximo 3 controles) DOMINIO
0
ANÁLISIS VALORACI
DESCRIPCIÓN CONTROL
ANEXO A ISO 270
PRIORIDAD ESTADO EXISTENTE
INICIAL (Máximo 3 controles) DOMINIO
0
0
ANÁLISIS VALORACI
DESCRIPCIÓN CONTROL
ANEXO A ISO 270
PRIORIDAD ESTADO EXISTENTE
INICIAL (Máximo 3 controles) DOMINIO
SEGURIDAD_DE_LAS_SEGURIDAD_DE_LAS GESTIÓN_DE_INCIDENTES_DE_SEGURIDAD_DE_LA_INFO
Procedimientos_operaGestión_de_la_segur Gestión_de_los_incidentes_y_mejoras_en_la_seguridad_d
Protección_contra_cóTransferencia_de_in
Copias_de_respaldo
Registro_y_seguimiento
Control_de_software_operacional
Gestión_de_la_vulnerabilidad_técnica
Consideraciones_sobre_auditorías_de_los_sistemas_de_información
Diana Patricia Jurado FEC
VALORACIÓN
ANEXO A ISO 27001:2013 NIVEL DE
PERIODICIDAD DEL TIPO DE EXPOSICIÓN
OBJETIVO DE CONTROL CONTROL CONTROL AL RIESGO
CONTROL
VALORACIÓN
ANEXO A ISO 27001:2013 NIVEL DE
PERIODICIDAD DEL TIPO DE EXPOSICIÓN
OBJETIVO DE CONTROL CONTROL CONTROL AL RIESGO
CONTROL
VALORACIÓN
ANEXO A ISO 27001:2013 NIVEL DE
PERIODICIDAD DEL TIPO DE EXPOSICIÓN
OBJETIVO DE CONTROL CONTROL CONTROL AL RIESGO
CONTROL
VALORACIÓN
ANEXO A ISO 27001:2013 NIVEL DE
PERIODICIDAD DEL TIPO DE EXPOSICIÓN
OBJETIVO DE CONTROL CONTROL CONTROL AL RIESGO
CONTROL
POLÍTICAS_DE_SEG SEGURIDAD_DE
ASPECTOS_DE_SEGURIDAD_DCUMPLIMIENTO NO_DEFINIDO Orientación_de_la_dAntes_de_asumir
Continuidad_de_seguridad_deCumplimiento_de_requisiNO_DEFINIDO Políticas para la seg Selección
Redundancias Revisiones_de_seguridad_de_la_información Revisión de las políti Términos y condi
Durante_la_eje
Responsabilidade
Toma de concienc
Proceso disciplin
Terminación_y_
Terminación o c
Código 1313-F09
Versión 2
Fecha 2017-08-23
Página 4
MANEJO
CONTROL CONTROL INDICADOR DE
TIPO TRATAMIENTO ACTIVO (Nuevo o ANEXO A RIESGO
Mejorado) ISO 27001:2013
MANEJO
CONTROL CONTROL INDICADOR DE
TIPO TRATAMIENTO ACTIVO (Nuevo o ANEXO A
RIESGO
Mejorado) ISO 27001:2013
MANEJO
CONTROL CONTROL INDICADOR DE
TIPO TRATAMIENTO ACTIVO (Nuevo o ANEXO A
RIESGO
Mejorado) ISO 27001:2013
MANEJO
CONTROL CONTROL INDICADOR DE
TIPO TRATAMIENTO ACTIVO (Nuevo o ANEXO A
RIESGO
Mejorado) ISO 27001:2013
PROCESO: 0
1 0 0 0 0 0
2 0 0 0 0 0
3 0 0 0 0 0
4 0 0 0 0 0
5 0 0 0 0 0
6 0 0 0 0 0
7 0 0 0 0 0
8 0 0 0 0 0
9 0 0 0 0 0
9 0 0 0 0 0
10 0 0 0 0 0
11 0 0 0 0 0
12 0 0 0 0 0
13 0 0 0 0 0
14 0 0 0 0 0
15 0 0 0 0 0
16 0 0 0 0 0
17 0 0 0 0 0
18 0 0 0 0 0
19 0 0 0 0 0
20 0 0 0 0 0
21 0 0 0 0 0
21 0 0 0 0 0
22 0 0 0 0 0
23 0 0 0 0 0
24 0 0 0 0 0
25 0 0 0 0 0
26 0 0 0 0 0
27 0 0 0 0 0
28 0 0 0 0 0
29 0 0 0 0 0
30 0 0 0 0 0
31 0 0 0 0 0
32 0 0 0 0 0
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
E MITIGACIÓN PARA EL MAPA DE RIESGOS
FECHA
JEFE DEL PROCESO 0 ULTIMA ACTUALIZACIÓN
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
Código 1313-F09
Versión 2
Fecha 2017-08-23
Página 5
FECHA
ULTIMA ACTUALIZACIÓN
RESPONSABLE (S)
ACCIÓN DESPUÉS (Recuperación) EN EL PROCESO
PROCESO: 0
OBJETIVO DEL PROCESO
(Usuario Metodología):
IDENTIFICACIÓN DEL RIESGO
No.
CLASE RIESGO DESCRIPCIÓN
1 0 0 0
2 0 0 0
3 0 0 0
4 0 0 0
5 0 0 0
6 0 0 0
7 0 0 0
8 0 0 0
9 0 0 0
10 0 0 0
11 0 0 0
12 0 0 0
13 0 0 0
14 0 0 0
14 0 0 0
15 0 0 0
16 0 0 0
17 0 0 0
18 0 0 0
19 0 0 0
20 0 0 0
21 0 0 0
22 0 0 0
23 0 0 0
24 0 0 0
25 0 0 0
26 0 0 0
27 0 0 0
28 0 0 0
29 0 0 0
30 0 0 0
31 0 0 0
32 0 0 0
SISTEMA DE GESTIÓN DE SEGURIDAD DE
SEGUIMIENTO AL MAPA DE R
FE DEL PROCESO 0
0
0
0
0
0
CONTROLES
Tipo de
Control Periodicidad control
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
Código 1313-F09
Versión 2
Página 6
FECHA DE SEGUIMIENTO
INSTRUCTIVO
ID CAMPO
Nombre del proceso al que pertenece el
0 Proceso
administrativos)
0 Jefe de Proceso Nombre del Jefe de Proceso
1.2 Nombre del Activo de Información Nombre de identificación dado por el pro
Detalla información sobre el activo de in
1.3 Descripción integrantes del proceso. Puede incluir ob
sobre el mismo.
CALIFICACIÓN DE LA VULNERABILIDAD Y
5 Determina las vulnerabilidades y amena
AMENAZA
5.1 Tipo Vulnerabilidad o Amenaza Factor que conlleva a existir una vulnera
5.2 Vulnerabilidad La debilidad de un activo o grupo de act
3 6 9 ALTA
2 4 6 MEDIA
1 2 3 BAJA
1 2 3
AMENAZA
3 6 9 ALTA
2 4 6 MEDIA
1 2 3 BAJA
BAJA MEDIA ALTA
1 2 3
IMPACTO
9 18 27 36
6 12 18 24
4 8 12 16
3 6 9 12
2 4 6 8
1 2 3 4
1 2
Aplicados, 3
Documentados, Aplicados, No
Efectivos y No
Aplicados y Efectivos efectivos
documentados
VALORACIÓN DEL CONTROL
LEVE
Se debe realizar seguimiento a los riesgos con el fin de verifica
Asumir valoración de los controles.
Riesgos con calificación inferior o igual a 3
Código
Fecha
UCTIVO Página
DEFINICIÓN
mbre del proceso al que pertenece el activo de información (Se entiende como cualquiera de los 21 procesos
inistrativos)
mbre del Jefe de Proceso
ne el tipo al cual pertenece el activo. Para este campo se utilizan la siguiente clasificación: Información,
ware, Conocimiento, Servicio, Hardware, Otros.
esponden a este tipo, datos e información almacenada o procesada física o electrónicamente tales como:
es y archivos de datos, contratos y acuerdos, documentación del sistema, información sobre
stigaciones, manuales de usuario, material de formación o capacitación, procedimientos operativos o de
orte, planes para la continuidad del negocio, acuerdos de recuperación, registros de auditoría e información
ivada, entre otros.
ware de aplicación, interfases, software del sistema, herramientas de desarrollo y otras utilidades
cionadas.
onal del proceso que por su conocimiento, habilidades, experiencia y criticidad para el proceso, son
sideradas activos de información.
icios de computación y comunicaciones, tales como Internet, correo electrónico, páginas de consulta,
ctorios compartidos e Intranet, entre otros.
activos físicos como por ejemplo: equipos de cómputo y de comunicaciones, medios removibles, entre
s que por su criticidad son considerados activos de información, no sólo activos fijos.
ndica los cargos que tiene responsabilidad aprobada de la Dirección para el control de la producción, el
arrollo, el mantenimiento, el uso y la seguridad del activo de información (propietario); y los custodios
cionados en el desarrollo del proceso (administrador técnico y administrador funcional).
e referencia a la manera en que está representada o se almacena la información. Los valores posibles son:
a, digital, Conocimiento.
ndica la ubicación donde se almacena el activo de información físico, con su respectivo detalle (impresa en
el, en fotografías, planos, entre otros).
ndican la ubicación a nivel de infraestructura tecnológica el activo de información digital, con su respectivo
lle. (almacenada en bases de datos, medios digitales removibles, entre otros).
ndican el nombre del cargo que conoce sobre el activo de información que no se esta almacenado en
ios físicos ni digitales, con su respectivo detalle. (el conocimiento puede estar de uno o varios cargos).
ntifica la forma, tamaño o modo en la que e presenta la información o se permite su visualización o
sulta, ejemplo: Hoja de cálculo (Excel), imagen (jpg), video (MPEG,AVI), Documento de Texto (Word),
be Acrobat (PDF), etc.
ca si la información está publicada o disponible para ser solicitada, señalando donde está publicada o donde
uede consultar o solicitar.
ermina que la información no esté disponible ni sea revelada a individuos o procesos no autorizados.
etermina el nivel de confidencialidad: Reservada, Clasificada, Pública (Ver tabla Propiedades de los Activos
nformación)
car porque el activo es Reservado o Clasificado. Teniendo en cuenta:
BJETIVO LEGÍTIMO: Art. 18 y 19 Ley 1712/2014.
UNDAMENTO CONSTITUCIONAL O LEGAL: Norma, Art., Inciso o párrafo que la ampara
UNDAMENTO JURÍDICO: Norma o fundamento jurídico
echa de calificación de la información como Reservada o Clasificada. (Fecha que se hace la clasificación)
ne la protección completa del activo de información o parcial de la información contenida, la cual genera
versión pública que mantenga la reserva únicamente de la parte a proteger.
mpo que cobija la clasificación de la información como Reservada o Clasificada.
piedad de salvaguardar la exactitud y estado completo de los activos de información.
etermina el nivel de confidencialidad: Alta, Media, Baja (Ver tabla Propiedades de los Activos de
rmación)
ica las razones del nivel de integridad
piedad de que la información sea accesible y utilizable por solicitud de una entidad autorizado.
etermina el nivel de disponibilidad: Alta, Media, Baja (Ver tabla Propiedades de los Activos de Información)
ica las razones del nivel de disponibilidad
obtener la criticidad del activo, se evalúa de acuerdo a la combinación de los resultados de la evaluación
as propiedades de los activos de información (Ver: Matriz criticidad de los activos de información)
ermina las vulnerabilidades y amenazas a las que están expuestos los activos de información
ebilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.
ermine qué clase de riesgo es el identificado, de acuerdo a la siguiente clasificación: Estratégico, Imagen,
racional, Financiero, Contable, Presupuestal, Cumplimiento, Tecnología, Información, Transparencia,
orales, Ambiental.
efiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado.
o que origina el riesgo, son el punto de partida para el planteamiento de acciones preventivas. Las causas
eben establecer a partir de los factores internos y externos que se establecieron en el contexto. Para
rminar las causas se podrá utilizar el diagrama causa - efecto.
esponde a los efectos ocasionados por el riesgo.
e el riesgo de acuerdo al impacto y la probabilidad para ubicarlo en la matriz de priorización inicial (ver. La
riz de Priorización inicial)
ntifica si existen controles asociados, si son aplicados, están documentados y son efectivos, con el fin de
rminar la posición del riesgo en la matriz de vulnerabilidad.
alla información sobre el control, de manera que sea claramente identificable para dar mayor claridad sobre
ismo.
ermina los Dominios de controles existente en el Anexo A de la Norma NTC/ISO/IEC 27001.
ón que tiende a prevenir o mitigar los riesgos. Los tipos de control pueden ser: Dirección, Detectivo,
entivo y Correctivo
e el nivel de exposición del riesgo en Leve, Moderado o Grave a partir de la matriz de priorización inicial y
do del control (Ver Matriz de exposición del riesgo)
No genera afectación al
DISPONIBILIDAD No genera afectación al funcionamiento
INTEGRIDAD BAJA funcionamiento y/o la prestación
BAJA y/o la prestación de los servicios de la
(1) de los servicios de la
(1) universidad o a los procesos.
universidad o a los procesos.
D x AMENAZA
VULNERABILIDAD
ÓN INICIAL
PROBABILIDAD
2
OBABILIDAD
1
45 9
PRIORIZACIÓN INICIAL
30 6
20 4
15 3
10 2
5 1
4 5
No aplicados No existen
N DEL CONTROL
JO DEL RIESGO
ACCIONES A TOMAR
berá implementar inmediatamente las acciones preventivas que conlleven a evitar, reducir,
ferir o compartir el riesgo de acuerdo al procedimiento del Sistema de Gestión de Calidad.
berá implementar acciones preventivas que conlleven a mejorar o documentar los controles
existentes.
berá implementar acciones preventivas que conlleven a mejorar o documentar los controles
existentes.
debe realizar seguimiento a los riesgos con el fin de verificar su impacto, probabilidad y la
valoración de los controles.
1313-SGC-INT-01
1
2016-04-18
clasificación: Información,
eriormente.
rmación.
ontrol de la producción, el
pietario); y los custodios
uncional).
etcétera).
no autorizados, modificación,
dad, Integridad y
cimiento.
ridad y disponibilidad.
ocesos no autorizados.
bla Propiedades de los Activos
a ampara
ue se hace la clasificación)
a.
mación.
s de los Activos de
tidad autorizado.
de los Activos de Información)
s resultados de la evaluación
vos de información)
de información
más amenazas.
a un sistema u organización
ación
SO/IEC 27001.
ado
r: Dirección, Detectivo,
ado.
con el control nuevo o
SPONIBILIDAD
TABLA
Estratégico Imagen Operacional Financiero
Afecta el cumplimiento
Afecta la imagen a Afecta la operación de Afecta los recursos de
de la misión y de los
ALTA fines establecidos en el
Nivel Nacional y/o la Institución /Más de 1 la entidad en más del
Internacional día 5%
PDI
TABLA 2.
Tipo de
riesgo
Estratégico Imagen Operacional Financiero
Probabilidad
Se relacionan con la
elaboración de los
Se asocian con la Se asocian con la Se refieren a la
estados financieros
Se refieren a la capacidad para cumplir infraestructura salvaguarda de la
para que cumplan con
capacidad de controlar con los requisitos tecnológica e información con los
los principios de
los recursos por medio legales, normativos y informática (hardware y que cuenta la
confiabilidad,
del presupuesto contractuales que Software) que soportan Universidad
relevancia y
asignado inciden en la las operaciones de la
comprensibilidad. Así
Universidad Universidad
como el uso para para
la toma de decisiones
Estados financieros
con observaciones que
Afecta la operación de
no afectan la situación No se puedan atender Procesos fiscales o Afecta la información
un proceso / Afecta los
de la entidad los compromisos disciplinarios / Institucional
SI de un proceso /
/ Dictamen con presupuestales Procesos judiciales (Clasificada o pública)
Meno de 3 horas
salvedades por la CGR
Estados financieros
con errores sin ninguna Se atienden los Demanda, quejas o
incidencia / Dictamen compromisos denuncia / Hallazgos Afecta un trámite o Afecta la información
sin salvedades por la presupuestales pero sin incidencia por parte servicio del Proceso (Pública)
CGR, pero con con restricciones de la CGR
hallazgos contables
Ha ocurrido en los Ha ocurrido en los Ha ocurrido en los Mas de 5 veces en el Mas de 5 veces en el
últimos 3 años últimos 3 años últimos 3 años semestre semestre
Ha ocurrido en los Ha ocurrido en los Ha ocurrido en los 3 y 4 veces en el 3 y 4 veces en el
últimos 2 años últimos 2 años últimos 2 años semestre semestre
Fecha 2017-08-23
Página 8
Afecta a toda la
Afecta recursos, comunidad Afecta los DDHH de
funciones y credibilidad universitaria/ Genera impactos más de 5 miembros de
de la entidad / ambientales que la comunidad
Desconocimiento de la Se presenta un afectan a la Institución universitaria/ se viola
gestión de la accidente con lesiones y zona de influencia un derecho
Universidad graves o muerte fundamental
No existe afectación a
Afecta a los
Genera impactos los DDHH, pero se
funcionarios de un
ambientales que presenta una situación
N/A proceso/se presenta un
afectan una zona de la que podría
incidente que no
institución desencadenar la
implica lesiones
vulneración