SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

INVENTARIO DE ACTIVOS

PROCESO: Gestión de Tecnologías de Informáticas y Sistemas de Información JEFE DEL PROCESO Diana Patricia Jurado

GENERALIDADES DEL ACTIVO RESPONSABILIDAD FRENTE AL ACTIVO

DEPENDECIA / PERSONAL
ID NOMBRE DESCRIPCIÓN TIPO ACTIVO PROPIETARIO CUSTODIO
ÁREA AUTORIZADO
Profesional
Administración de
Certificados Software: Administración de Servidores
Aseguramiento de los
1 Digitales -canales
PCT de comunicación de Información Servidores
GTIYSI GTIYSI Especializados y
(Llave privada -página
Humano Weby bancos Especializados y Bases de Datos -
segura
- publica) - Dspace Bases de Datos Profesional
Administración de
- Sigob Profesional
la red
- Olib Administración de
- Snies Servidores
- Andover Especializados y
- Aranda Bases de Datos ,
Administración de
profesionales de
2 Software de - Antivirus- kaspersky Servidores
Software GTIYSI GTIYSI desarrollo,
terceros - Ezproxy Especializados y
arquitecto de
- solid work Bases de Datos
software ,
- matlab. profesionales y
- vmware administración de
- windows server,assurance servicios
- office assurance informaticos
- mensajes de texto
 - Equipo de Backup de Cintas
- Cintas Profesional
Administración de
Administración de
3 Sistemas de Elemento que contiene la Servidores
Software GTIYSI GTIYSI Servidores
Backup copia de respaldo de la Especializados y
Especializados y
información de las bases de Bases de Datos
Bases de Datos
datos u otra

Profesional
Administración de
Software desarrollado por la Servidores
Universidad Tecnologica de Administración de Especializados y
Software
4 Desarrollado Pereira para atender las Servidores Bases de Datos ,
Software GTIYSI GTIYSI
necesidades de Especializados y profesionales de
por la UTP. automatización de los Bases de Datos desarrollo,
servicios institucionales. arquitecto de
software ,
profesionales.

Profesional
Balanceador Hardware de balanceo de Administración de
Administración de
Servidores
5 de carga A10 - carga web, manejo de trafico Software GTIYSI GTIYSI Servidores
Especializados y
F5 de red Bases de Datos
Especializados y
Bases de Datos

Profesional
Administración de
Servidores
Base de datos que almacena Administración de Especializados y
6 Base de Datos la Información del software Servidores Bases de Datos ,
Información GTIYSI GTIYSI
Institucional Institucional. Especializados y profesionales de
Bases de Datos desarrollo,
arquitecto de
software ,
profesionales.
 Profesional
Administración de
Servidores
Sistema de Sistema de inteligencia de Administración de Especializados y
Servidores Bases de Datos ,
7 Inteligencia negocios y Base de datos del Software GTIYSI GTIYSI
Especializados y profesionales de
de negocios mismo. Bases de Datos desarrollo,
arquitecto de
software ,
profesionales.

Servicios y Profesional
Software Administración de
Gforge, MSProject server,
Especializado Servidores
Serena, Git, librerias de
para el área Implementación de Especializados y
desarrollo, Enterprise
8 de architect, WordPress, Fortify, Software Sistemas de
GTIYSI GTIYSI Bases de Datos ,
implementaci Información profesionales de
Bases de datos, S.O.
ón de Institucional desarrollo,
sencha,Toad, toad dba,
Sistemas de arquitecto de
nessus, generador de codigo. software ,
Información
Institucional profesionales.

Código fuente de las diversas Profesionales

Documentaci aplicaciones + Implementación de
Implementación
Sistemas de
9 ón de - Diagramas - Manuales - Información GTIYSI GTIYSI de sistemas de
Información
aplicaciones normas - código fuente, Institucional
información
actas. institucional

Servidores que se requieren Profesional

Administración de
para la implementación del Administración de
Servidores
10 Servidores Hardware GTIYSI GTIYSI Servidores
sistema de información Especializados y
Especializados y
institucional. Bases de Datos
Bases de Datos
 - Equipo de Backup de Cintas
- Cintas Profesional
Administración de
Administración de
11 Sistemas de Elemento que contiene la Servidores
Hardware GTIYSI GTIYSI Servidores
Backup copia de respaldo de la Especializados y
Especializados y
información de las bases de Bases de Datos
Bases de Datos
datos u otra

Administración de
Servidores
Sistemas de Administración de
Especializados y
12 Almacenamie Sistema de almacenamiento Servidores
Hardware GTIYSI GTIYSI Bases de Datos -
3Par Especializados y
nto HP 3Par Bases de Datos
CRIE
(Administracion de
la red)

Profesional
Balanceador Hardware de balanceo de Administración de
Administración de
Servidores
13 de carga A10 - carga web, manejo de trafico Hardware GTIYSI GTIYSI Servidores
Especializados y
F5 de red Bases de Datos
Especializados y
Bases de Datos

- Registros de Profesionales y
Novedades de mantenimientos preventivos tecnicos
Administración de
14 equipos de y correctivos Información GTIYSI GTIYSI Administración de
Servicios Informáticos
computo - prestamos de equipos Servicios
- cambio de partes Informáticos y
 Jefe de
dependencia
Control de software cuando Profesionales y
tecnicos
15 Control de el técnico recibió a Administración de
Información GTIYSI GTIYSI Administración de
Software satisfacción el software para Servicios Informáticos
Servicios
entregarlo al usuario final. Informáticos y
Auxiliar
administrativa.

Equipo para Profesionales y

prestamos y Equipos para prestamo, tecnicos
Administración de
16 Stock de partes para equipos de Hardware GTIYSI GTIYSI Administración de
Servicios Informáticos
Partes - cómputo, impresoras, etc. Servicios
Inventario Informáticos

Jefe
dependencia,
tecnico
17 Licencias de Licencia de software que la administración administración
Información GTIYSI GTIYSI
software universidad ha adquirido. servicios informaticos. servicios
informaticos y
auxiliar
administrativa

Grado de destresas a
18 Jefe Area habilidadad que aportan al Conocimiento Jefe GTIYSI GTIYSI GTIYSI
desarrollo instituciuonal.
Grado de destresas a
19 Profesionales Profesional
habilidadad que aportan al Conocimiento GTIYSI GTIYSI GTIYSI
desarrollo desarrollo
desarrollo instituciuonal.
 Profesionales Grado de destresas a Profesionales
20 de soporte de habilidadad que aportan al Conocimiento soporte de GTIYSI GTIYSI GTIYSI
aplicaciones desarrollo instituciuonal. aplicaciones

Grado de destresas a
21 Tecnicos de habilidadad que aportan al Conocimiento Tecnicos soporte GTIYSI GTIYSI GTIYSI
soporte desarrollo instituciuonal.
Tecnicos Grado de destresas a Tecnico
22 administrativo habilidadad que aportan al Conocimiento GTIYSI GTIYSI GTIYSI
Administrativo
s desarrollo instituciuonal.
Grado de destresas a
23 Auxiliar GTIYSI habilidadad que aportan al Conocimiento Auxiliar GTIYSI GTIYSI GTIYSI GTIYSI
desarrollo instituciuonal.

de Grado de destresas a
24 Arquitecto habilidadad que aportan al Conocimiento Profesional II GTIYSI GTIYSI GTIYSI
software desarrollo instituciuonal.

de Grado de destresas a
25 Profesional Profesional
habilidadad que aportan al Conocimiento GTIYSI GTIYSI GTIYSI
servidores servidores
desarrollo instituciuonal.
Profesional Grado de destresas a
Conocimiento Profesional soporte
26 soporte habilidadad que aportan al GTIYSI GTIYSI GTIYSI
tecnico
tecnico desarrollo instituciuonal.

Actas de reunión interna y Todo el personal

27 Actas actas de desarrollo de Información GTIYSI GTIYSI GTIYSI GTIYSI
software.
 informes SIGER, informes de Jefe de
28 Informes Información GTIYSI GTIYSI GTIYSI
gestión. dependencia

Herramientas
para agilizar la Profesional y
prestación del Duplicador y recuperador de Administración de tecnico
29 servicio en Hardware Servicios GTIYSI GTIYSI Administración
Administracio discos duros . Informáticos de Servicios
n de servicios Informáticos
informaticos.
 Código 1313-F09

Versión 2

Fecha 2017-08-23

Página 1

FECHA ULTIMA ACTUALIZACIÓN 31-May-2018

UBICACIÓN DEL ACTIVO

MEDIO DE CONSERVACIÓN
FÍSICA DIGITAL CONOCIMIENTO

Centro de Datos
N/A N/A
(appserver)

Centro de Datos y
N/A administración de N/A
servicios informaticos
Centro de Datos N/A N/A

N/A Centro de Datos N/A

Centro de Datos N/A N/A

N/A Centro de Datos N/A

 N/A Centro de Datos N/A

N/A Centro de Datos N/A

Puesto de trabajo
de cada Centro de Datos ,
Cada desarrollador o
desarrollador o maquina de cada
de Ing. De soporte
del Ing. De desarrollador.
soporte

N/A Centro de Datos N/A

Centro de Datos N/A N/A

Centro de Datos N/A N/A

Centro de Datos N/A N/A

Administración de Administración de
Servicios Servicios N/A
Informáticos. Informáticos
 Puesto de trabajo
Administración de
jefe dependencia
Servicios
Administración de
Informáticos y
Servicios N/A
puesto de trabajo
Informáticos y puesto
auxiliar
de trabajo auxiliar
administrativa.
administrativa.

Administración de Administración de
Servicios Servicios N/A
Informáticos Informáticos

Archivador puesto
de trabajo tecnico
administración de
Puesto de trabajo
servicios N/A
Jefe de dependencia
informaticos y
auxiliar
administrativa

N/A N/A Persona

N/A N/A Persona

 N/A N/A Persona

N/A N/A Persona

N/A N/A Persona

N/A N/A Persona

N/A N/A Persona

N/A N/A Persona

N/A N/A Persona

Puesto de Puesto de trabajo

trabajo de cada de cada
desarrollador y desarrollador y
auxiliar auxiliar
administrativa. administrativa.
 Puesto de Puesto de trabajo
trabajo Jefe de Jefe de
dependencia dependencia

Profesional y
tecnico
Administración N/A N/A
de Servicios
Informáticos
 SISTEMA DE GESTIÓN DE

CLASIFICACIÓN DE LO
PROCESO: Gestión de Tecnologías de Informáticas y Sistemas de Información

RESPONSABILIDAD FRENTE AL
GENERALIDADES DEL ACTIVO DE INFORMACIÓN UBICACIÓN DEL ACTIVO DE
ACTIVO DE INFORMACIÓN
MEDIO DE CONSERVACIÓN
ID NOMBRE DESCRIPCIÓN IDIOMA CUSTODIO PROPIETARIO
FÍSICO

Certificados Aseguramiento de los

1 Digitales (Llave canales de comunicación Español GTIYSI GTIYSI N/A
privada - publica) de página segura y bancos
 Base de datos que
Base de Datos
6 almacena la Información Español GTIYSI GTIYSI N/A
Institucional del software Institucional.

Código fuente de las

diversas aplicaciones + Puesto de trabajo de
Documentación
9 - Diagramas - Manuales - Español GTIYSI GTIYSI cada desarrollador o del
de aplicaciones normas - código fuente, Ing. De soporte
actas.

- Registros de
Novedades de mantenimientos Administración de
14 equipos de preventivos y correctivos Español GTIYSI GTIYSI Servicios Informáticos.
computo - prestamos de equipos
- cambio de partes
 Control de software Administración de
cuando el técnico recibió a
Control de Servicios Informáticos y
15 satisfacción el software Español GTIYSI GTIYSI
Software puesto de trabajo auxiliar
para entregarlo al usuario administrativa.
final.

Archivador puesto de
trabajo tecnico
Licencias de Licencia de software que la
17 Español GTIYSI GTIYSI administración de
software universidad ha adquirido. servicios informaticos y
auxiliar administrativa

Actas de reunión interna y Puesto de trabajo de

27 Actas actas de desarrollo de Español GTIYSI GTIYSI cada desarrollador y
software. auxiliar administrativa.

informes SIGER, informes Puesto de trabajo Jefe de

28 Informes Español GTIYSI GTIYSI
de gestión. dependencia

#N/A #N/A #N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
#N/A #N/A #N/A #N/A #N/A #N/A
 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

CLASIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN

s de Información JEFE DEL PROCESO Diana Patricia Jurado

UBICACIÓN DEL ACTIVO DE INFORMACIÓN PROPIEDADES DE SEGURIDAD D

MEDIO DE CONSERVACIÓN SITIO DE CONFIDENCIALIDAD

FORMATO PUBLICACIÓN O
CONSULTA FECHA DE EXCEPCIÓN
DIGITAL CONOCIMIENTO NIVEL JUSTIFICACIÓN
CALIFICACIÓN TOTAL O PARCIAL

Centro de Datos No tiene opcion CLASIFICADA Art 18 de la ley

N/A archivo 11/20/2015 Total
(appserver) de consulta 1712 del 2014.
 Formatos bd
oracle, Oficina GTI&SI CLASIFICADA Art 18 de la ley
Centro de Datos N/A 11/20/2015 Parcial
sqlserver y 1712 del 2014.
Mysql

Word-Excel -
enterprise
architect, .php,
Cada .java o del
Centro de Datos , maquina desarrollador CLASIFICADA Art 18 de la ley
o de lenguaje de No se publica 11/20/2015 Parcial
de cada desarrollador. 1712 del 2014.
Ing. De soporte programación
que se use
dependiendo
del caso

Pdf, email- Administración

Administración de Servicios Art 6 de la ley
N/A documento de servicios PÚBLICA 11/20/2015 N/A
Informáticos 1712 del 2014.
fisico informaticos
 Puesto de trabajo jefe
dependencia Pdf, email- Administración
Administración de Servicios Art 6 de la ley
N/A documento de servicios PÚBLICA 11/20/2015 N/A
Informáticos y puesto de 1712 del 2014.
fisico informaticos
trabajo auxiliar
administrativa.

Pdf, email- Administración

Puesto de trabajo Jefe de Art 6 de la ley
N/A documento de servicios PÚBLICA 11/20/2015 N/A
dependencia 1712 del 2014.
fisico informaticos

Puesto de
Puesto de trabajo de cada trabajo auxiliar art 19 de la ley
desarrollador y auxiliar 0 word administrativo e RESERVADA 1712 5/31/2018 Parcial
del 2014.
administrativa. ingenieros de
desarrollo

Puesto de trabajo Jefe de Art 6 de la ley

0 word, excel Oficina GTI&SI PÚBLICA 11/20/2015 N/A
dependencia 1712 del 2014.

#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
#N/A #N/A
 Código 1313-F09
Versión 2

Fecha 2017-08-23

Página 2

FECHA ULTIMA
atricia Jurado 5/31/2018
ACTUALIZACIÓN

EDADES DE SEGURIDAD DEL ACTIVO DE INFORMACIÓN

CRITICIDAD DEL
INTEGRIDAD DISPONIBILIDAD ACTIVO
TIEMPO DE NIVEL JUSTIFICACIÓN NIVEL JUSTIFICACIÓN NIVEL
CLASIFICACIÓN

La información es Las aplicaciones

suceptible a ser no estarian
15 años ALTA ALTA ALTA
visible, manipulada, disponibles para
captada y alterada. su uso.
 Si no esta
disponible el
Consistencia de la funcionamiento
15 años ALTA ALTA ALTA
información de la
Universidad se
ve afectado.

Da espera
Se puede hacer mientras se
15 años MEDIA procesos de BAJA consigue esta MEDIA
reingenieria información o
se genera

Da espera
mientras se
15 años MEDIA Se puede reconstruir BAJA BAJA
consigue esta
información
 Da espera
mientras se
15 años BAJA Se puede reconstruir BAJA BAJA
consigue esta
información

Se debe tener los

numero de las
licencias legibles, se Depende del
15 años ALTA BAJA BAJA
pueden tener proveedor .
sanciones penales y
fiscales.

No afecta el Puede
5 años BAJA funcionamiento BAJA reconstruirse, MEDIA
institucional copias audio.

No afecta el Puede
15 años BAJA funcionamiento BAJA BAJA
reconstruirse.
institucional
 SISTEMA DE GESTIÓN DE SEGURI

ANÁLISIS DE VULNERABIL
PROCESO: Gestión de Tecnologías de Informáticas y Sistemas de Información

GENERALIDADES DEL ACTIVO DE INFORMACIÓN

VULN
ID NOMBRE DESCRIPCIÓN CRITICIDAD TIPO
VULNERABILIDAD

Personal

Certificados Aseguramiento de los

1 Digitales (Llave canales de comunicación de ALTA
privada - publica) página segura y bancos
Software

Software

Base de datos que almacena Software

Base de Datos
6 la Información del software ALTA
Institucional Institucional.

Software

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

#N/A #N/A #N/A #N/A

 VULNERABILIDADES ANEXO D
ISO 27005
TIPO V Personal
Personal Ausencia del Personal
Hardware Procedimientos inadecuados de contratación
Software Entrenamiento insuficiente en seguridad
Red Uso incorrecto de software y hardware
Organización Falta de conciencia acerca de la seguridad
Lugar Falta de mecanismos de monitoreo
No_Aplica
Trabajo no supervisado del personal externo o de limpieza
Falta de políticas para el uso correcto de los medios de telecomunicaciones y mensajería
Otro
Hardware
Mantenimiento insuficiente instalación fallida de los medios de almacenamiento
Falta de esquemas de reemplazo periódico
Sensibilidad a la radiación electromagnética
Falta de control de cambio con configuración eficiente
Susceptibilidad a las variaciones de tensión
Susceptibilidad a las variaciones de temperatura
Almacenamiento sin protección
Falta de cuidado en la disposición final
Copia no controlada
Otro
 Software
Falta o insuficiencia de la prueba del software
Defectos bien conocidos en el software
Falta de terminación de la sesión cuando se abandona la estación de trabajo
Disposición o reutilización de los medios de almacenamiento sin borrado adecuado
Falta de pruebas de auditoría
Distribución errada de los derechos de acceso
Software de distribución amplia
Utilización de los programas de aplicación a los datos errados en términos de tiempo
Interfase de usuario complicada
Falta de documentación
Configuración incorrecta de parámetros
Fechas incorrectas
Falta de mecanismos de identificación y autentificación como la autentificación de usuario
Tablas de contraseñas sin protección
Gestión deficiente de las contraseñas
Habilitación de servicios innecesarios
Software nuevo o inmaduro Mal funcionamiento del software
Especificaciones incompletas o no claras para los desarrolladores
Falta de control eficaz del cambio
Descarga y uso no controlados de software
Falta de copias de respaldo
Hurto de medios o documentos
Otro

Red
Falta de prueba del envío o la recepción de mensajes
Líneas de comunicación sin protección
Tráfico sensible sin protección
Conexión deficiente de los cables
Punto único de falla
Falta de identificación y autenticación de emisor y receptor
Arquitectura insegura de la red
Transferencia de contraseñas autorizadas
Gestión inadecuada de la red (capacidad de recuperación del enrutamiento)
Conexiones de red pública sin protección
Otro
Organización
Falta de procedimiento formal para el registro y retiro del registro de usuario
Falta de proceso formal para la revisión (supervisión) de los derechos de acceso
Falta o insuficiencia de disposiciones (con respecto a la seguridad) en los contratos con los clientes y/o terceras
Falta de procedimiento de monitoreo de los recursos de procesamiento información
Falta de auditorías (supervisiones) regulares
Falta de procedimientos de identificación y evaluación de riesgos
Falta de reportes sobre fallas incluidos en los registros de administradores y operador
Respuesta inadecuada de mantenimiento del servicio
 Falta o insuficiencia en el acuerdo a nivel de servicio
Falta de procedimiento de control de cambios
Falta de procedimiento formal para el control de la documentación del SGSI
Falta de procedimiento formal para la supervisión del registro del SGSI
Falta de procedimiento formal para la autorización de la información disponible al público
Falta de asignación adecuada de responsabilidades en la seguridad de la Información
Falta de planes de continuidad
Falta de políticas sobre el uso del correo electrónico
Falta de procedimientos para la introducción del software en los sistemas operativos
Falta de registros en las bitácoras*(logs) de administrador y operario.
Falta de procedimientos para el manejo de información clasificada
Falta de responsabilidades en la seguridad de la información en la descripción de los cargos
Falta o insuficiencia en las disposiciones (con respecto a la seguridad de la información) en los contratos con los empleados
Falta de procesos disciplinarios definidos en el caso de incidentes de seguridad de la información
Falta de política formal sobre la utilización de computadores portátiles
Falta de control de los activos que se encuentran fuera de las instalaciones
Falta o insuficiencia de política sobre limpieza de escritorio y de pantalla
Falta de autorización de los recursos de procesamiento de la información
Falta de mecanismos de monitoreo establecidos para las brechas en la seguridad
Falta de revisiones regulares por parte de la gerencia
Falta de procedimientos para la presentación de informes sobre las debilidades en la seguridad
Falta de procedimientos del cumplimiento de las disposiciones con los derechos intelectuales
Otro
Lugar
Uso inadecuado o descuidado del control de acceso físico a las edificaciones y los recintos
Ubicación en un área susceptible de inundación
Red energética inestable
Falta de protección física de las puertas y ventanas de la edificación
Otro
E GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

LISIS DE VULNERABILIDAD Y AMENAZAS

JEFE DEL PROCESO Diana Patricia Jurado FECHA ULTIMA ACTUALIZAC

ANÁLISIS DE LA VULNERABILIDAD Y AMENAZA

VULNERABILIDAD AMENAZA
TIPO
DESCRIPCIÓN OTRO PROBABILIDAD AMENAZA DESCRIPCIÓN OTRO

Distribución Compromis
Otro no autorizada BAJA o_de_la_inf Divulgación
de los medios ormación

Distribución Organizació Falla del

Otro no autorizada MEDIA n_ equipo
de los medios

Distribución errada de Compromis Abuso de

los derechos de BAJA o_de_las_f derechos
acceso unciones
Falta de copias de Organizació Negación de
BAJA
respaldo n_ acciones

Configuración Mal
incorrecta de BAJA Software_ funcionamient
parámetros o del software
 AMENAZAS ANEXO C Y
ISO 27005
No_Aplica TIPO A Personal_
No Aplica Personal_ Incumplimiento en la disponibilidad del personal
Hardware_ Destrucción de equipos o medios
Software_ Error en el uso
Red_ Procesamiento ilegal de los datos
Organización_ Hurto de medios o documentos
Lugar_ Uso no autorizado del equipo
Daño_físico Otro
Eventos_naturales Hardware_
Pérdida_de_los_servicios_esencialesDestrucción del equipo o los medios.
Perturbación_debida_a_la_radiación Polvo corrosión congelamiento
Compromiso_de_la_información Radiación electromagnética
Fallas_técnicas Error en el uso
Compromiso_de_las_funciones Pérdida del suministro de energía
Pirata_informatico_intruso_ilegal Fenómenos meteorológicos
Intrusos_empleados_con_entrenamiento_deficiente_descontento_malintencionado_negligente_deshonesto_o_despedido
Hurto de medios o documentos
Terrorismo Otro
No_Aplica Software_
Abuso de los derechos
Corrupción de datos
Error en el uso
 Falsificación de derechos
Procesamiento ilegal de datos
Mal funcionamiento del software
Manipulación con software
Hurto de medios o documentos
Uso no autorizado del equipo
Otro
Red_
Negación de acciones
Escucha subrepticia
Falla del equipo de telecomunicaciones
Falsificación de derechos
Espionaje remoto
Uso no autorizado del equipo
Saturación del sistema de información
Otro
Organización_
Abuso de los derechos
Incumplimiento en el mantenimiento del sistema de infor
Corrupción de datos
Datos provenientes de fuentes no confiables
Negación de acciones
Falla del equipo
Error en el uso
Procesamiento ilegal de datos
Hurto de equipo
Hurto de medios o documentos
Uso no autorizado del equipo
Uso de software falso o copiado
Otro
Lugar_
Destrucción de equipo o medios
Inundación
Pérdida del suministro de energía
Hurto de equipo.
Otro
Daño_físico
Fuego
Daño por agua
Contaminación
Accidente importante
Destrucción del equipo o los medios
Otro
Pérdida_de_los_servicios_esenciales
Falla en el sistema de suministro de agua o de aire acondic
Pérdida de suministro de energía
 Falla en el equipo de telecomunicaciones
Otro
Perturbación_debida_a_la_radiación
Radiación electromagnética
Radiación térmica
Impulsos electromagnéticos
Otro
Compromiso_de_la_información
Interceptación de señales de interferencia compromete
Espionaje remoto
Escucha subrepticia
Hurto de medios o documentos
Hurto de equipo
Recuperación de medios reciclados o desechados
Divulgación
Datos provenientes de fuentes no confiables
Manipulación con hardware
Detección de la posición
Otro
Fallas_técnicas
Falla del equipo
Mal funcionamiento del equipo
Saturación del sistema de información
Mal funcionamiento del software
Incumplimiento en el mantenimiento del sistema de infor
Otro
Compromiso_de_las_funciones
Error en el uso
Abuso de derechos
Falsificación de derechos
Negación de acciones
Incumplimiento en la disponibilidad del personal
Otro
Pirata_informatico_intruso_ilegal
Piratería
Ingeniería social
Intrusión
Acceso no autorizado al sistema (acceso a información clasificada, de propiedad /
Crimen por computador (por ejemplo, espionaje cibern
Acto fraudulento (por ejemplo, repetición, personificación, int
Soborno de la información
Suplantación de identidad
Explotación económica
Hurto de información
Penetración en el sistema
Otro
 Eventos_naturales
Fenómenos climáticos
Fenómenos sísmicos
Fenómenos volcánicos
Fenómenos meteorológicos
Inundación
Otro
Intrusos_empleados_con_entrenamiento_deficiente_descontento_malintencionado_
Asalto a un empleado
Chantaje
Observar información de propietario
Abuso del computador
Soborno de información
Ingreso de datos falsos o corruptos
Interceptación
Código malintencionado (por ejemplo, virus, bomba lógica, cab
Venta de información personal
Errores * (bugs) en el sistema
Sabotaje del sistema
Acceso no autorizado al sistema
Otro
Terrorismo
Bomba / terrorismo
Guerra (warfare) de información
Ataques contra el sistema (por ejemplo, negación distribuida
Penetración en el sistema
Manipulación del sistema
Otro
 Código 1313-F09
Versión 2

Fecha 2017-08-23

Página 3

HA ULTIMA ACTUALIZACIÓN 5/31/2018

VULNERABILIDAD x
AMENAZA
AZA RIESGOS
NIVEL
PROBABILIDAD

Se asume el
BAJA BAJA riesgo

Servicios seguros
MEDIA MEDIA no disponibles

Se asume el
BAJA BAJA riesgo

Se asume el
BAJA BAJA riesgo

Se asume el
BAJA BAJA riesgo
 AMENAZAS ANEXO C Y ANEXO D
ISO 27005

a disponibilidad del personal

de equipos o medios

to ilegal de los datos

edios o documentos
orizado del equipo

el equipo o los medios.

sión congelamiento
electromagnética

uministro de energía
os meteorológicos
edios o documentos

de los derechos
pción de datos
ción de derechos
ento ilegal de datos
amiento del software
ción con software
edios o documentos
orizado del equipo

ón de acciones
ha subrepticia
de telecomunicaciones
ción de derechos

orizado del equipo

sistema de información

de los derechos
nimiento del sistema de información
pción de datos
s de fuentes no confiables
ón de acciones

ento ilegal de datos

edios o documentos
orizado del equipo
ware falso o copiado

de equipo o medios

uministro de energía

nte importante
el equipo o los medios

s_servicios_esenciales
stro de agua o de aire acondicionado
uministro de energía
o de telecomunicaciones

debida_a_la_radiación
electromagnética

electromagnéticos

_de_la_información
de interferencia comprometedoras

ha subrepticia
edios o documentos

dios reciclados o desechados

s de fuentes no confiables
ión con hardware
n de la posición

amiento del equipo

istema de información
miento del software
nimiento del sistema de información

o_de_las_funciones

o de derechos
ión de derechos
ón de acciones
a disponibilidad del personal

matico_intruso_ilegal

n clasificada, de propiedad /o relacionada con la tecnología)

or ejemplo, espionaje cibernético)
petición, personificación, interceptación)
de la información
ción de identidad
ción económica
de información
ión en el sistema
enos climáticos
enos sísmicos
enos volcánicos
os meteorológicos

contento_malintencionado_negligente_deshonesto_o_despedido
a un empleado

mación de propietario
del computador
de información
tos falsos o corruptos

mplo, virus, bomba lógica, caballo troyano)

formación personal
bugs) en el sistema
aje del sistema
utorizado al sistema

a / terrorismo
fare) de información
emplo, negación distribuida del servicio)
ión en el sistema
ación del sistema
 PROCESO: Gestión de Tecnologías de Informáticas y Si

IDENTIFICACIÓN

No CLASE RIESGO DESCRIPCIÓN

10
 IDENTIFICACIÓN

No CLASE RIESGO DESCRIPCIÓN

10

11

12

13

14

15

16

17

18

19

20

21
 IDENTIFICACIÓN

No CLASE RIESGO DESCRIPCIÓN

21

22

23

24

25

26

27

28

29

30

31

32
 IDENTIFICACIÓN

No CLASE RIESGO DESCRIPCIÓN

LEVE MODERADO GRAVE

ASUMIR REDUCIR EVITAR
COMPARTIR REDUCIR
TRANSFERIR COMPARTIR
TRANSFERIR
 IDENTIFICACIÓN

No CLASE RIESGO DESCRIPCIÓN

CONTROLES
DOMINPOLÍTICAS_DE_SEGU ORGANIZACIÓN_DE_LA_SEGURIDAD_DE_LASEGURIDAD_DE_LOS_RECURSOS_HUMAN
POLÍTIC Orientación_de_la_di Organización_interna Antes_de_asumir_el_contratación
ORGANIZACIÓN_DE_LA_SEGURDispositivos_moviles_y_teletrabajo Durante_la_ejecución_del_empleo
SEGURIDAD_DE_LOS_RECURSOS_HUMANOS Terminación_y_cambio_de_empleo
GESTIÓN_DE_ACTIVOS
CONTROL_DE_ACCESO
CRIPTOGRAFIA
SEGURIDAD_FÍSICA_Y_DEL_ENTORNO
SEGURIDAD_DE_LAS_OPERACIONES
SEGURIDAD_DE_LAS_TELECOMUNICACIONES
ADQUISICIÓN_DESARROLLO_Y_MANTENIMIENTO_DE_SISTEMAS
RELACIONES_CON_LOS_PROVEEDORES
GESTIÓN_DE_INCIDENTES_DE_SEGURIDAD_DE_LA_INFORMACIÓN
ASPECTOS_DE_SEGURIDAD_DE_LA_INFORMACIÓN_EN_LA_GESTIÓN_DE_CONTINUIDAD_DE_NEGOCIO
CUMPLIMIENTO
NO_DEFINIDO
 SISTEM

ón de Tecnologías de Informáticas y Sistemas de Información JEFE DEL P

NTIFICACIÓN ANÁLISIS

CAUSA CONSECUENCIA PROBABILIDAD IMPACTO

NTIFICACIÓN ANÁLISIS

CAUSA CONSECUENCIA PROBABILIDAD IMPACTO

NTIFICACIÓN ANÁLISIS

CAUSA CONSECUENCIA PROBABILIDAD IMPACTO

NTIFICACIÓN ANÁLISIS

CAUSA CONSECUENCIA PROBABILIDAD IMPACTO

GESTIÓN_DE_ACTIVOS CONTROL_DE_ACCESO CRIPTOGRAFIA SEGURIDAD_FÍSICA_Y_DEL

Responsabilidad_por_los_activos Requisito_de_negocio_para_cont Controles_Criptográficos Áreas_seguras
Clasificación_de_la_información Gestión_de_acceso_de_usuarios Equipos
Manejo_de_medios Responsabilidades_de_los_usuario
Control_de_acceso_a_sistemas_y_aplicaciones
 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

MAPA DE RIESGOS
JEFE DEL PROCESO

ANÁLISIS VALORACI
DESCRIPCIÓN CONTROL
ANEXO A ISO 270
PRIORIDAD ESTADO EXISTENTE
INICIAL (Máximo 3 controles) DOMINIO

0
ANÁLISIS VALORACI
DESCRIPCIÓN CONTROL
ANEXO A ISO 270
PRIORIDAD ESTADO EXISTENTE
INICIAL (Máximo 3 controles) DOMINIO

0
ANÁLISIS VALORACI
DESCRIPCIÓN CONTROL
ANEXO A ISO 270
PRIORIDAD ESTADO EXISTENTE
INICIAL (Máximo 3 controles) DOMINIO
0

0
ANÁLISIS VALORACI
DESCRIPCIÓN CONTROL
ANEXO A ISO 270
PRIORIDAD ESTADO EXISTENTE
INICIAL (Máximo 3 controles) DOMINIO

SEGURIDAD_DE_LAS_SEGURIDAD_DE_LAS GESTIÓN_DE_INCIDENTES_DE_SEGURIDAD_DE_LA_INFO
Procedimientos_operaGestión_de_la_segur Gestión_de_los_incidentes_y_mejoras_en_la_seguridad_d
Protección_contra_cóTransferencia_de_in
Copias_de_respaldo
Registro_y_seguimiento
Control_de_software_operacional
Gestión_de_la_vulnerabilidad_técnica
Consideraciones_sobre_auditorías_de_los_sistemas_de_información
 Diana Patricia Jurado FEC

VALORACIÓN
ANEXO A ISO 27001:2013 NIVEL DE
PERIODICIDAD DEL TIPO DE EXPOSICIÓN
OBJETIVO DE CONTROL CONTROL CONTROL AL RIESGO
CONTROL
 VALORACIÓN
ANEXO A ISO 27001:2013 NIVEL DE
PERIODICIDAD DEL TIPO DE EXPOSICIÓN
OBJETIVO DE CONTROL CONTROL CONTROL AL RIESGO
CONTROL
 VALORACIÓN
ANEXO A ISO 27001:2013 NIVEL DE
PERIODICIDAD DEL TIPO DE EXPOSICIÓN
OBJETIVO DE CONTROL CONTROL CONTROL AL RIESGO
CONTROL
 VALORACIÓN
ANEXO A ISO 27001:2013 NIVEL DE
PERIODICIDAD DEL TIPO DE EXPOSICIÓN
OBJETIVO DE CONTROL CONTROL CONTROL AL RIESGO
CONTROL

POLÍTICAS_DE_SEG SEGURIDAD_DE
ASPECTOS_DE_SEGURIDAD_DCUMPLIMIENTO NO_DEFINIDO Orientación_de_la_dAntes_de_asumir
Continuidad_de_seguridad_deCumplimiento_de_requisiNO_DEFINIDO Políticas para la seg Selección
Redundancias Revisiones_de_seguridad_de_la_información Revisión de las políti Términos y condi
Durante_la_eje
Responsabilidade
Toma de concienc
Proceso disciplin
Terminación_y_
Terminación o c
 Código 1313-F09

Versión 2

Fecha 2017-08-23

Página 4

FECHA ULTIMA ACTUALIZACIÓN

MANEJO
CONTROL CONTROL INDICADOR DE
TIPO TRATAMIENTO ACTIVO (Nuevo o ANEXO A RIESGO
Mejorado) ISO 27001:2013
 MANEJO
CONTROL CONTROL INDICADOR DE
TIPO TRATAMIENTO ACTIVO (Nuevo o ANEXO A
RIESGO
Mejorado) ISO 27001:2013
 MANEJO
CONTROL CONTROL INDICADOR DE
TIPO TRATAMIENTO ACTIVO (Nuevo o ANEXO A
RIESGO
Mejorado) ISO 27001:2013
 MANEJO
CONTROL CONTROL INDICADOR DE
TIPO TRATAMIENTO ACTIVO (Nuevo o ANEXO A
RIESGO
Mejorado) ISO 27001:2013

GESTIÓN_DE_ACTIVOS CONTROL_DE_ACCESO CRIPTOGRAFÍA SEGURIDAD_FÍSICA_Y_DEL_ENTORNO

Responsabilidad_por_los_actRequisito_de_negocio_para_control_de_Controles_CriptográficosÁreas_seguras
Inventario de activos. Política de control de acceso. Política sobre el uso de loPerímetro de seguridad física.
Propiedad de los activos. Acceso a redes y a servicios en red. Gestión de llaves. Controles de acceso Físicos.
Uso aceptable de los activos. Gestión_de_acceso_de_usuarios Seguridad de oficinas, recintos e instal
Devolución de activos. Registro y cancelación del registro de usuarios. Protección contra las amenazas extern
Clasificación_de_la_informacSuministro de acceso asignados a usuarios. Trabajo en áreas seguras.
Clasificación de la informaciónGestión de los derechos de acceso privilegiado. Áreas de despacho y carga
Etiquetado de la información.Gestión de información de autenticación secreta de usuarios. Equipos
Manejo de activos. Revisión de los derechos de acceso de usuarios. Ubicación y protección de los equipos.
Manejo_de_medios Retiro o ajuste de los derechos de acceso. Servicio de suministro.
Gestión de medios removibResponsabilidades_de_los_usuario Seguridad del cableado.
Disposición de los medio. Uso de información de autenticación secreta. Mantenimiento de equipos.
Transferencia de medios físControl_de_acceso_a_sistemas_y_aplicaciones Retiro de activos
Restricción de acceso a la información. Seguridad de equipos y activos fuera de
Procedimiento de ingreso seguro. Disposición segura o reutilización de e
Sistemas de gestión de contraseñas Equipo de usuario desatendido.
Uso de programas utilitarios privilegiados Política de escritorio limpio y pantalla
Control de acceso a códigos fuente de programas
SEGURIDAD_DE_SEGURIDAD_DE_ADQUISICIÓN_DRELACIONES_COGESTIÓN_DE_IN ASPECTOS_DE_SCUMPLIMIENTO NO_DEFINIDO
Procedimientos_Gestión_de_la_sRequisitos_de_s Seguridad_de_laGestión_de_los_Continuidad_de_Cumplimiento_deNO DEFINIDO
Procedimientos Controles de redeAnálisis y especi Política de segur ResponsabilidadePlanificación de Identificación de la legislación aplicabl
Gestión de cambiSeguridad de los Seguridad de los sTratamiento de laReporte de eventImplantación de lDerechos de propiedad intelectual.
Gestión de capacSeparación en lasProtección de traCadena de suminiReporte de debiliVerificación, rev Protección de registros.
Separación de losTransferencia_d Seguridad_en_loGestión_de_la_pEvaluación de eveRedundancias Privacidad y Protección de la informac
Protección_contrPolíticas y proce Política de desarrSeguimiento y revRespuesta a incidDisponibilidad deReglamentación de controles criptográ
Controles contra acuerdos sobre trProcedimientos dGestión de cambio Aprendizaje obtenido de los incideRevisiones_de_seguridad_de_la_infor
Copias_de_respaMensajería electrRevisión técnica de las aplicacion Recopilación de evidencia. Revisión independiente de la seguridad
Respaldo de la inAcuerdos de confiRestricciones en los cambios a los paquetes de software. Cumplimiento con las políticas y no
Registro_y_seguimiento Principios de construcción de los sistemas seguros. Revisión del cumplimiento técnico.
Registro de eventos Ambiente de desarrollo seguro.
Protección de la información de regDesarrollo de contratado externamente.
Registros de administrados y d Pruebas de Seguridad de sistemas
Sincronización de relojes. Pruebas de aceptación de sistemas.
Control_de_software_operacionaDatos_de_prueba
Instalación de software en sistemaProtección de datos de prueba.
Gestión_de_la_vulnerabilidad_técnica
Gestión_de_las_vulnerabilidades_técnicas
Restricciones sobre la instalación de software
Consideraciones_sobre_auditorias_de_los_sistemas_de_información
Controles de auditorias de sistemas de información.
ficación de la legislación aplicable y de los requisitos contractuales.
hos de propiedad intelectual.

dad y Protección de la información de datos personales.

mentación de controles criptográficos.
ones_de_seguridad_de_la_información
ón independiente de la seguridad de la información.
limiento con las políticas y normas de seguridad.
ón del cumplimiento técnico.
 SISTEMA DE GESTIÓN DE SEGURIDAD DE
PLAN DE MITIGACIÓN PARA EL MAP

PROCESO: 0

OBJETIVO DEL PROCESO

(Usuario Metodología):
IDENTIFICACIÓN DEL RIESGO NIVEL DE
No. POSIBLES EXPOSICIÓN
CLASE RIESGO DESCRIPCIÓN CAUSA AL RIESGO
CONSECUENCIAS

1 0 0 0 0 0

2 0 0 0 0 0

3 0 0 0 0 0

4 0 0 0 0 0

5 0 0 0 0 0

6 0 0 0 0 0

7 0 0 0 0 0

8 0 0 0 0 0

9 0 0 0 0 0
9 0 0 0 0 0

10 0 0 0 0 0

11 0 0 0 0 0

12 0 0 0 0 0

13 0 0 0 0 0

14 0 0 0 0 0

15 0 0 0 0 0

16 0 0 0 0 0

17 0 0 0 0 0

18 0 0 0 0 0

19 0 0 0 0 0

20 0 0 0 0 0

21 0 0 0 0 0
21 0 0 0 0 0

22 0 0 0 0 0

23 0 0 0 0 0

24 0 0 0 0 0

25 0 0 0 0 0

26 0 0 0 0 0

27 0 0 0 0 0

28 0 0 0 0 0

29 0 0 0 0 0

30 0 0 0 0 0

31 0 0 0 0 0

32 0 0 0 0 0
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
E MITIGACIÓN PARA EL MAPA DE RIESGOS

FECHA
JEFE DEL PROCESO 0 ULTIMA ACTUALIZACIÓN

PLAN DE RESPONSABLE (S)

TRATAMIENTO CONTINGENCIA ACCIÓN DURANTE (Contingencia) ACCIÓN DESPUÉS (Recuperaci
EN EL PROCESO

0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
 Código 1313-F09
Versión 2

Fecha 2017-08-23

Página 5

FECHA
ULTIMA ACTUALIZACIÓN

RESPONSABLE (S)
ACCIÓN DESPUÉS (Recuperación) EN EL PROCESO
 PROCESO: 0
OBJETIVO DEL PROCESO
(Usuario Metodología):
IDENTIFICACIÓN DEL RIESGO
No.
CLASE RIESGO DESCRIPCIÓN

1 0 0 0

2 0 0 0

3 0 0 0

4 0 0 0

5 0 0 0

6 0 0 0

7 0 0 0

8 0 0 0

9 0 0 0

10 0 0 0

11 0 0 0

12 0 0 0

13 0 0 0

14 0 0 0
14 0 0 0

15 0 0 0

16 0 0 0

17 0 0 0

18 0 0 0

19 0 0 0

20 0 0 0

21 0 0 0

22 0 0 0

23 0 0 0

24 0 0 0

25 0 0 0

26 0 0 0

27 0 0 0

28 0 0 0

29 0 0 0

30 0 0 0

31 0 0 0
32 0 0 0
 SISTEMA DE GESTIÓN DE SEGURIDAD DE
SEGUIMIENTO AL MAPA DE R

0 JEFE DEL PROCESO

ACIÓN DEL RIESGO NIVEL DE

EXPOSICIÓN AL TRATAMIENTO
CAUSA CONSECUENCIA RIESGO
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
0
0 0 0
0
 0
0 0 0
0
ÓN DE SEGURIDAD DE LA INFORMACIÓN
MIENTO AL MAPA DE RIESGOS

FE DEL PROCESO 0

INDICADOR DEL RIESGO

PLAN DE
MITIGACIÓN Nombre Medición Análisis

0
0

0
0
0

CONTROLES
Tipo de
Control Periodicidad control
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
0 0 0
 Código 1313-F09

Versión 2

Fecha 2017- 08-23

Página 6

FECHA DE SEGUIMIENTO

NTROLES SITUACIÓN DEL RIESGO

LUEGO DE
Dificultades en la aplicación del control SEGUIMIENTO
 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

INSTRUCTIVO

ID CAMPO
Nombre del proceso al que pertenece el
0 Proceso
administrativos)
0 Jefe de Proceso Nombre del Jefe de Proceso

0 Fecha última actualización Fecha en la cual se diligencio el formato

GENERALIDADES DEL ACTIVO DE

1 Datos generales del activo, comprende:
INFORMACIÓN

1.1 ID Número consecutivo que permitirá ident

1.2 Nombre del Activo de Información Nombre de identificación dado por el pro
Detalla información sobre el activo de in
1.3 Descripción integrantes del proceso. Puede incluir ob
sobre el mismo.

Define el tipo al cual pertenece el activo

Tipo Activo
Software, Conocimiento, Servicio, Hardw
Corresponden a este tipo, datos e inform
bases y archivos de datos, contratos y a
Información investigaciones, manuales de usuario, m
soporte, planes para la continuidad del n
archivada, entre otros.
Software de aplicación, interfases, softw
Software
1.4 relacionadas.
Personal del proceso que por su conocim
Conocimiento
consideradas activos de información.
Servicios de computación y comunicacio
Servicio
directorios compartidos e Intranet, entre

Son activos físicos como por ejemplo: eq

Hardware
otros que por su criticidad son considera

Otros Activos de información que no correspon

1.5 Subproceso Área o dependencia del proceso principa

1.6 Idioma Establece el idioma, lengua o dialecto en
Identifica el momento de la creación del

1.7 Fecha de generación * Fecha de identificación del activo de in

* Fecha desde que se inicio a generar e

Se indica los cargos que tiene responsab

RESPONSABILIDAD FRENTE AL ACTIVO DE
2 desarrollo, el mantenimiento, el uso y la
INFORMACIÓN
relacionados en el desarrollo del proceso

Corresponde a un área designada que ti

- Quiénes tienen acceso y qué pueden
2.1 Propietario - Cuáles son los requisitos para que la i
pérdida de la confidencialidad o destrucc
- Qué se hace con la información una v

Corresponde al área que salvaguarda el

2.2 Custodio
Disponibilidad
2.3 Personal Autorizado Corresponde al cargo o cargos que pued

Hace referencia a la manera en que está

3 UBICACIÓN DEL ACTIVO DE INFORMACIÓN
Física, digital, Conocimiento.

Medio de conservación o Soporte Establece el soporte en el que se encuen

Se indica la ubicación donde se almacen

Física
papel, en fotografías, planos, entre otro
3.1
Se indican la ubicación a nivel de infraes
Digital
detalle. (almacenada en bases de datos,
Se indican el nombre del cargo que cono
Conocimiento
medios físicos ni digitales, con su respec
Identifica la forma, tamaño o modo en l
3.2 Formato de Almacenamiento consulta, ejemplo: Hoja de cálculo (Exce
Adobe Acrobat (PDF), etc.
Indica si la información está publicada o
3.3 Información Publicada o Disponible
se puede consultar o solicitar.

4 PROPIEDADES DEL ACTIVO DE INFORMACIÓN Contempla las propiedades de los activo

4.1 Confidencialidad Determina que la información no esté di

 Se determina el nivel de confidencialidad
Nivel
de Información)
Indicar porque el activo es Reservado o
Justificación
* OBJETIVO LEGÍTIMO: Art. 18 y 19 Le
* FUNDAMENTO CONSTITUCIONAL O L
* FUNDAMENTO JURÍDICO: Norma o fu
Fecha de Calificación La fecha de calificación de la informació

Define la protección completa del activo

Excepción Total o Parcial
una versión pública que mantenga la res
Tiempo de Clasificación Tiempo que cobija la clasificación de la i
4.2 Integridad Propiedad de salvaguardar la exactitud y
Se determina el nivel de confidencialidad
Nivel
Información)
Justificación Explica las razones del nivel de integrida
4.3 Disponibilidad Propiedad de que la información sea acc
Nivel Se determina el nivel de disponibilidad:
Justificación Explica las razones del nivel de disponib

Para obtener la criticidad del activo, se e

4.4 Criticidad del activo de información
de las propiedades de los activos de info

CALIFICACIÓN DE LA VULNERABILIDAD Y
5 Determina las vulnerabilidades y amena
AMENAZA
5.1 Tipo Vulnerabilidad o Amenaza Factor que conlleva a existir una vulnera
5.2 Vulnerabilidad La debilidad de un activo o grupo de act

Descripción Identifica las posibles Vulnerabilidades q

Probabilidad Frecuencia que podría presentarse la vu

Alta:
Media:
Baja:
5.3 Amenaza Una causa potencial de un incidente no-
Descripción Identifica las posibles Amenazas que est
Probabilidad Frecuencia que podría ocurrir la amenaz
Alta:
Media:
Baja:
Se evalúa el Impacto mediante la combi
5.4 Vulnerabilidad x Amenaza activos de información. (Ver: Matriz vuln
6 IDENTIFICACIÓN DEL RIESGO Caracterización del riesgo en los activos

Determine qué clase de riesgo es el iden

6.1 Clase Operacional, Financiero, Contable, Presu
Laborales, Ambiental.

6.2 Riesgo Posibilidad de que ocurra un acontecimi

6.3 Descripción Se refiere a las características generales

Es lo que origina el riesgo, son el punto
6.4 Causas se deben establecer a partir de los facto
determinar las causas se podrá utilizar e
6.5 Consecuencias Corresponde a los efectos ocasionados p

7 ANÁLISIS DEL RIESGO Medición del impacto y la probabilidad e

7.1 Probabilidad Es la probabilidad de ocurrencia del Ries

7.2 Impacto Es el impacto del Riesgo. Ver pestaña "E

Mide el riesgo de acuerdo al impacto y

7.3 Prioridad inicial
matriz de Priorización inicial)

8 VALORACIÓN DEL RIESGO Mide el riesgo después de analizar el co

Identifica si existen controles asociados,

8.1 Estado del control
determinar la posición del riesgo en la m
Descripción del control existente Detalla información sobre el control, de
8.2
(Máximo 3 controles) el mismo.
8.3 Dominio Determina los Dominios de controles ex

8.4 Objetivo de Control Elección del Objeto de Control a implem

8.5 Control Determina los controles a implementar d

8.6 Periodicidad del control Determina los intervalos de tiempo en q

Acción que tiende a prevenir o mitigar lo

8.7 Tipo de control
Preventivo y Correctivo

Mide el nivel de exposición del riesgo e

9 NIVEL DE EXPOSICIÓN AL RIESGO
estado del control (Ver Matriz de exposi

10 MANEJO DEL RIESGO Es la forma en la que se va a tratar el ri

 Es el tipo de tratamiento que se le da al
10.1 Tipo Tratamiento
Compartir y Asumir de acuerdo al nivel d
10.2 Activo Nombre del activo critico al que pertene

10.3 Control (nuevo o mejorado) Hace referencia a los controles que se d

Son los numerales del control del Anexo
10.4 Anexo A ISO 27001:2013
mejorado para su implementación.
10.5 Indicador del Riesgo Es el indicador que permitirá monitorear

PROPIEDADES DE LOS ACTIVOS D

3 Nivel CONFIDENCIALIDAD

Información disponible sólo para

personas autorizadas y el acceso
RESERVADA
2 ALTA
(5)
a ella esta prohibido por una
política institucional, norma legal
o constitucional.

Información disponible sólo para

CLASIFICADA personas autorizadas y cuyo
1 MEDIA
(3) acceso podrá ser rechazado o
denegado.

Información que puede ser

PÚBLICA entregada o publicada por
BAJA
(1) personas autorizadas sin
restricciones.

MATRIZ: CRITICIDAD DE LOS ACTIVOS DE INFOR

CONFIDENCIAL Valor INTEGRIDAD Valor
PÚBLICA 1.00 BAJA 1.00
PÚBLICA 1.00 BAJA 1.00
PÚBLICA 1.00 BAJA 1.00
PÚBLICA 1.00 MEDIA 2.00
PÚBLICA 1.00 ALTA 3.00
CLASIFICADA 3.00 BAJA 1.00
PÚBLICA 1.00 MEDIA 2.00
CLASIFICADA 3.00 BAJA 1.00
CLASIFICADA 3.00 BAJA 1.00
CLASIFICADA 3.00 MEDIA 2.00
CLASIFICADA 3.00 ALTA 3.00
RESERVADA 5.00 BAJA 1.00
PÚBLICA 1.00 MEDIA 2.00
PÚBLICA 1.00 ALTA 3.00
PÚBLICA 1.00 ALTA 3.00
RESERVADA 5.00 BAJA 1.00
RESERVADA 5.00 MEDIA 2.00
CLASIFICADA 3.00 MEDIA 2.00
CLASIFICADA 3.00 MEDIA 2.00
CLASIFICADA 3.00 ALTA 3.00
CLASIFICADA 3.00 ALTA 3.00
RESERVADA 5.00 BAJA 1.00
RESERVADA 5.00 ALTA 3.00
RESERVADA 5.00 MEDIA 2.00
RESERVADA 5.00 MEDIA 2.00
RESERVADA 5.00 ALTA 3.00
RESERVADA 5.00 ALTA 3.00

MATRIZ: VULNERABILIDAD x AMENAZA

3 6 9 ALTA

2 4 6 MEDIA

1 2 3 BAJA

BAJA MEDIA ALTA

1 2 3
AMENAZA

MATRIZ DE PRIORIZACIÓN INICIAL

3 6 9 ALTA

2 4 6 MEDIA
 1 2 3 BAJA
BAJA MEDIA ALTA
1 2 3
IMPACTO

MATRIZ NIVEL DE EXPOSICIÓN DEL RIESGO

9 18 27 36

6 12 18 24

4 8 12 16

3 6 9 12

2 4 6 8

1 2 3 4
1 2
Aplicados, 3
Documentados, Aplicados, No
Efectivos y No
Aplicados y Efectivos efectivos
documentados
VALORACIÓN DEL CONTROL

MATRIZ DE MANEJO DEL RIESGO

NIVEL
OPCIÓN DE
EXPOSICIÓN ACCIONES A TOMAR
TRATAMIENTO
RIESGO

Se deberá implementar inmediatamente las acciones preventiva

Evitar transferir o compartir el riesgo de acuerdo al procedimiento del
GRAVE
Reducir Las acciones preventivas tomadas deberán conllevar a imple
Transferir prevengan la materialización del riesgo y a miti
Riesgos con calificación superior o igual a 10 Compartir
Se debe implementar el plan de contingencia fren

Se deberá implementar acciones preventivas que conlleven a r

riesgo de acuerdo al procedimiento del Sistema de
MODERADO Reducir
Se deberá implementar acciones preventivas que conlleven a me
Transferir existentes.
Riesgos con calificación entre 4 y 9 Compartir
La implementación de un plan de contingencia estará sujeto a l
metodología
 Se deberá implementar acciones preventivas que conlleven a r
riesgo de acuerdo al procedimiento del Sistema de
MODERADO Reducir
Se deberá implementar acciones preventivas que conlleven a me
Transferir existentes.
Riesgos con calificación entre 4 y 9 Compartir
La implementación de un plan de contingencia estará sujeto a l
metodología

LEVE
Se debe realizar seguimiento a los riesgos con el fin de verifica
Asumir valoración de los controles.
Riesgos con calificación inferior o igual a 3
 Código

GURIDAD DE LA INFORMACIÓN Versión

Fecha

UCTIVO Página

DEFINICIÓN
mbre del proceso al que pertenece el activo de información (Se entiende como cualquiera de los 21 procesos
inistrativos)
mbre del Jefe de Proceso

ha en la cual se diligencio el formato

os generales del activo, comprende: nombre, descripción, tipo y subproceso.

mero consecutivo que permitirá identificar el activo de información

mbre de identificación dado por el proceso al que pertenece.

alla información sobre el activo de información, de manera que sea claramente identificable por todos los
grantes del proceso. Puede incluir observaciones adicionales que sean requeridos para dar mayor claridad
e el mismo.

ne el tipo al cual pertenece el activo. Para este campo se utilizan la siguiente clasificación: Información,
ware, Conocimiento, Servicio, Hardware, Otros.
esponden a este tipo, datos e información almacenada o procesada física o electrónicamente tales como:
es y archivos de datos, contratos y acuerdos, documentación del sistema, información sobre
stigaciones, manuales de usuario, material de formación o capacitación, procedimientos operativos o de
orte, planes para la continuidad del negocio, acuerdos de recuperación, registros de auditoría e información
ivada, entre otros.
ware de aplicación, interfases, software del sistema, herramientas de desarrollo y otras utilidades
cionadas.
onal del proceso que por su conocimiento, habilidades, experiencia y criticidad para el proceso, son
sideradas activos de información.
icios de computación y comunicaciones, tales como Internet, correo electrónico, páginas de consulta,
ctorios compartidos e Intranet, entre otros.

activos físicos como por ejemplo: equipos de cómputo y de comunicaciones, medios removibles, entre
s que por su criticidad son considerados activos de información, no sólo activos fijos.

vos de información que no corresponden a ninguno de los tipos descritos anteriormente.

a o dependencia del proceso principal, en el cual se identifico el activo de información.

blece el idioma, lengua o dialecto en se encuentra la información
ntifica el momento de la creación del activo de información.

cha de identificación del activo de información en la Tabla de Retención.

cha desde que se inicio a generar el activo de información

ndica los cargos que tiene responsabilidad aprobada de la Dirección para el control de la producción, el
arrollo, el mantenimiento, el uso y la seguridad del activo de información (propietario); y los custodios
cionados en el desarrollo del proceso (administrador técnico y administrador funcional).

esponde a un área designada que tiene la responsabilidad de crear y definir:

uiénes tienen acceso y qué pueden hacer con la información (modificar, leer, etcétera).
uáles son los requisitos para que la información se salvaguarde ante accesos no autorizados, modificación,
dida de la confidencialidad o destrucción deliberada.
ué se hace con la información una vez ya no es requerida.

esponde al área que salvaguarda el activo de información en su Confidencialidad, Integridad y

onibilidad
esponde al cargo o cargos que puede acceder al activo de información

e referencia a la manera en que está representada o se almacena la información. Los valores posibles son:
a, digital, Conocimiento.

blece el soporte en el que se encuentra la información: Físico, Digital o Conocimiento.

ndica la ubicación donde se almacena el activo de información físico, con su respectivo detalle (impresa en
el, en fotografías, planos, entre otros).
ndican la ubicación a nivel de infraestructura tecnológica el activo de información digital, con su respectivo
lle. (almacenada en bases de datos, medios digitales removibles, entre otros).
ndican el nombre del cargo que conoce sobre el activo de información que no se esta almacenado en
ios físicos ni digitales, con su respectivo detalle. (el conocimiento puede estar de uno o varios cargos).
ntifica la forma, tamaño o modo en la que e presenta la información o se permite su visualización o
sulta, ejemplo: Hoja de cálculo (Excel), imagen (jpg), video (MPEG,AVI), Documento de Texto (Word),
be Acrobat (PDF), etc.
ca si la información está publicada o disponible para ser solicitada, señalando donde está publicada o donde
uede consultar o solicitar.

templa las propiedades de los activos de información: Confidencialidad, Integridad y disponibilidad.

ermina que la información no esté disponible ni sea revelada a individuos o procesos no autorizados.
etermina el nivel de confidencialidad: Reservada, Clasificada, Pública (Ver tabla Propiedades de los Activos
nformación)
car porque el activo es Reservado o Clasificado. Teniendo en cuenta:
BJETIVO LEGÍTIMO: Art. 18 y 19 Ley 1712/2014.
UNDAMENTO CONSTITUCIONAL O LEGAL: Norma, Art., Inciso o párrafo que la ampara
UNDAMENTO JURÍDICO: Norma o fundamento jurídico

echa de calificación de la información como Reservada o Clasificada. (Fecha que se hace la clasificación)

ne la protección completa del activo de información o parcial de la información contenida, la cual genera
versión pública que mantenga la reserva únicamente de la parte a proteger.
mpo que cobija la clasificación de la información como Reservada o Clasificada.
piedad de salvaguardar la exactitud y estado completo de los activos de información.
etermina el nivel de confidencialidad: Alta, Media, Baja (Ver tabla Propiedades de los Activos de
rmación)
ica las razones del nivel de integridad
piedad de que la información sea accesible y utilizable por solicitud de una entidad autorizado.
etermina el nivel de disponibilidad: Alta, Media, Baja (Ver tabla Propiedades de los Activos de Información)
ica las razones del nivel de disponibilidad
obtener la criticidad del activo, se evalúa de acuerdo a la combinación de los resultados de la evaluación
as propiedades de los activos de información (Ver: Matriz criticidad de los activos de información)

ermina las vulnerabilidades y amenazas a las que están expuestos los activos de información

or que conlleva a existir una vulnerabilidad o amenaza.

ebilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.

ntifica las posibles Vulnerabilidades que están asociadas al factor seleccionado.

uencia que podría presentarse la vulnerabilidad

Es inevitable que la vulnerabilidad se presente
Es factible que la vulnerabilidad se presente
Es muy poco factible que la vulnerabilidad se presente
causa potencial de un incidente no-deseado, el cual puede resultar en daño a un sistema u organización
ntifica las posibles Amenazas que están asociadas al factor seleccionado.
uencia que podría ocurrir la amenaza
Es inevitable que la amenaza se presente
Es factible que la amenaza se presente
Es muy poco factible que la amenaza se presente
valúa el Impacto mediante la combinación de la Vulnerabilidad y la Amenaza a las que están expuestos los
vos de información. (Ver: Matriz vulnerabilidad x amenaza)
acterización del riesgo en los activos de información con criticidad alta

ermine qué clase de riesgo es el identificado, de acuerdo a la siguiente clasificación: Estratégico, Imagen,
racional, Financiero, Contable, Presupuestal, Cumplimiento, Tecnología, Información, Transparencia,
orales, Ambiental.

bilidad de que ocurra un acontecimiento que impacte a los activos de información

efiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado.
o que origina el riesgo, son el punto de partida para el planteamiento de acciones preventivas. Las causas
eben establecer a partir de los factores internos y externos que se establecieron en el contexto. Para
rminar las causas se podrá utilizar el diagrama causa - efecto.
esponde a los efectos ocasionados por el riesgo.

ición del impacto y la probabilidad en los activos de información

a probabilidad de ocurrencia del Riesgo. Ver pestaña "ESCALA"

l impacto del Riesgo. Ver pestaña "ESCALA"

e el riesgo de acuerdo al impacto y la probabilidad para ubicarlo en la matriz de priorización inicial (ver. La
riz de Priorización inicial)

e el riesgo después de analizar el control.

ntifica si existen controles asociados, si son aplicados, están documentados y son efectivos, con el fin de
rminar la posición del riesgo en la matriz de vulnerabilidad.
alla información sobre el control, de manera que sea claramente identificable para dar mayor claridad sobre
ismo.
ermina los Dominios de controles existente en el Anexo A de la Norma NTC/ISO/IEC 27001.

ción del Objeto de Control a implementar de acuerdo al Dominio seleccionado

ermina los controles a implementar de acuerdo al objeto de control seleccionado

ermina los intervalos de tiempo en que se aplican los controles.

ón que tiende a prevenir o mitigar los riesgos. Los tipos de control pueden ser: Dirección, Detectivo,
entivo y Correctivo

e el nivel de exposición del riesgo en Leve, Moderado o Grave a partir de la matriz de priorización inicial y
do del control (Ver Matriz de exposición del riesgo)

a forma en la que se va a tratar el riesgo.

 l tipo de tratamiento que se le da al riesgo mediante las acciones preventivas de Evitar, Reducir, Transferir,
mpartir y Asumir de acuerdo al nivel de exposición al riesgo (Ver. Matriz de Manejo del Riesgo)
mbre del activo critico al que pertenece los riesgo identificados en la matriz de vulnerabilidades y amenazas.

e referencia a los controles que se deben implementar ya sea nuevo o mejorado.

los numerales del control del Anexo A de la ISO 27001:2013 que se asocian con el control nuevo o
orado para su implementación.
l indicador que permitirá monitorear el riesgo.

EDADES DE LOS ACTIVOS DE INFORMACIÓN

INTEGRIDAD DISPONIBILIDAD

Afecta el buen funcionamiento

y/o prestación de los servicios en
DISPONIBILIDAD
INTEGRIDAD ALTA la Universidad en cuanto a lo Afecta el funcionamiento y/o la prestación
ALTA
(3) económico, legal, operativo, y/o de los servicios en la Universidad.
(3)
buen nombre y honra de las
personas.

INTEGRIDAD Afecta el funcionamiento y/o la DISPONIBILIDAD

Afecta el funcionamiento y/o la prestación
MEDIA prestación de los servicios en el MEDIA
de los servicios en el proceso.
(2) proceso. (2)

No genera afectación al
DISPONIBILIDAD No genera afectación al funcionamiento
INTEGRIDAD BAJA funcionamiento y/o la prestación
BAJA y/o la prestación de los servicios de la
(1) de los servicios de la
(1) universidad o a los procesos.
universidad o a los procesos.

E LOS ACTIVOS DE INFORMACIÓN

DISPONIBILIDAD Valor CRITICIDAD
BAJA 1.00 1
MEDIA 2.00 2
ALTA 3.00 3
BAJA 1.00 2 BAJA
BAJA 1.00 3
 BAJA
BAJA 1.00 3
MEDIA 2.00 4
MEDIA 2.00 6
ALTA 3.00 9
BAJA 1.00 6
BAJA 1.00 9
BAJA 1.00 5
ALTA 3.00 6 MEDIA
MEDIA 2.00 6
ALTA 3.00 9
MEDIA 2.00 10
BAJA 1.00 10
MEDIA 2.00 12
ALTA 3.00 18
MEDIA 2.00 18
ALTA 3.00 27
ALTA 3.00 15
BAJA 1.00 15 ALTA
MEDIA 2.00 20
ALTA 3.00 30
MEDIA 2.00 30
ALTA 3.00 45

D x AMENAZA
VULNERABILIDAD

ÓN INICIAL
PROBABILIDAD

2
 OBABILIDAD
1

OSICIÓN DEL RIESGO

45 9

PRIORIZACIÓN INICIAL
30 6

20 4

15 3

10 2

5 1
4 5
No aplicados No existen
N DEL CONTROL

JO DEL RIESGO
ACCIONES A TOMAR

berá implementar inmediatamente las acciones preventivas que conlleven a evitar, reducir,
ferir o compartir el riesgo de acuerdo al procedimiento del Sistema de Gestión de Calidad.

s acciones preventivas tomadas deberán conllevar a implementar nuevos controles que

prevengan la materialización del riesgo y a mitigar el impacto.

Se debe implementar el plan de contingencia frente a estos riesgos.

eberá implementar acciones preventivas que conlleven a reducir, transferir o compartir el

riesgo de acuerdo al procedimiento del Sistema de Gestión de Calidad.

berá implementar acciones preventivas que conlleven a mejorar o documentar los controles
existentes.

mplementación de un plan de contingencia estará sujeto a las necesidades del usuario de la

metodología
 eberá implementar acciones preventivas que conlleven a reducir, transferir o compartir el
riesgo de acuerdo al procedimiento del Sistema de Gestión de Calidad.

berá implementar acciones preventivas que conlleven a mejorar o documentar los controles
existentes.

mplementación de un plan de contingencia estará sujeto a las necesidades del usuario de la

metodología

debe realizar seguimiento a los riesgos con el fin de verificar su impacto, probabilidad y la
valoración de los controles.
 1313-SGC-INT-01
1

2016-04-18

cualquiera de los 21 procesos

e identificable por todos los

dos para dar mayor claridad

clasificación: Información,

lectrónicamente tales como:

ormación sobre
edimientos operativos o de
ros de auditoría e información

llo y otras utilidades

ad para el proceso, son

co, páginas de consulta,

medios removibles, entre

os fijos.

eriormente.

rmación.
ontrol de la producción, el
pietario); y los custodios
uncional).

etcétera).
no autorizados, modificación,

dad, Integridad y

ión. Los valores posibles son:

cimiento.

espectivo detalle (impresa en

ción digital, con su respectivo

).
se esta almacenado en
r de uno o varios cargos).
mite su visualización o
umento de Texto (Word),

donde está publicada o donde

ridad y disponibilidad.

ocesos no autorizados.
bla Propiedades de los Activos

a ampara

ue se hace la clasificación)

n contenida, la cual genera

a.
mación.
s de los Activos de

tidad autorizado.
de los Activos de Información)

s resultados de la evaluación
vos de información)

de información

más amenazas.

a un sistema u organización

a las que están expuestos los

ación: Estratégico, Imagen,
mación, Transparencia,

ación

esta el riesgo identificado.

ones preventivas. Las causas
ron en el contexto. Para

de priorización inicial (ver. La

son efectivos, con el fin de

para dar mayor claridad sobre

SO/IEC 27001.

ado

r: Dirección, Detectivo,

matriz de priorización inicial y

 de Evitar, Reducir, Transferir,
nejo del Riesgo)
vulnerabilidades y amenazas.

ado.
con el control nuevo o

SPONIBILIDAD

a el funcionamiento y/o la prestación

e los servicios en la Universidad.

a el funcionamiento y/o la prestación

de los servicios en el proceso.

genera afectación al funcionamiento

la prestación de los servicios de la
universidad o a los procesos.
 TABLAS PARA EL ANÁLISIS DEL IMPA

TABLA
Estratégico Imagen Operacional Financiero

Se asocia con la forma

Tipo de riesgo en que se administra la
(Descriptor) Universidad, se Están relacionados con Comprende los riesgos
enfocan en asuntos la percepción y la relacionados tanto con
globales relacionados confianza por parte de la parte operativa como
con la misión y el la comunidad con la técnica de la
cumplimiento de los universitaria y Universidad, incluye Se relacionan con el
objetivos del PDI, la ciudadanía. Estos riesgos provenientes manejo de los recursos
clara definición de pueden derivarse de de los procesos y monetarios de la
políticas, diseño y acción de terceros que procedimientos entidad
conceptualización de la afectan mediante internos, estructura de
entidad por parte de la rumores o propaganda la entidad y
Impacto alta Dirección. – Se negativa la imagen de administración de
contemplan en el Mapa la Universidad. bienes.
de Riesgos de
Contexto Estratégico-

Afecta el cumplimiento
Afecta la imagen a Afecta la operación de Afecta los recursos de
de la misión y de los
ALTA fines establecidos en el
Nivel Nacional y/o la Institución /Más de 1 la entidad en más del
Internacional día 5%
PDI

Afecta el cumplimiento Afecta los recursos de

Afecta la imagen a Afecta la operación de
MEDIA de los objetivos
Nivel Regional o local un proceso / Medio día
la entidad en más del
institucionales 2%

Afecta el cumplimiento Afecta los recursos de

Afecta la imagen a Afecta un trámite o
BAJA de los componentes
Nivel institucional servicio
la entidad en menos
y/o proyectos del PDI 2%

TABLA 2.
Tipo de
riesgo
Estratégico Imagen Operacional Financiero
Probabilidad

Afecta a 5 o más 5 o más veces en la Ha ocurrido en los

ALTA objetivos del PDI vigencia
3 veces al semestre
últimos 3 años
 Afecta de 2 a 4 3 a 4 veces en la Ha ocurrido en los
MEDIA objetivos del PDI vigencia
2 veces al semestre
últimos 2 años

Afecta a 1 objetivo del Menos de 3 veces en Ha ocurrido en el

BAJA PDI la vigencia
1 vez al semestre
último año
RA EL ANÁLISIS DEL IMPACTO Y LA PROBABILIDAD

TABLA 1. ANÁLISIS DE IMPACTO

Contable Presupuestal Cumplimiento Tecnología Información

Se relacionan con la
elaboración de los
Se asocian con la Se asocian con la Se refieren a la
estados financieros
Se refieren a la capacidad para cumplir infraestructura salvaguarda de la
para que cumplan con
capacidad de controlar con los requisitos tecnológica e información con los
los principios de
los recursos por medio legales, normativos y informática (hardware y que cuenta la
confiabilidad,
del presupuesto contractuales que Software) que soportan Universidad
relevancia y
asignado inciden en la las operaciones de la
comprensibilidad. Así
Universidad Universidad
como el uso para para
la toma de decisiones

Estados financieros Afecta la información

Afecta la operación de
que no reflejan la Se presenta déficit Intervención, sanción sensible (Reservada y
la Institución / Afecta
situación de la entidad/ presupuestal en la penal, fiscal o clasificada)
los SI de la institución /
Dictamen de entidad disciplinaria
Mas de 5 horas
abstención por la CGR

Estados financieros
con observaciones que
Afecta la operación de
no afectan la situación No se puedan atender Procesos fiscales o Afecta la información
un proceso / Afecta los
de la entidad los compromisos disciplinarios / Institucional
SI de un proceso /
/ Dictamen con presupuestales Procesos judiciales (Clasificada o pública)
Meno de 3 horas
salvedades por la CGR

Estados financieros
con errores sin ninguna Se atienden los Demanda, quejas o
incidencia / Dictamen compromisos denuncia / Hallazgos Afecta un trámite o Afecta la información
sin salvedades por la presupuestales pero sin incidencia por parte servicio del Proceso (Pública)
CGR, pero con con restricciones de la CGR
hallazgos contables

TABLA 2. ANÁLISIS DE PROBABILIDAD

Contable Presupuestal Cumplimiento Tecnología Información

Ha ocurrido en los Ha ocurrido en los Ha ocurrido en los Mas de 5 veces en el Mas de 5 veces en el
últimos 3 años últimos 3 años últimos 3 años semestre semestre
Ha ocurrido en los Ha ocurrido en los Ha ocurrido en los 3 y 4 veces en el 3 y 4 veces en el
últimos 2 años últimos 2 años últimos 2 años semestre semestre

Ha ocurrido en el Ha ocurrido en el Ha ocurrido en el menos de 2 veces en menos de 2 veces en

último año último año último año el semestre el semestre
 Código 1313-F09
Versión 2

Fecha 2017-08-23

Página 8

Transparencia Laborales Ambiental Derechos Humanos

Están relacionados con

el cumplimiento de los
principios y valores, la
Se relacionan con la
aplicación de políticas
Se asocian con la Se asocia con los vulneración de los
y conductas éticas que
seguridad y salud aspectos que generan DDHH en el ámbito de
garanticen que no se
ocupacional impactos ambientales influencia de la
presente el uso
Universidad.
indebido del poder,
recursos o información
en beneficio particular

Afecta a toda la
Afecta recursos, comunidad Afecta los DDHH de
funciones y credibilidad universitaria/ Genera impactos más de 5 miembros de
de la entidad / ambientales que la comunidad
Desconocimiento de la Se presenta un afectan a la Institución universitaria/ se viola
gestión de la accidente con lesiones y zona de influencia un derecho
Universidad graves o muerte fundamental

Afecta a todos los Afecta los DDHH a

funcionarios de la Genera impactos menos de 5 miembros
N/A institución/ Se presenta ambientales que de la comunidad
accidente sin lesiones afectan a la Institución universitaria/ se viola
graves un derecho colectivo

No existe afectación a
Afecta a los
Genera impactos los DDHH, pero se
funcionarios de un
ambientales que presenta una situación
N/A proceso/se presenta un
afectan una zona de la que podría
incidente que no
institución desencadenar la
implica lesiones
vulneración

Transparencia Laborales Ambiental Derechos Humanos

Más de 3 veces en la Más de 3 veces en la Mas de 5 veces en la Más de 3 veces en la

vigencia vigencia vigencia vigencia
 2 a 4 veces en la
2 veces en la vigencia 2 veces en la vigencia 2 veces en la vigencia
vigencia

Menos de 2 veces enla

1 vez en la vigencia 1 vez en la vigencia 1 vez en la vigencia
vigencia