|

PLAN DE TRATAMIENTO DE RIESGOS DE

SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN
 INTRODUCCIÓN

Debido a los avances tecnológicos y a su continuo uso, esto trae consigo estar a
la vanguardia y entrar en permanente cambio ya que los delitos informáticos no
cesan y la protección de la información es cada vez más apremiante para el
mundo. Por lo anterior, el Gobierno Nacional a través del Ministerio de las
Tecnologías de la Información y Comunicaciones (MINTIC) en el Modelo de
Seguridad y Privacidad de la Información – MSPI de la Estrategia de Gobierno
Digital, influenciado por la necesidad y el objetivo de preservar la confidencialidad,
integración, disponibilidad y privacidad de la información, planteado dentro de un
plan estratégico de seguridad de la información y teniendo en cuenta que la
información es un prioridad y se debe garantizar su protección y acceso a la
comunidad, en consecuencia se realizará el presente llamado: “Plan de
Tratamiento de Riesgos de Seguridad y Privacidad de la Información”. El que
contemplara las estrategias para adoptar, promover, planificar programas de
control y protección de información frente a cualquier incidente que la pueda poner
en vulnerabilidad o riesgo.
 OBJETIVOS

Objetivo General:

Dar lineamientos para que la CARDER a través de mejores prácticas de seguridad

se fortalezca y pueda enfrentar los diferentes riesgos que atente contra la
seguridad y tratamiento de la información.

Objetivos Específicos:
1. Identificar el nivel de eficiencia y eficacia de los controles existentes en la
organización para proteger la integridad, confidencialidad y disponibilidad
de sus activos de información.
2. Promover el uso de instancia apropiadas para prevenir, atender, controlar y
mitigar el riesgo.
3. Brindar lineamientos para la implementación de mejores prácticas de
seguridad de la información que regulen los incidentes cibernéticos.
4. Diseñar e implementar planes de capacitación y socialización en seguridad
de la Información.
5. Fortalecer las políticas de seguridad
6. Contribuir en mejorar los procesos de intercambio de información
7. Desarrollar los logros y actividades para implementar la seguridad y
privacidad de la información como son la implementación del manual de
políticas de seguridad y privacidad, monitoreo y mejoramiento continúo por
medio de los principios de confidencialidad, integridad y disponibilidad.
8. Incluir un Modelo de Seguridad y Privacidad de la Información con el Marco
de Referencia de Arquitectura Empresarial TI.
 JUSTIFICACIÓN

De acuerdo con los lineamientos del Gobierno Nacional a través del Ministerio de
las Tecnologías de la Información y Comunicaciones (MINTIC) en el Modelo de
Seguridad y Privacidad de la Información – MSPI de la Estrategia de Gobierno
Digital, la Dirección de Estándares y Arquitectura de TI, la Subdirección de
Seguridad y Privacidad de TI y El Departamento Administrativo de la Función
Pública por medio del Decreto 612 de 2018, por el cual se fijan directrices para la
Integración de los planes Institucionales y estratégicos al Plan de Acción por parte
de las entidades del Estado, buscan el cumplimiento de sus funciones de
contribuir en un estado más eficiente, transparente y participativo, mediante el
aprovechamiento de las Tecnologías de la Información y Comunicaciones y el
modelo de seguridad y privacidad de la Información.

Pretendiendo que la CARDER se beneficie con la construcción de implementación

de plan de tratamiento de riesgo de la seguridad para que garantice el
fortalecimiento de la seguridad de la información tanto de la comunidad interna,
externa, entes de control y proveedores acorde con la normatividad del País.
Los puntos tratados en el análisis diferencial son los Controles Técnicos:
 Control de acceso
 Criptografía
 Seguridad física y del entorno
 Seguridad de las operaciones
 Seguridad de las comunicaciones
 Adquisición, desarrollo y mantenimiento de sistemas
 Gestión de incidentes de seguridad de la información

Presentación de los controles de ISO 27001 a ser evaluadas

Durante el autodiagnóstico se presentó el alcance de los dominios de seguridad y

controles a ser evaluados y sobre estos se hicieron preguntas que permitieran
identificar el estado actual de implementación, así:

Política de Seguridad de la Información: Documento en el cual se estipulan las

políticas con respecto a la seguridad de la información.

Organización de la Seguridad de la Información: Estructura del área de

seguridad de la información que le permita gestionar la seguridad de la
información dentro de la organización: Roles, compromisos, autorizaciones,
acuerdos, manejo con terceros, entre otros.

Seguridad de los Recurso Humano: Procedimientos para asegurar que

empleados, contratistas y terceros entienden sus responsabilidades y son idóneos
para los roles a desempeñar minimizando los riesgos relacionados con personal.

Gestión de Activos: Procedimientos para la identificación de los activos de

información de la entidad y los requerimientos de estos en cuanto a
confidencialidad, integridad y disponibilidad.

Control de Accesos: Procedimientos y controles para garantizar que el acceso a

los activos de información este restringido a personal autorizado.

Criptografía: Protección de la información mediante procedimientos

criptográficos.
Seguridad Física y del entorno: Procedimientos y controles para prevenir
accesos físicos no autorizados (perímetro), daños o interferencias a las
instalaciones de la entidad y a su información.

Seguridad de las Operaciones: Procedimientos y controles para garantizar la

correcta operación de las áreas de procesamiento de información (actividades
operativas y concernientes a la plataforma tecnológica)

Seguridad de las comunicaciones: Procedimientos y controles para garantizar la

operación de las áreas de procesamiento de información de forma segura.

Adquisición, desarrollo y mantenimiento de Sistemas de Información:

Procedimientos y controles para asegurar la inclusión de los controles de
seguridad en los nuevos sistemas de información (infraestructura, aplicaciones,
servicios, etc.) o por cambios a los mismos.

Relaciones con los proveedores: Procedimientos y controles para proteger la

información de terceros.

Gestión de incidentes de seguridad de la información: Procedimientos y

controles que buscan que los eventos de seguridad de la información y las
debilidades asociadas con los sistemas de información, sean comunicados de tal
manera que se tome una acción correctiva adecuada y en el momento indicado.

Aspectos de seguridad de la información en la gestión de la continuidad del

negocio: Procedimientos y controles enfocados en reaccionar en contra de
interrupciones de las operaciones de la entidad y en proteger los procesos críticos
contra fallas mayores en los sistemas de información o desastres, y por otro lado,
asegurar que se recuperen a tiempo.

Cumplimiento: Procedimientos y controles que buscan prevenir el incumplimiento

total o parcial de las leyes, estatutos, regulaciones u obligaciones contractuales
que se relacionen con los controles de seguridad.

Una vez presentados los requisitos y/o controles a evaluar, se estableció qué ha
hecho para la implementación de cada requisito y su nivel de madurez.

Dentro de las diferentes metodologías para establecer el modelo de madurez y se

ha impuesto la Software Engineering Institute’s Capability Maturity Model (CMM),
la cual establece una escala de 0 (No existente) a 100 (Optimizado). Igualmente
CobiT ha adoptado modelos de madurez para medir el desempeño de sus
procesos, considerando los siguientes niveles:
 Tabla de Escala de Valoración de Controles
ISO 27001:2013 ANEXO A
Descripción Calificación Criterio
No Aplica N/A No aplica.
Total falta de cualquier proceso reconocible. La Organización
Inexistente 0 ni siquiera ha reconocido que hay un problema a tratar. No se
aplican controles.
1) Hay una evidencia de que la Organización ha reconocido
que existe un problema y que hay que tratarlo. No hay
procesos estandarizados. La implementación de un control
Inicial 20
depende de cada individuo y es principalmente reactiva.
2) Se cuenta con procedimientos documentados pero no son
conocidos y/o no se aplican.
Los procesos y los controles siguen un patrón regular. Los
procesos se han desarrollado hasta el punto en que
diferentes procedimientos son seguidos por diferentes
Repetible 40 personas. No hay formación ni comunicación formal sobre los
procedimientos y estándares. Hay un alto grado de confianza
en los conocimientos de cada persona, por eso hay
probabilidad de errores.
Los procesos y los controles se documentan y se comunican.
Los controles son efectivos y se aplican casi siempre. Sin
Efectivo 60 embargo es poco probable la detección de desviaciones,
cuando el control no se aplica oportunamente o la forma de
aplicarlo no es la indicada.
Los controles se monitorean y se miden. Es posible
monitorear y medir el cumplimiento de los procedimientos y
Gestionado 80
tomar medidas de acción donde los procesos no estén
funcionando eficientemente.
Las buenas prácticas se siguen y automatizan. Los procesos
Optimizado 100 han sido redefinidos hasta el nivel de mejores prácticas,
basándose en los resultados de una mejora continua.

Un modelo de madurez es una medida que permite a una organización determinar

su grado de madurez para un proceso concreto desde el nivel inexistente (0) hasta
el nivel optimizado (100).

El nivel de madurez proporciona una escala para referenciar las prácticas de las
empresas contra los estándares y guías de la industria.
 GESTIÓN DEL RIESGO

Este informe incluye un consolidado del tratamiento a los controles existentes en

la organización que se encuentra en estado de “Replicación” y corresponde al
13.2% de la evaluación de los controles definidos en la norma ISO 27001, dado
que son los controles que tienen mayor desarrollo e implementación actualmente
en la entidad.

A continuación se presenta un consolidado de los controles de seguridad de

información en estado “Replicación:

RIESGOS 31*
Requiere tratamiento 27
Con tratamiento 4

(*) De los 31 Riesgos aplicables a la entidad 23 de ellos están en zona no aceptable)

Para esta primera versión, se trataran los controles para los riesgos de seguridad
en estado de “Replicación”, que actualmente cuenta con procesos que tienen
cierto grado de desarrollo y que se encuentran definidos, asignados y tienen algún
tipo de seguimiento, pero que no tienen una comunicación formal sobre los
mismos, estos son:

CONTROLES A
15
IMPLEMENTAR
Tecnológicos 6
Documental 4
Estratégicos 3
Procedimental 2
 RECOMENDACIONES

 Se recomienda priorizar la revisión y ajustes de la documentación existente

y procedimiento necesarios para implementar el “plan de tratamiento de
riesgos de seguridad y privacidad de la información”, acorde con el Mapa
de Riesgos para la mitigación del riesgo en la Corporación.

 Es necesario fijar parámetros para realizar el seguimientos del “Plan de

tratamiento de riesgos de seguridad y privacidad de la información” con el
fin de mantener las actualizaciones respectivos mitigación del riesgo en la
Corporación.

 Es necesario definir políticas más detalladas que den una cobertura efectiva
a todos los activos de información.
 CONCLUSIONES

Se evidencia que la gran mayoría de las amenazas derivados de los controles

evaluados presentan un gran número de riesgos que no pueden ser rechazados y
requieren tratamiento, por tanto es necesario la adopción, divulgación y
sensibilización de procedimientos y/o políticas bien documentos que permitan una
adecuada gestión de estos riesgos con el objetivo de reducir la aparición de
incidentes de seguridad de la información.

Como parte del fortalecimiento de una política integral de tratamiento de riesgos,

es necesario establecer los roles y responsabilidades de cada uno de los
miembros del equipo de TI y de todas aquellas personas que intervienen o hacen
uso de los activos de información de la Entidad, con el objetivo de asignar tareas
de seguimiento y control de las actividades definidas para el tratamiento de
riesgos.

Se evidencia que los procedimientos existentes en la Entidad, se encuentra en su

mayoría en un estado inicial, o NO cuenta con un nivel apreciable de controles
implementados o parcialmente implementados, con lo cual se requerirá un gran
esfuerzo por parte de la entidad tanto del personal como de recursos económicos,
asumiendo el compromiso de cada uno de estos actores, ya que este proceso se
encuentra enmarcado dentro de los lineamientos de Gobierno en Digital del
MinTic, la Norma ISO 27001 – 2005, la Función Pública (decreto 612-18) y MIPG.