MATRIZ DE RIESGOS

PLANEACIÓN DE LA GESTIÓN AMBIENTAL

MAPA DE RIESGOS

Nombre Líder del Proceso:

Nombre quien Elabora:

Fecha de Actualización:
Identificación del riesgo

RIESGOS DE GESTIÓN Y CORRUPCIÓN RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

Referencia
Clasificación del
Nombre Proceso Objetivo del Proceso Tipo de Riesgo Descripción del Riesgo
Activo de Amenazas (Causa Riesgo
Impacto Causa Inmediata Causa Raíz Tipo de activo Vulnerabilidades (Causa raiz)
Información Inmediata)

Fiscal Economico Fallas Tecnologicas

Fiscal Economico Fallas Tecnologicas

 MATRIZ DE RIESGOS

Código: PGA-FOR-030 PLANEACIÓN DE LA GESTIÓN AMBIENTAL Código: PGA-FOR-030

Versión: 02 Versión: 03
MAPA DE RIESGOS
Fecha Actualización: 2022/04/21 Fecha Actualización: 2023/12/20

Nombre Líder del Proceso:

Nombre quien Elabora:

Fecha de Actualización:
Análisis del riesgo inherente Evaluación del riesgo - Valoración de los controles Evaluación del riesgo - Nivel del riesgo residual Plan de Acción

Catastrófico Impacto Residual Final

Probabilidad Residual

Probabilidad Residual
RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Atributos

Zona de Riesgo Final

Tratamiento
No. Control

Automático Implementación

Documentado Documentación
Frecuencia con la

Calificación
Probabilidad Impacto Zona de Riesgo Fecha Fecha

Final
Frecuencia

Evidencia
cual se realiza la % Criterios de impacto Observación de criterio % Descripción del Control Afectación Plan de Acción Responsable Seguimiento Estado

%
Inherente Inherente Inherente Implementación Seguimiento

Tipo
actividad Dominio Control Aplicabilidad

250 Media 60% Mayor a 500 SMLMV Mayor a 500 SMLMV Catastrófico 100% Extremo 1 Probabilidad 50%

Continua
30.0% 30% 100%

Reducir (mitigar)
Preventivo

Con Registro

Baja

Extremo
2 Probabilidad 40%

Continua
18.0% 18% 100%

Reducir (mitigar)
Detectivo

Manual Automático

Documentado Documentado

Con Registro Con Registro

Muy Baja

Catastrófico Catastrófico

Extremo
3 Probabilidad 40%

Continua
100%

Preventivo

Manual
4 Probabilidad 40%

Continua
100%

Preventivo

Documentado

Con Registro

Catastrófico
o
Catastrófic
250 Media 60% Mayor a 500 SMLMV Mayor a 500 SMLMV Catastrófico 100% Extremo 1 Probabilidad 50%

Continua
30.0% 30% 100%

Reducir (mitigar)
Detectivo Preventivo

Manual Automático Automático

Documentado DocumentadoDocumentado

Con Registro Con RegistroCon Registro

Baja

Extremo
2 Probabilidad 40%

Continua
18.0% 18% 100%

Reducir (mitigar)
Muy Baja

Catastrófico Catastrófico

Extremo
3 Probabilidad 40%

Continua
10.8% 11% 100%

Preventivo

Muy Baja

Extremo
Manual
4 Probabilidad 40%

Continua
6.5% 6% 100%

Preventivo

Documentado

Con Registro

Muy Baja

Catastrófico

Extremo
MATRIZ DE RIESGOS
TIPO DE RIESGO IMPACTO
Corrupción Economico
Gestión Reputacional
Fiscal Economico y Reputacional
Perdida de la confidencialidad
Perdida de la integridad
Perdida de la disponibilidad

AMENAZA VULNERABILIDADES

Fuego Mantenimiento insuficiente

Ausencia de esquemas de
Agua
reemplazo periódico

Sensibilidad a la radiación
Contaminación
electromagnética
Susceptibilidad a las variaciones
Accidente Importante de temperatura (o al polvo y
suciedad)

Destrucción del equipo o medios Almacenamiento sin protección

Falta de cuidado en la
Polvo, corrosión, congelamiento
disposición final

Fenómenos climáticos Copia no controlada

Ausencia o insuficiencia de
Fenómenos sísmicos
pruebas de software

Ausencia de terminación de
Fenómenos volcánicos
sesión

Ausencia de registros de
Fenómenos meteorológicos
auditoría

Asignación errada de los

Inundación
derechos de acceso

Fallas en el sistema de suministro de

agua o aire acondicionado
Interfaz de usuario compleja
Perdida de suministro de energía Ausencia de documentación

Falla en equipo de telecomunicaciones Fechas incorrectas

Ausencia de mecanismos de
Radiación electromagnética identificación y autenticación de
usuarios

Radiación térmica Contraseñas sin protección

Impulsos electromagnéticos Software nuevo o inmaduro

Interceptación de señales de Ausencia de pruebas de envío o

interferencia comprometida recepción de mensajes

Líneas de comunicación sin

Espionaje remoto
protección

Escucha encubierta Conexión deficiente de cableado

Hurto de medios o documentos Tráfico sensible sin protección

Hurto de equipo Punto único de falla

Recuperación de medios reciclados o

desechados
Ausencia del personal

Divulgación Entrenamiento insuficiente

Datos provenientes de fuentes no

confiables
Falta de conciencia en seguridad

Ausencia de políticas de uso

Manipulación con hardware
aceptable

Trabajo no supervisado de
Manipulación con software
personal externo o de limpieza

Uso inadecuado de los controles

Detección de la posición
de acceso al edificio

Fallas del equipo Áreas susceptibles a inundación

Mal funcionamiento del equipo Red eléctrica inestable

Ausencia de protección en
Saturación del sistema de información
puertas o ventanas

Ausencia de procedimiento de
Mal funcionamiento del software
registro/retiro de usuarios

Ausencia de proceso para

Incumplimiento en el mantenimiento
del sistema de información.
supervisión de derechos de
acceso

Ausencia de control de los

Uso no autorizado del equipo activos que se encuentran fuera
de las instalaciones

Ausencia de acuerdos de nivel

Copia fraudulenta del software
de servicio (ANS o SLA)
Ausencia de mecanismos de
Uso de software falso o copiado Ausencia
monitoreode procedimientos
para brechas en la y/o
de políticas
seguridad en general (esto
aplica para muchas actividades
que la entidad no tenga
Corrupción de los datos documentadas y formalizadas
como uso aceptable de activos,
control de cambios, valoración
de riesgos, escritorio y pantalla
limpia entre otros)
Procesamiento ilegal de datos

Error en el uso

Abuso de derechos

Falsificación de derechos

Negación de acciones

Incumplimiento en la disponibilidad del

personal
TIPO DE ACTIVO
Información y datos de la entidad
Sistemas de información y aplicaciones-Software
Dispositivos de Tecnologías de información-Hardware
Soporte para almacenamiento de información
Servicios
Recurso humano

CLASIFICACIÓN DEL RIESGO

Daños Activos fisicos

Ejecución y Administración de procesos

Fallas Tecnologicas

Fraude Externo

Fraude Interno

Relaciones Laborales

Usuarios, productos y prácticas organizacionales

Daños Activos fisicos/Eventos externos

DOMINIO CONTROL

A.5. POLITICAS DE SEGURIDAD DE LA

INFORMACIÓN A.6.1Organización Interna
A.6ORGANIZACIÓN DE LA SEGURIDAD DE LA A.6.2Dispositivos Móviles
INFORMACIÓN y Teletrabajo

A.7.1Antes de asumir el
A.7SEGURIDAD DE LOS RECURSOS HUMANOS empleo
A.7.2 Durante la ejecución
A.8GESTIÓN DE ACTIVOS del empleo

A.7.3 Terminación y
A.9CONTROL DE ACCESO cambio de empleo

A.8.1Responsabilidad de
A.10.1 CONTROLES CRIPTOGRÁFICOS los activos

A.8.2Clasificación de
A.11SEGURIDAD FÍSICA Y DEL ENTORNO información

A.12SEGURIDAD DE LAS OPERACIONES A.8.3 Manejo de medios

A.9.1REQUISITOS DEL
NEGOCIO PARA
A.13SEGURIDAD DE LAS COMUNICACIONES CONTROL DE ACCESO

A.14ADQUISICIÓN, DESARROLLO Y A.9.2GESTIÓN DE

MANTENIMIENTO DE SISTEMAS ACCESO DE USUARIOS
A.9.3
RESPONSABILIDADES
A.15RELACIONES CON LOS PROVEEDORES DE LOS USUARIOS
A.9.4 CONTROL DE
A.16GESTIÓN DE INCIDENTES DE SEGURIDAD DE ACCESO A SISTEMAS Y
LA INFORMACIÓN APLICACIONES

A.17ASPECTOS DE SEGURIDAD DE LA
INFORMACIÓN DE LA GESTIÓN DE LA A.10.1 CONTROLES
CONTINUIDAD DEL NEGOCIO CRIPTOGRÁFICOS
A.18CUMPLIMIENTO A.11.1ÁREAS SEGURAS

A.11.2 EQUIPOS

A.12.1
PROCEDIMIENTOS
OPERACIONALES Y
RESPONSABILIDADES
A.12.2 PROTECCIÓN
CONTRA CÓDIGOS
MALICIOSOS

A.12.2.1 Controles contra

códigos maliciosos

A.12.3 COPIAS DE
RESPALDO
A.12.3.1 Respaldo de la
información
A.12.4 REGISTRO Y
SEGUIMIENTO
A.12.4.1 Registro de
eventos

A.12.4.2 Protección de la
información de registro
A.12.4.3 Registros del
administrador y del
operador

A.12.4.4 Sincronización de
relojes
A.12.5CONTROL DE
SOFTWARE
OPERACIONAL
A.12.5.1 Instalación de
software en sistemas
operativos
A.12.6 GESTIÓN DE LA
VULNERABILIDAD
TÉCNICA

A.12.6.1 Gestión de las

vulnerabilidades técnicas
A.12.6.2 Restricciones
sobre la instalación de
software
A.12.7
CONSIDERACIONES
SOBRE AUDITORÍAS
DE SISTEMAS DE
INFORMACIÓN

A.12.7.1 Controles sobre

auditorías de sistemas de
información
A.13SEGURIDAD DE
LAS
COMUNICACIONES
A.13.1 GESTIÓN DE LA
SEGURIDAD DE LAS
REDES

A.13.1.1 Controles de
redes

A.13.1.2 Seguridad de los

servicios de red
A.13.1.3 Separación en las
redes

A.13.2TRANSFERENCIA
DE INFORMACIÓN

A.14.1 REQUISITOS DE
SEGURIDAD DE LOS
SISTEMAS DE
INFORMACIÓN

A.14.2 SEGURIDAD EN
LOS PROCESOS DE
DESARROLLO Y DE
SOPORTE
A.14.3 DATOS DE
PRUEBA

A.15RELACIONES CON
LOS PROVEEDORES

A.16.1 GESTIÓN DE
INCIDENTES Y
MEJORAS EN LA
SEGURIDAD DE LA
INFORMACIÓN

A.17.2 Redundancias
A.18.1 Cumplimiento de
requisitos legales y
contractuales
A.18.2 Revisiones de
seguridad de la
información
APLICABILIDAD

A.5.1.1Documento de la política
de seguridad y privacidad de la
Información

A.5.1.2Revisión y evaluación

A.6.1.1Roles y
responsabilidades para la
seguridad de la información
A.6.1.2Separación de deberes /
tareas

A.6.1.3Contacto con las

autoridades.

A.6.1.4Contacto con grupos de

interés especiales
A.6.1.5Seguridad de la
información en la gestión de
proyectos
A.6.2.1Política para dispositivos
móviles

A.6.2.2Teletrabajo

A.7.1.1Selección e investigación
de antecedentes

A.7.1.2Términos y condiciones
del empleo

A.7.2.1Responsabilidades de la
dirección

A.7.2.2Toma de conciencia,
educación y formación en la
seguridad de la información
A.7.2.3Proceso disciplinario
A.7.3.1Terminación o cambio de
responsabilidades de empleo

A.8.1.1Inventario de activos

A.8.1.2Propiedad de los activos

A.8.1.3Uso aceptable de los

activos

A.8.1.4Devolución de activos
A.8.2.1Clasificación de la
información
A.8.2.2Etiquetado de la
información

A.8.2.3Manejo de activos

A.8.3.1Gestión de medios
removibles

A.8.3.2Disposición de los
medios

A.8.3.3Transferencia de medios
físicos

A.9.1.1Política de control de
acceso

A.9.1.2Acceso a redes y a
servicios en red

A.9.2.1Registro y cancelación
del registro de usuarios

A.9.2.2 Suministro de acceso de

usuarios

A.9.2.3Gestión de derechos de
acceso privilegiado
A.9.2.4Gestión de información
de autenticación secreta de
usuarios

A.9.2.5Revisión de los derechos

de acceso de usuarios

A.9.2.6Retiro o ajuste de los

derechos de acceso

A.9.3.1 Uso de información de

autenticación secreta

A.9.4.1 Restricción de acceso a

la información

A.9.4.2Procedimiento de ingreso
seguro
A.9.4.3Sistema de gestión de
contraseñas

A.9.4.4Uso de programas
utilitarios privilegiados

A.9.4.5 Control de acceso a

códigos fuente de programas

A.10.1.1 Política sobre el uso de

controles criptográficos

A.10.1.2Gestión de llaves

A.11.1.1 Perímetro de seguridad

física

A.11.1.2 Controles físicos de

entrada

A.11.1.3Seguridad de oficinas,
recintos e instalaciones
A.11.1.4Protección contra
amenazas externas y
ambientales

A.11.1.5 Trabajo en áreas

seguras
A.11.1.6Áreas de despacho y
carga
A.11.2.1 Ubicación y protección
de los equipos

A.11.2.2Servicios de suministro

A.11.2.3 Seguridad del cableado

A.11.2.4 Mantenimiento de
equipos
A.11.2.5Retiro de activos

A.11.2.6Seguridad de equipos y
activos fuera de las instalaciones
A.11.2.7Disposición segura o
reutilización de equipos
A.11.2.8 Equipos de usuario
desatendidos

A.11.2.9Política de escritorio
limpio y pantalla limpia

A.12.1.1 Procedimientos de
operación documentados

A.12.1.2Gestión de cambios

A.12.1.3 Gestión de capacidad

A.12.1.4 Separación de los
ambientes de desarrollo, pruebas
y operación

A.13.2.1 Políticas y
procedimientos de transferencia
de información

A.13.2.2 Acuerdos sobre

transferencia de información

A.13.2.3 Mensajería electrónica

A.13.2.4 Acuerdos de
confidencialidad o de no
divulgación

A.14.1.1 Análisis y
especificación de requisitos de
seguridad de la información

A.14.1.2 Seguridad de servicios

de las aplicaciones en redes
públicas

A.14.1.3 Protección de
transacciones de los servicios de
las aplicaciones
A.14.2.1Política de desarrollo
seguro

A.14.2.2 Procedimientos de
control de cambios en sistemas

A.14.2.3 Revisión técnica de las

aplicaciones después de cambios
en la plataforma de operación
A.14.2.4 Restricciones en los
cambios a los paquetes de
software
A.14.2.5 Principios de
construcción de sistemas
seguros
A.14.2.6Ambiente de desarrollo
seguro
A.14.2.7 Desarrollo contratado
externamente
A.14.2.8Pruebas de seguridad de
sistemas
A.14.2.9 Prueba de aceptación
de sistemas
A.14.3.1 Protección de datos de
prueba

A.15.1Seguridad de la
información en las relaciones
con los proveedores

A.15.2Gestión de la prestación
de servicios de proveedores
A.16.1.1 Responsabilidades y
procedimientos

A.16.1.2 Reporte de eventos de

seguridad de la información

A.16.1.3 Reporte de debilidades

de seguridad de la información

A.16.1.4 Evaluación de eventos

de seguridad de la información y
decisiones sobre ellos

A.16.1.5 Respuesta a incidentes

de seguridad de la información

A.16.1.6 Aprendizaje obtenido

de los incidentes de seguridad de
la información
A.16.1.7 Recolección de
evidencia

A.17.1Continuidad de la
seguridad de la información
A.17.1.1Planificación de la
continuidad de la seguridad de la
información

A.17.1.2Implementación de la
continuidad de la seguridad de la
información

A.17.1.3Verificación, revisión y
evaluación de la continuidad de
la seguridad de la información.

A.17.2.1Disponibilidad de
instalaciones de procesamiento
de información

A.18.1.1Identificación de la
legislación aplicable y de los
requisitos contractuales.
A.18.1.2Derechos de propiedad
intelectual.

A.18.1.3Protección de registros.
A.18.1.4Protección de los datos
y privacidad de la información
relacionada con los datos
personales.
A.18.1.5Reglamentación de
controles criptográficos.

A.18.2.1Revisión independiente
de la seguridad de la
información

A.18.2.2Cumplimiento con las

políticas y normas de seguridad.
A.18.2.3Revisión de
cumplimiento técnico.
 Matriz Mapa de Riesgos
Orientaciones Generales
Antes de iniciar con el diligenciamiento de la información en la matriz, se requiere haber avanzado en el análisis del proceso, su objetivo, alcance, ac
donde se explica ampliamente las bases para adelanter este análisis.
Así mismo, considere en el Paso 3: valoración del riesgo los lineamientos para definir el No. de veces que se hace la actividad con la cual se relaciona
analizan los controles que deben responder a los atributos de eficiencia e informativos.

El archivo contiene las siguientes hojas:

- Hoja 1 Instructivo
- Hoja 2 Mapa Final: Encontrará la totalidad de la estructura para la identificación y valoración de los riesgos por proceso, programa o proyecto, aco

Columna
Proceso

Objetivo

Tipo de Riesgo

Referencia

Impacto- consecuencia

Causa Inmediata

Causa Raíz

Activo de Información

Tipo de activo

Amenazas (Causa Inmediata)

Vulnerabilidades (Causa raiz)

Descripción del Riesgo

Clasificación del Riesgo

Frecuencia con la cual se lleva a cabo la actividad

Criterios de Impacto

Impacto Inherente

Zona de Riesgo Inherente

Descripción del Control

Afectación

ATRIBUTOS EFICIENCIA
Tipo

ATRIBUTOS EFICIENCIA
Implementación

ATRIBUTOS EFICIENCIA
Implementación

ATRIBUTOS EFICIENCIA
Calificación
 ATRIBUTOS INFORMATIVOS
Documentación

ATRIBUTOS INFORMATIVOS
Frecuencia

ATRIBUTOS INFORMATIVOS
Registro

Evaluación del Nivel de Riesgo - Nivel de Riesgo Residual

Tratamiento

Plan de Acción
Responsable, fecha implementación, fecha seguimiento, seguimiento.

Estado

- Hoja 3 Matriz de Calor Inherente: En esta hoja, en la medida en que ese diligencia el Mapa Final, se verán reflejados los riesgos en su zona corre
- Hoja 4 Matriz de Calor Residual: En esta hoja, en la medida en que ese diligencia el Mapa Final, se verán reflejados los riesgos en su zona corres
- Hoja 5 Tabla de probabilidad: Tabla referente para todos los cálculos (no se diligencia)
- Hoja 6 Tabla de Impacto: Tabla referente para todos los cálculos (no se diligencia)
- Hoja 7 Tabla de Valoración de Controles: Tabla referente para todos los cálculos (no se diligencia)

- Hoja 8 Tabla Preguntas para analizar el impacto de materialización del riesgo de corrupción
 Matriz Mapa de Riesgos

nzado en el análisis del proceso, su objetivo, alcance, actividades clave, considere los lineamientos establecidos en el Paso 2: identificación del riesgo,

o. de veces que se hace la actividad con la cual se relaciona el riesgo y su impacto en términos económicos o reputacionales. En este mismo paso se

ación de los riesgos por proceso, programa o proyecto, acorde con el nivel de desagregación que la entidad considere necesaria.

Descripción - Lineamientos para el diligenciamiento

Diligencie el nombre del proceso al cual se le identificarán y valorarán los riesgos.

Diligencie el objetivo del proceso.

Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las opciones:

Corrupción, Gestión, Perdida de confidencialidad, de información e integridad

Permite definir un consecutivo de riesgos.

Una entidad puede ir en el riesgo 150, pero tener 70 riesgos, lo que permite llevar una
trazabilidad de los riesgos. Esta información la debe administrar el proceso de
Planeacion de la Gestión Ambiental .Cuando un riesgo salga del mapa no existirá otro
riesgo con el mismo número.

Analice las consecuencias que puede ocasionar a la organización la materialización del

riesgo, redacte de la forma más concreta posible.

APLICA PARA
Circunstancias bajo las cuales se presenta el riesgo, es la situación más evidente frente al RIESGOS
riesgo, redacte de la forma más concreta posible. CORRUPCIÓN Y
GESTIÓN

Causa principal o básica, corresponde a las razones por la cuales se puede presentar el
riesgo, redacte de la forma más concreta posible.

Se registra el activo que esta en la matriz de activos de información, cuya criticidad sea
alta : Remitirce Matriz Activos de Información, columna Subserie documental
Utilice la lista se despliegue que se encuentra parametrizada asi:
Información y datos de la Entidad
Sistemas de Información y Aplicaciones de Software
Dispositivos de Tecnologías de Información - Hardware
Soporte para Almacenamiento de Información
Servicios
Recurso Humano APLICA PARA
RIESGOS DE
Utilice la lista de despligue que se encuentra parametrizada, las cuales describen la SEGURIDAD DE LA
ameza por Daño Físico , Eventos Naturales, Perdida de los servicios esenciales , INFORMACIÓN
Perturbación debida a la radiación, Compromiso de la información, Fallas técnicas,
Acciones no autorizadas y Compromiso de las funciones
 RIESGOS DE
SEGURIDAD DE LA
INFORMACIÓN

Utilice la lista de despligue que se encuentra parametrizada, las cuales describen la

ameza por Daño Físico , Eventos Naturales, Perdida de los servicios esenciales ,
Perturbación debida a la radiación

Consolida o resume los análisis sobre impacto + causa inmediata + causa raíz,
permitiendo contar con una redacción clara y concreta del riesgo indentificado. Tenga en
cuenta la estructura de alto nivel establecida en al guía, inicia con POSIBILIDAD DE +
Impacto para la entidad (Qué) + Causa Inmediata (Cómo) + Causa Raíz (Por qué)

Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las opciones:

i)Daños Activos Fisicos, ii)Ejecucion y Administracion de procesos, iii)Fallas
Tecnologicas, iv)Fraude Externo, v)Fraude Interno, vi)Relaciones Laborales,
vii)Usuarios, productos y practicas organizacionales.

Defina el # de veces que se ejecuta la actividad durante el año, (Recuerde la probabilidad

de ocurrencia del riesgo se defien como el No. de veces que se pasa por el punto de
riesgo en el periodo de 1 año). La matriz automáticamente hará el cálculo para el nivel
de probabilidad inherente

Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las opciones

de la tabla de Impacto en la Hoja 6 del presente documento. La matriz automáticamente
hará el cálculo para el nivel de impacto inherente

El impacto inherente se calcula automaticamente con el criterio de impacto asociado:

Leve 20% (verde claro)
Menor-40% (verde oscuro)
Moderado 60% (amarillo)
Mayor 80% (Anaranjado)
Catastrófico 100% (rojo)

Teniendo en cuenta que ingresó la información de PROBABILIDAD e IMPACTO, la

matriz automáticamente hará el cálculo para la zona de riesgo inherente.

Recuerde que el control se define como la medida que permite reducir o mitigar un
riesgo. Defina el control (es) que atacan la causa raíz del riesgo, considere la estructura
explicada en la guía: Responsable de ejecutar el control + Acción + Complemento

Esta casilla no se diligencia, depende de la selección

Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las opciones:

i)Preventivo, ii)Detectivo, iii)Correctivo.

Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las opciones:

i)Automático, ii)Manual.

Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las opciones:

i)Automático, ii)Manual.

La matriz automáticamente hará el cálculo para el control analizado

 Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las opciones:
i)Documentado, ii)Sin documentar.

Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las opciones:

i)Continua, ii)Aleatoria.

Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las opciones:

i)Con Registro, ii) Sin Registro.

La matriz automáticamente hará el cálculo, acorde con el control o controles definidos

con sus atributos analizados, lo que permitirá establecer el nivel de riesgo inherente

Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las opciones:

i)Aceptar, ii)Evitar, iii)Reducir (compartir), iv)Reducir (mitigar).

Esta casilla dependerá del tratamiento establecido, si es Aceptar no se requieren acciones

adicionales, en caso de escoger Reducir (mitigar) se deben diligenciar las acciones que se
adelantarán como complemento a los controles establecidos, no necesariamente son
controles adicionales. Para Reducir (compartir), es viable diligenciar la acción que deriva
de esta (ejemplo póliza seguros, terceración), indicando información relevante.

Utilice la lista de despligue que se encuentra parametrizada, le aparecerán las opciones:

i)Finalizado, ii)En curso, la selección en este caso dependerá de las acciones del plan que
se hayan establecido en cada caso.

Mapa Final, se verán reflejados los riesgos en su zona correspondiente. Esta hoja no se diligencia se genera de manera automática.
apa Final, se verán reflejados los riesgos en su zona correspondiente. Esta hoja no se diligencia se genera de manera automática.

diligencia)
 Tabla Criterios para definir el nivel de probabilidad

Frecuencia de la Actividad Probabilidad

La actividad que conlleva el riesgo se ejecuta como

Muy Baja 20%
máximos 2 veces por año

La actividad que conlleva el riesgo se ejecuta de 3 a 24

Baja 40%
veces por año

La actividad que conlleva el riesgo se ejecuta de 24 a

Media 60%
500 veces por año

La actividad que conlleva el riesgo se ejecuta mínimo

Alta 80%
500 veces al año y máximo 5000 veces por año

La actividad que conlleva el riesgo se ejecuta más de

Muy Alta 100%
5000 veces por año
 Tabla Criterios para definir el nivel de impacto

Afectación Económica (o
presupuestal)

Leve 20% Afectación menor a 10 SMLMV

Insignif

Menor-40% Entre 10 y 50 SMLMV

Menor

Moderado 60% Entre 50 y 100 SMLMV

Modera

Mayor 80% Entre 100 y 500 SMLMV

Mayor

Catastrófico 100% Mayor a 500 SMLMV

Catastr
Criterios Subcriterios
Afectación Económica o presupuestal Afectación menor a 10 SMLMV .
Afectación Económica o presupuestal Entre 10 y 50 SMLMV
Afectación Económica o presupuestal Entre 50 y 100 SMLMV
Afectación Económica o presupuestal Entre 100 y 500 SMLMV
Afectación Económica o presupuestal Mayor a 500 SMLMV
Pérdida Reputacional El riesgo afecta la imagen de alguna área de la organización
Pérdida Reputacional El riesgo afecta la imagen de la entidad interna
Pérdida Reputacional El riesgo afecta la imagen de la entidad con algunos usuarios de relevancia frente al lo
Pérdida Reputacional El riesgo afecta la imagen de de la entidad con efecto publicitario sostenido a nivel de
Pérdida Reputacional El riesgo afecta la imagen de la entidad a nivel nacional, con efecto publicitarios soste

#NAME?
#NAME?
#NAME?
s para definir el nivel de impacto

Pérdida Reputacional

El riesgo afecta la imagen de alguna área de la organización

El riesgo afecta la imagen de la entidad internamente, de conocimiento general,

nivel interno, de junta dircetiva y accionistas y/o de provedores

El riesgo afecta la imagen de la entidad con algunos usuarios de relevancia

frente al logro de los objetivos

El riesgo afecta la imagen de de la entidad con efecto publicitario sostenido a

nivel de sector administrativo, nivel departamental o municipal

El riesgo afecta la imagen de la entidad a nivel nacional, con efecto publicitarios

sostenible a nivel país
 Criterios
Afectación Económica o presupuestal

na área de la organización
Pérdida Reputacional
tidad con algunos usuarios de relevancia frente al logro de los objetivos
entidad con efecto publicitario sostenido a nivel de sector administrativo, nivel departamental o munic
tidad a nivel nacional, con efecto publicitarios sostenible a nivel país
Subcriterios
Afectación Económica o presupuestal Afectación Eco❌Por favor no seleccionar los
Afectación menor a 10 SMLMV . Afectación menor a 10 SMLMV .
Entre 10 y 50 SMLMV Entre 10 y 50 SMLMV
Entre 50 y 100 SMLMV Entre 50 y 100 SMLMV
Entre 100 y 500 SMLMV Entre 100 y 500 SMLMV
Mayor a 500 SMLMV Mayor a 500 SMLMV
Pérdida Reputacional
El riesgo afecta la imagen de alguna área de la El riesgo afecta la imagen de alguna área de la organización
El riesgo afecta la imagen de la entidad interna El riesgo afecta la imagen de la entidad internamente, de conocimiento general, nivel inte
El riesgo afecta la imagen de la entidad con algu El riesgo afecta la imagen de la entidad con algunos usuarios de relevancia frente al logro
El riesgo afecta la imagen de de la entidad con El riesgo afecta la imagen de de la entidad con efecto publicitario sostenido a nivel de sec
El riesgo afecta la imagen de la entidad a nivel n El riesgo afecta la imagen de la entidad a nivel nacional, con efecto publicitarios sostenibl

❌
✔
Por favor no seleccionar los criterios de impacto

ocimiento general, nivel interno, de junta dircetiva y accionistas y/o de provedores

de relevancia frente al logro de los objetivos
tario sostenido a nivel de sector administrativo, nivel departamental o municipal
efecto publicitarios sostenible a nivel país
 IMPACTO
LEVE MENOR MODERADO MAYOR CATASTROFICO
20% 40% 60% 80% 100%
ALTA ALTA ALTA ALTA EXTREMA
MUY ALTA Reducir el riesgo
100% Reducir el riesgo Reducir el riesgo Reducir el riesgo Reducir el riesgo
Evitar el riesgo
Compartir el riesgo Compartir el riesgo Compartir el riesgo Compartir el riesgo
PROBABILIDAD DE OCURRENCIA

Compartir el riesgo
MODERADA MODERADA ALTA ALTA EXTREMA
ALTA Reducir el riesgo
80% Asumir el riesgo Asumir el riesgo Reducir el riesgo Reducir el riesgo
Evitar el riesgo
Reducir el riesgo Reducir el riesgo Compartir el riesgo Compartir el riesgo
Compartir el riesgo
MODERADA MODERADA MODERADA ALTA EXTREMA
MEDIA Reducir el riesgo
60% Asumir el riesgo Asumir el riesgo Asumir el riesgo Reducir el riesgo
Evitar el riesgo
Reducir el riesgo Reducir el riesgo Reducir el riesgo Compartir el riesgo
Compartir el riesgo
BAJA MODERADA MODERADA ALTA EXTREMA
BAJA Reducir el riesgo
40% Asumir el riesgo Asumir el riesgo Reducir el riesgo
Acepta el Riesgo Evitar el riesgo
Reducir el riesgo Reducir el riesgo Compartir el riesgo
Compartir el riesgo
BAJA BAJA MODERADA ALTA EXTREMA
MUY BAJA Reducir el riesgo
20% Asumir el riesgo Reducir el riesgo
Acepta el Riesgo Acepta el Riesgo Evitar el riesgo
Reducir el riesgo Compartir el riesgo
Compartir el riesgo
Extremo

Alto

Moderado

Bajo
 IMPACTO
Muy Alta
100%
Alta
PROBABILIDAD

80%
Media
60%
Baja
40%
Muy Baja
20%
Leve Menor Moderado Mayor Catastrófico
20% 40% 60% 80% 100%
Extremo

Alto

Moderado

Bajo
 Tabla Atributos de para el diseño del control

Características Descripción

Va hacia las causas del riesgo, aseguran el

Preventivo
resultado final esperado.

Detecta que algo ocurre y devuelve el

Tipo Detectivo proceso a los controles preventivos.
Se pueden generar reprocesos.
Dado que permiten reducir el impacto de la
Atributos de
Correctivo materialización del riesgo, tienen un costo en
Eficiencia
su
Sonimplementación.
actividades de procesamiento o
validación de información que se ejecutan
Automático por un sistema y/o aplicativo de manera
Implementac automática sin la intervención de personas
ión para su realización.
Controles que son ejecutados por una
Manual
persona., tiene implícito el error humano.
Controles que están documentados en el
proceso, ya sea en manuales,
Documentado
procedimientos, flujogramas o cualquier otro
Documentaci documento
ón Identifica a propio del proceso.
los controles que pese a que se
ejecutan en el proceso no se encuentran
Sin Documentar
documentados en ningún documento propio
del proceso
Este atributo identifica a los controles que se
*Atributos Continua ejecutan siempre que se realiza la actividad
de originadora del riesgo.
Frecuencia
Formalizació Este atributo identifica a los controles que no
n Aleatoria siempre se ejecutan cuando se realiza la
actividad originadora del riesgo

El control deja un registro que permite

Con Registro
evidenciar la ejecución del control
Evidencia
El control no deja registro de la ejecución
Sin Registro
del control

*Nota 1: Los atributos de formalización se recogerán de manera informativa, con el fin de conocer el entorno del control
y complementar el análisis con elementos cualitativos; éstos no tienen una incidencia directa en su efectividad.
rol

Peso

25%

15%

10%

25%

15%

nocer el entorno del control

en su efectividad.
 PREGUNTA: Respuesta

N° Si el riesgo de corrupción se materializa podría… SI NO

1 ¿Afectar al grupo de funcionarios del proceso?

¿Afectar el cumplimiento de metas y objetivos de la

2
dependencia?

3 ¿Afectar el cumplimiento de misión de la Entidad?

¿Afectar el cumplimiento de la misión del sector al que

4
pertenece la Entidad?
¿Generar pérdida de confianza de la Entidad, afectando su
5
reputación?

6 ¿Generar pérdida de recursos económicos?

¿Afectar la generación de los productos o la prestación de

7
servicios?
¿Dar lugar al detrimento de calidad de vida de la
8 comunidad por la pérdida del bien o servicios o los
recursos públicos?
9 ¿Generar pérdida de información de la Entidad?

¿Generar intervención de los órganos de control, de la

10
Fiscalía, u otro ente?

11 ¿Dar lugar a procesos sancionatorios?

12 ¿Dar lugar a procesos disciplinarios?

13 ¿Dar lugar a procesos fiscales?

14 ¿Dar lugar a procesos penales?

15 ¿Generar pérdida de credibilidad del sector?

16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas?

17 ¿Afectar la imagen regional?

18 ¿Afectar la imagen nacional?

19 ¿Generar daño ambiental?

 DECLARACION DE APLICABILIDAD
CONTROLES DE SEGURIDAD Y PRIVACIDAD

CONTROL DOMINIO O DESCRIPCION APLICA

POLITICAS DE SEGURIDAD DE
a A.5 APLICA
LA INFORMACIÓN

Documento de la política de seguridad y

A.5.1.1 Si
privacidad de la Información

A.5.1.2 Revisión y evaluación Si

a A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

b A.6.1 Organización Interna

Roles y responsabilidades para la

A.6.1.1 Si
seguridad de la información
 A.6.1.2 Separación de deberes / tareas Si

A.6.1.3 Contacto con las autoridades. Si

Contacto con grupos de interés

A.6.1.4 Si
especiales

Seguridad de la información en la
A.6.1.5 No
gestión de proyectos

b A.6.2 Dispositivos Móviles y Teletrabajo

 A.6.2.1 Política para dispositivos móviles Si

A.6.2.2 Teletrabajo No

SEGURIDAD DE LOS RECURSOS

a A.7
HUMANOS

b A.7.1 Antes de asumir el empleo

Selección e investigación de
A.7.1.1 Si
antecedentes

A.7.1.2 Términos y condiciones del empleo Si

b A.7.2 Durante la ejecución del empleo

A.7.2.1 Responsabilidades de la dirección Si

 Toma de conciencia, educación y
A.7.2.2 formación en la seguridad de la
información

A.7.2.3 Proceso disciplinario Si

b A.7.3 Terminación y cambio de empleo

Terminación o cambio de
A.7.3.1 Si
responsabilidades de empleo

a A.8 GESTIÓN DE ACTIVOS

b A.8.1 Responsabilidad de los activos

A.8.1.1 Inventario de activos

A.8.1.2 Propiedad de los activos

A.8.1.3 Uso aceptable de los activos

A.8.1.4 Devolución de activos

b A.8.2 Clasificación de información

A.8.2.1 Clasificación de la información

A.8.2.2 Etiquetado de la información

A.8.2.3 Manejo de activos

A.8.3 Manejo de medios

b
A.8.3.1 Gestión de medios removibles
A.8.3.2 Disposición de los medios
A.8.3.3 Transferencia de medios físicos
a A.9 CONTROL DE ACCESO

REQUISITOS DEL NEGOCIO

A.9.1
PARA CONTROL DE ACCESO
b

A.9.1.1 Política de control de acceso

A.9.1.2 Acceso a redes y a servicios en red

GESTIÓN DE ACCESO DE
A.9.2
USUARIOS
b
 Registro y cancelación del registro de
A.9.2.1
usuarios

A.9.2.2 Suministro de acceso de usuarios

Gestión de derechos de acceso

A.9.2.3
privilegiado

Gestión de información de autenticación

A.9.2.4
secreta de usuarios

Revisión de los derechos de acceso de

A.9.2.5
usuarios

A.9.2.6 Retiro o ajuste de los derechos de acceso

RESPONSABILIDADES DE LOS
A.9.3
USUARIOS
b

Uso de información de autenticación

A.9.3.1
secreta

CONTROL DE ACCESO A
A.9.4
SISTEMAS Y APLICACIONES

A.9.4.1 Restricción de acceso a la información

 A.9.4.2 Procedimiento de ingreso seguro

A.9.4.3 Sistema de gestión de contraseñas

Uso de programas utilitarios

A.9.4.4
privilegiados

Control de acceso a códigos fuente de

A.9.4.5 No
programas

A.10.1 CONTROLES CRIPTOGRÁFICOS Si

a

Política sobre el uso de controles

A.10.1.1 Si
criptográficos

A.10.1.2 Gestión de llaves No

A.11 SEGURIDAD FÍSICA Y DEL ENTORNO

a

A.11.1 ÁREAS SEGURAS

b
 A.11.1.1 Perímetro de seguridad física Si

A.11.1.2 Controles físicos de entrada Si

Seguridad de oficinas, recintos e

A.11.1.3 Si
instalaciones

Protección contra amenazas externas y

A.11.1.4 Si
ambientales

A.11.1.5 Trabajo en áreas seguras Si

A.11.1.6 Áreas de despacho y carga Si

A.11.2 EQUIPOS
b

A.11.2.1 Ubicación y protección de los equipos Si

A.11.2.2 Servicios de suministro Si

A.11.2.3 Seguridad del cableado Si

 A.11.2.4 Mantenimiento de equipos Si

A.11.2.5 Retiro de activos Si

Seguridad de equipos y activos fuera de

A.11.2.6 Si
las instalaciones

Disposición segura o reutilización de

A.11.2.7 Si
equipos

A.11.2.8 Equipos de usuario desatendidos Si

Política de escritorio limpio y pantalla

A.11.2.9 Si
limpia

SEGURIDAD DE LAS
A.12
a OPERACIONES
PROCEDIMIENTOS
A.12.1 OPERACIONALES Y
b RESPONSABILIDADES

Procedimientos de operación
A.12.1.1 Si
documentados

A.12.1.2 Gestión de cambios Si

 A.12.1.3 Gestión de capacidad Si

Separación de los ambientes de

A.12.1.4 No
desarrollo, pruebas y operación

PROTECCIÓN CONTRA CÓDIGOS

A.12.2
MALICIOSOS
b

A.12.2.1 Controles contra códigos maliciosos Si

b A.12.3 COPIAS DE RESPALDO

A.12.3.1 Respaldo de la información Si

b A.12.4 REGISTRO Y SEGUIMIENTO

A.12.4.1 Registro de eventos Si

A.12.4.2 Protección de la información de registro Si

Registros del administrador y del

A.12.4.3 Si
operador

A.12.4.4 Sincronización de relojes Si

 CONTROL DE SOFTWARE
A.12.5
b OPERACIONAL
Instalación de software en sistemas
A.12.5.1 No
operativos
GESTIÓN DE LA
A.12.6
b VULNERABILIDAD TÉCNICA

A.12.6.1 Gestión de las vulnerabilidades técnicas Si

Restricciones sobre la instalación de

A.12.6.2 Si
software

CONSIDERACIONES SOBRE
A.12.7 AUDITORÍAS DE SISTEMAS DE
b INFORMACIÓN

Controles sobre auditorías de sistemas

A.12.7.1 Si
de información

SEGURIDAD DE LAS
A.13
a COMUNICACIONES

GESTIÓN DE LA SEGURIDAD DE
A.13.1
LAS REDES
b

A.13.1.1 Controles de redes Si

 A.13.1.2 Seguridad de los servicios de red Si

A.13.1.3 Separación en las redes Si

TRANSFERENCIA DE
A.13.2
INFORMACIÓN
b

Políticas y procedimientos de
A.13.2.1 Si
transferencia de información

Acuerdos sobre transferencia de

A.13.2.2 Si
información

A.13.2.3 Mensajería electrónica Si

Acuerdos de confidencialidad o de no
A.13.2.4 Si
divulgación

ADQUISICIÓN, DESARROLLO Y
A.14
MANTENIMIENTO DE SISTEMAS
a
 REQUISITOS DE SEGURIDAD DE
A.14.1 LOS SISTEMAS DE
INFORMACIÓN

Análisis y especificación de requisitos

A.14.1.1 Si
de seguridad de la información

Seguridad de servicios de las

A.14.1.2 No
aplicaciones en redes públicas

Protección de transacciones de los

A.14.1.3 Si
servicios de las aplicaciones

SEGURIDAD EN LOS PROCESOS

A.14.2
DE DESARROLLO Y DE SOPORTE

A.14.2.1 Política de desarrollo seguro No

 Procedimientos de control de cambios
A.14.2.2 No
en sistemas

Revisión técnica de las aplicaciones

A.14.2.3 después de cambios en la plataforma de Si
operación

Restricciones en los cambios a los

A.14.2.4 Si
paquetes de software

Principios de construcción de sistemas

A.14.2.5 Si
seguros

A.14.2.6 Ambiente de desarrollo seguro No

A.14.2.7 Desarrollo contratado externamente Si

A.14.2.8 Pruebas de seguridad de sistemas Si

A.14.2.9 Prueba de aceptación de sistemas Si

A.14.3 DATOS DE PRUEBA

b
 A.14.3.1 Protección de datos de prueba No

RELACIONES CON LOS

A.15
a PROVEEDORES

Seguridad de la información en las

A.15.1 Si
relaciones con los proveedores

Gestión de la prestación de servicios de

A.15.2 Si
proveedores

ASPECTOS DE SEGURIDAD DE LA
INFORMACIÓN DE LA GESTIÓN
A.17
DE LA CONTINUIDAD DEL
NEGOCIO
a

Continuidad de la seguridad de la
A.17.1
información
b
Planificación de la continuidad de la
A.17.1.1 Si
seguridad de la información

Implementación de la continuidad de la
A.17.1.2 Si
seguridad de la información

Verificación, revisión y evaluación de la

A.17.1.3 continuidad de la seguridad de la Si
información.

A.17.2 Redundancias Si
b
Disponibilidad de instalaciones de
A.17.2.1 Si
b procesamiento de información
a A.18 CUMPLIMIENTO
 Cumplimiento de requisitos legales y
A.18.1 Si
contractuales
b

Identificación de la legislación aplicable

A.18.1.1 Si
y de los requisitos contractuales.

A.18.1.2 Derechos de propiedad intelectual. Si

A.18.1.3 Protección de registros. Si

Protección de los datos y privacidad de

A.18.1.4 la información relacionada con los datos Si
personales.

Reglamentación de controles
A.18.1.5 Si
criptográficos.
Revisiones de seguridad de la
A.18.2
b información
Revisión independiente de la seguridad
A.18.2.1 Si
de la información
Cumplimiento con las políticas y normas
A.18.2.2 Si
de seguridad.

A.18.2.3 Revisión de cumplimiento técnico. Si

GESTIÓN DE INCIDENTES DE
A.16 SEGURIDAD DE LA
a INFORMACIÓN
 GESTIÓN DE INCIDENTES Y
A.16.1 MEJORAS EN LA SEGURIDAD DE
LA INFORMACIÓN
b

A.16.1.1 Responsabilidades y procedimientos Si

Reporte de eventos de seguridad de la

A.16.1.2 Si
información

Reporte de debilidades de seguridad de

A.16.1.3 Si
la información

Evaluación de eventos de seguridad de

A.16.1.4 Si
la información y decisiones sobre ellos

Respuesta a incidentes de seguridad de

A.16.1.5 Si
la información

Aprendizaje obtenido de los incidentes

A.16.1.6 Si
de seguridad de la información

A.16.1.7 Recolección de evidencia Si

N DE APLICABILIDAD
EGURIDAD Y PRIVACIDAD

ICA

A.5POLITICAS DE SEGURIDAD DE LA
DESCRIPCION
INFORMACIÓN

Se debe definir un conjunto de políticas para la seguridad de la

A.5.1.1Documento de la política de seguridad y
información aprobada por la dirección, publicada y comunicada a los
privacidad de la Información
empleados y a las partes externas pertinentes

Las políticas para seguridad de la información se deberían revisar a

intervalos planificados o si ocurren cambios significativos, para A.5.1.2Revisión y evaluación
asegurar su conveniencia, adecuación y eficacia continuas.

A.6ORGANIZACIÓN DE LA SEGURIDAD DE
E LA INFORMACIÓN
LA INFORMACIÓN

Marco de referencia de gestión para iniciar y controlar la

implementación y la operación de la seguridad de la información A.6.1Organización Interna
dentro de la organización

Se deben definir y asignar todas las responsabilidades de la seguridad A.6.1.1Roles y responsabilidades para la seguridad
de la información adicional a las especificadas en las politicas de la información
Los deberes y áreas de responsabilidad en conflicto se debe separar
para reducir las posibilidades de modificación no autorizada o no A.6.1.2Separación de deberes / tareas
intencional, o el uso indebido de los activos de la organización.

Las organizaciones deben tener procedimientos establecidos que

especifiquen cuándo y a través de que autoridades se debe contactar a
las autoridades (por ejemplo, las encargadas de hacer cumplir la ley,
los organismos de reglamentación y las autoridades de supervisión), y A.6.1.3Contacto con las autoridades.
cómo se debe reportar de una manera oportuna los incidentes de
seguridad de la información identificados (por ejemplo, si se
sospecha una violación de la ley).

Se deben mantener contactos apropiados con grupos de interés

especial u otros foros y asociaciones profesionales especializadas en A.6.1.4Contacto con grupos de interés especiales
seguridad. Por ejemplo a través de una membresía

La seguridad de la información se debe integrar al(los) método(s) de

gestión de proyectos de la organización, para asegurar que los riesgos
de seguridad de la información se identifiquen y traten como parte de
A.6.1.5Seguridad de la información en la gestión
un proyecto. Esto se aplica generalmente a cualquier proyecto,
de proyectos
independientemente de su naturaleza, por ejemplo, un proyecto para
un proceso del negocio principal, TI, gestión de instalaciones y otros
procesos de soporte.

Garantizar la seguridad del teletrabajo y uso de dispositivos

A.6.2Dispositivos Móviles y Teletrabajo
móviles
Se deberían adoptar una política y unas medidas de seguridad de
soporte, para gestionar los riesgos introducidos por el uso de A.6.2.1Política para dispositivos móviles
dispositivos móviles.
Se deberían implementar una política y unas medidas de seguridad de
soporte, para proteger la información a la que se tiene acceso, que es
A.6.2.2Teletrabajo
procesada o almacenada en los lugares en los que se realiza
teletrabajo.
A.7SEGURIDAD DE LOS RECURSOS
HUMANOS

Asegurar que el personal y contratistas comprenden sus

responsabilidades y son idóneos en los roles para los que son A.7.1Antes de asumir el empleo
considerados.

Las verificaciones de los antecedentes de todos los candidatos a un

empleo se deben llevar a cabo de acuerdo con las leyes, reglamentos
A.7.1.1Selección e investigación de antecedentes
y ética pertinentes, y deberían ser proporcionales a los requisitos de
negocio, a la clasificación de la información a que se va a tener
acceso, y a los riesgos percibidos.

Los acuerdos contractuales con empleados y contratistas, deben

establecer sus responsabilidades y las de la organización en cuanto a A.7.1.2Términos y condiciones del empleo
la seguridad de la información.

Asegurar que los funcionarios y contratistas tomen consciencia de

sus responsabilidades sobre la seguridad de la información y las A.7.2 Durante la ejecución del empleo
cumplan.

La dirección debe exigir a todos los empleados y contratistas la

aplicación de la seguridad de la información de acuerdo con las A.7.2.1Responsabilidades de la dirección
políticas y procedimientos establecidos por la organización.
Todos los empleados de la Entidad, y en donde sea pertinente, los
contratistas, deben recibir la educación y la formación en toma de A.7.2.2Toma de conciencia, educación y
conciencia apropiada, y actualizaciones regulares sobre las políticas y formación en la seguridad de la información
procedimientos pertinentes para su cargo.

Se debe contar con un proceso disciplinario formal el cual debería ser

comunicado, para emprender acciones contra empleados que hayan A.7.2.3Proceso disciplinario
cometido una violación a la seguridad de la información.

Proteger los intereses de la Entidad como parte del proceso de

A.7.3 Terminación y cambio de empleo
cambio o terminación de empleo.

Las responsabilidades y los deberes de seguridad de la información

que permanecen válidos después de la terminación o cambio de A.7.3.1Terminación o cambio de
contrato se deberían definir, comunicar al empleado o contratista y se responsabilidades de empleo
deberían hacer cumplir.

A.8GESTIÓN DE ACTIVOS
Identificar los activos organizacionales y definir las
A.8.1Responsabilidad de los activos
responsabilidades de protección apropiadas.

Se deben identificar los activos asociados con la información y las

instalaciones de procesamiento de información, y se debe elaborar y A.8.1.1Inventario de activos
mantener un inventario de estos activos.

Los activos mantenidos en el inventario deben tener un propietario. A.8.1.2Propiedad de los activos

Se deben identificar, documentar e implementar reglas para el uso

aceptable de información y de activos asociados con información e A.8.1.3Uso aceptable de los activos
instalaciones de procesamiento de información.

Todos los empleados y usuarios de partes externas deben devolver

todos los activos de la organización que se encuentren a su cargo, al A.8.1.4Devolución de activos
terminar su empleo, contrato o acuerdo.
Asegurar que la información recibe un nivel apropiado de
A.8.2Clasificación de información
protección, de acuerdo con su importancia para la Entidad.

La información se debería clasificar en función de los requisitos

legales, valor, criticidad y susceptibilidad a divulgación o a A.8.2.1Clasificación de la información
modificación no autorizada.
Solicite los procedimientos para el manejo, procesamiento,
almacenamiento y comunicación de información de conformidad con A.8.2.2Etiquetado de la información
su clasificación.

A.8.2.3Manejo de activos

Evitar la divulgación, la modificación, el retiro o la destrucción no

A.8.3 Manejo de medios
autorizados de la información almacenada en los medios.

A.8.3.1Gestión de medios removibles

A.8.3.2Disposición de los medios
A.8.3.3Transferencia de medios físicos
A.9CONTROL DE ACCESO

A.9.1REQUISITOS DEL NEGOCIO PARA

Se debe limitar el acceso a información y a instalaciones de CONTROL DE ACCESO
procesamiento de información.
Se debe establecer, documentar y revisar una política de control de
acceso con base en los requisitos del negocio y de seguridad de la A.9.1.1Política de control de acceso
información.

Se debe permitir acceso de los usuarios a la red y a los servicios de

A.9.1.2Acceso a redes y a servicios en red
red para los que hayan sido autorizados específicamente.

Se debe asegurar el acceso de los usuarios autorizados y evitar el

A.9.2GESTIÓN DE ACCESO DE USUARIOS
acceso no autorizado a sistemas y servicios.
Se debe implementar un proceso formal de registro y de cancelación
A.9.2.1Registro y cancelación del registro de
de registro de usuarios, para posibilitar la asignación de los derechos
usuarios
de acceso.

Se debe implementar un proceso de suministro de acceso formal de

usuarios para asignar o revocar los derechos de acceso a todo tipo de A.9.2.2 Suministro de acceso de usuarios
usuarios para todos los sistemas y servicios.

Se debe restringir y controlar la asignación y uso de derechos de

A.9.2.3Gestión de derechos de acceso privilegiado
acceso privilegiado.

La asignación de información de autenticación secreta se debe A.9.2.4Gestión de información de autenticación

controlar por medio de un proceso de gestión formal. secreta de usuarios

Los propietarios de los activos deben revisar los derechos de acceso A.9.2.5Revisión de los derechos de acceso de
de los usuarios, a intervalos regulares. usuarios

Los derechos de acceso de todos los empleados y de usuarios

externos a la información y a las instalaciones de procesamiento de
A.9.2.6Retiro o ajuste de los derechos de acceso
información se deben retirar al terminar su empleo, contrato o
acuerdo, o se deben ajustar cuando se hagan cambios.

Hacer que los usuarios rindan cuentas por la salvaguarda de su A.9.3 RESPONSABILIDADES DE LOS
información de autenticación. USUARIOS

Se debe exigir a los usuarios que cumplan las prácticas de la A.9.3.1 Uso de información de autenticación
organización para el uso de información de autenticación secreta. secreta

A.9.4 CONTROL DE ACCESO A SISTEMAS Y

Se debe evitar el acceso no autorizado a sistemas y aplicaciones.
APLICACIONES

El acceso a la información y a las funciones de los sistemas de las

aplicaciones se debería restringir de acuerdo con la política de control A.9.4.1 Restricción de acceso a la información
de acceso.
Cuando lo requiere la política de control de acceso, el acceso a
sistemas y aplicaciones se debe controlar mediante un proceso de A.9.4.2Procedimiento de ingreso seguro
ingreso seguro.

Los sistemas de gestión de contraseñas deben ser interactivos y deben

A.9.4.3Sistema de gestión de contraseñas
asegurar la calidad de las contraseñas.

Se debe restringir y controlar estrictamente el uso de programas

utilitarios que pudieran tener capacidad de anular el sistema y los A.9.4.4Uso de programas utilitarios privilegiados
controles de las aplicaciones.
A.9.4.5 Control de acceso a códigos fuente de
Se debe restringir el acceso a los códigos fuente de los programas.
programas
Asegurar el uso apropiado y eficaz de la criptografía para
proteger la confidencialidad, la autenticidad y/o la integridad de A.10.1 CONTROLES CRIPTOGRÁFICOS
la información.

Se debe desarrollar e implementar una política sobre el uso de A.10.1.1 Política sobre el uso de controles
controles criptográficos para la protección de la información. criptográficos

Se debe desarrollar e implementar una política sobre el uso,

protección y tiempo de vida de las llaves criptográficas durante todo A.10.1.2Gestión de llaves
su ciclo de vida

A.11SEGURIDAD FÍSICA Y DEL ENTORNO

Prevenir el acceso físico no autorizado, el daño y la interferencia

a la información y a las instalaciones de procesamiento de A.11.1ÁREAS SEGURAS
información de la organización.
Se debe definir y usar perímetros de seguridad, y usarlos para
proteger áreas que contengan información sensible o crítica, e A.11.1.1 Perímetro de seguridad física
instalaciones de manejo de información.

Las áreas seguras se deben proteger mediante controles de entrada

apropiados para asegurar que solamente se permite el acceso a A.11.1.2 Controles físicos de entrada
personal autorizado.
Se debe diseñar y aplicar seguridad física a oficinas, recintos e A.11.1.3Seguridad de oficinas, recintos e
instalaciones. instalaciones

Se debe diseñar y aplicar protección física contra desastres naturales, A.11.1.4Protección contra amenazas externas y
ataques maliciosos o accidentes. ambientales

Se debe diseñar y aplicar procedimientos para trabajo en áreas

A.11.1.5 Trabajo en áreas seguras
seguras.

Se debe controlar los puntos de acceso tales como áreas de despacho

y de carga, y otros puntos en donde pueden entrar personas no
A.11.1.6Áreas de despacho y carga
autorizadas, y si es posible, aislarlos de las instalaciones de
procesamiento de información para evitar el acceso no autorizado.

Prevenir la pérdida, daño, robo o compromiso de activos, y la

A.11.2 EQUIPOS
interrupción de las operaciones de la organización.

Los equipos deben estar ubicados y protegidos para reducir los

riesgos de amenazas y peligros del entorno, y las oportunidades para A.11.2.1 Ubicación y protección de los equipos
acceso no autorizado.

Los equipos se deben proteger contra fallas de energía y otras

A.11.2.2Servicios de suministro
interrupciones causadas por fallas en los servicios de suministro.

El cableado de potencia y de telecomunicaciones que porta datos o

soporta servicios de información deben estar protegido contra A.11.2.3 Seguridad del cableado
interceptación, interferencia o daño.
Los equipos se deben mantener correctamente para asegurar su
A.11.2.4 Mantenimiento de equipos
disponibilidad e integridad continuas.
Los equipos, información o software no se deben retirar de su sitio
A.11.2.5Retiro de activos
sin autorización previa.

Se debe aplicar medidas de seguridad a los activos que se encuentran

A.11.2.6Seguridad de equipos y activos fuera de
fuera de las instalaciones de la organización, teniendo en cuenta los
las instalaciones
diferentes riesgos de trabajar fuera de dichas instalaciones.

Se debe verificar todos los elementos de equipos que contengan

medios de almacenamiento, para asegurar que cualquier dato sensible A.11.2.7Disposición segura o reutilización de
o software con licencia haya sido retirado o sobrescrito en forma equipos
segura antes de su disposición o reusó.

Los usuarios deben asegurarse de que a los equipos desatendidos se

A.11.2.8 Equipos de usuario desatendidos
les dé protección apropiada.

Se debe adoptar una política de escritorio limpio para los papeles y

A.11.2.9Política de escritorio limpio y pantalla
medios de almacenamiento removibles, y una política de pantalla
limpia
limpia en las instalaciones de procesamiento de información.

A.12SEGURIDAD DE LAS OPERACIONES

Asegurar las operaciones correctas y seguras de las instalaciones A.12.1 PROCEDIMIENTOS OPERACIONALES
de procesamiento de información. Y RESPONSABILIDADES

Los procedimientos de operación se deben documentar y poner a A.12.1.1 Procedimientos de operación

disposición de todos los usuarios que los necesiten. documentados

Se debe controlar los cambios en la organización, en los procesos de

negocio, en las instalaciones y en los sistemas de procesamiento de A.12.1.2Gestión de cambios
información que afectan la seguridad de la información.
Para asegurar el desempeño requerido del sistema se debe hacer
seguimiento al uso de los recursos, hacer los ajustes, y hacer A.12.1.3 Gestión de capacidad
proyecciones de los requisitos sobre la capacidad futura.

Se debe separar los ambientes de desarrollo, prueba y operación, para

A.12.1.4 Separación de los ambientes de
reducir los riesgos de acceso o cambios no autorizados al ambiente de
desarrollo, pruebas y operación
operación.
Asegurarse de que la información y las instalaciones de
A.12.2 PROTECCIÓN CONTRA CÓDIGOS
procesamiento de información estén protegidas contra códigos
MALICIOSOS
maliciosos.

Se debe implementar controles de detección, de prevención y de

recuperación, combinados con la toma de conciencia apropiada de los A.12.2.1 Controles contra códigos maliciosos
usuarios, para proteger contra códigos maliciosos.

Proteger contra la pérdida de datos. A.12.3 COPIAS DE RESPALDO

Se debe hacer copias de respaldo de la información, del software e

imágenes de los sistemas, y ponerlas a prueba regularmente de A.12.3.1 Respaldo de la información
acuerdo con una política de copias de respaldo aceptada.

Registrar eventos y generar evidencia. A.12.4 REGISTRO Y SEGUIMIENTO

Se debe elaborar, conservar y revisar regularmente los registros
acerca de actividades del usuario, excepciones, fallas y eventos de A.12.4.1 Registro de eventos
seguridad de la información.

Las instalaciones y la información de registro se deben proteger

A.12.4.2 Protección de la información de registro
contra alteración y acceso no autorizado.

Las actividades del administrador y del operador del sistema se debe A.12.4.3 Registros del administrador y del
registrar, y los registros se deben proteger y revisar con regularidad. operador

Los relojes de todos los sistemas de procesamiento de información

pertinentes dentro de una organización o ámbito de seguridad se A.12.4.4 Sincronización de relojes
deben sincronizar con una única fuente de referencia de tiempo.
 A.12.5CONTROL DE SOFTWARE
Asegurar la integridad de los sistemas operacionales.
OPERACIONAL
Se debe implementar procedimientos para controlar la instalación de A.12.5.1 Instalación de software en sistemas
software en sistemas operativos. operativos
A.12.6 GESTIÓN DE LA VULNERABILIDAD
Prevenir el aprovechamiento de las vulnerabilidades técnicas.
TÉCNICA

Se debe obtener oportunamente información acerca de las

vulnerabilidades técnicas de los sistemas de información que se usen;
A.12.6.1 Gestión de las vulnerabilidades técnicas
evaluar la exposición de la organización a estas vulnerabilidades, y
tomar las medidas apropiadas para tratar el riesgo asociado.

Se debe establecer e implementar las reglas para la instalación de A.12.6.2 Restricciones sobre la instalación de
software por parte de los usuarios. software

A.12.7 CONSIDERACIONES SOBRE

Minimizar el impacto de las actividades de auditoría sobre los
AUDITORÍAS DE SISTEMAS DE
sistemas operacionales.
INFORMACIÓN
Los requisitos y actividades de auditoría que involucran la
verificación de los sistemas operativos se debe planificar y acordar A.12.7.1 Controles sobre auditorías de sistemas de
cuidadosamente para minimizar las interrupciones en los procesos del información
negocio.
A.13SEGURIDAD DE LAS
COMUNICACIONES

Asegurar la protección de la información en las redes, y sus A.13.1 GESTIÓN DE LA SEGURIDAD DE LAS
instalaciones de procesamiento de información de soporte. REDES

Las redes se deben gestionar y controlar para proteger la información

A.13.1.1 Controles de redes
en sistemas y aplicaciones.
Se debe identificar los mecanismos de seguridad, los niveles de
servicio y los requisitos de gestión de todos los servicios de red, e
A.13.1.2 Seguridad de los servicios de red
incluirlos en los acuerdos de servicios de red, ya sea que los servicios
se presten internamente o se contraten externamente.

Los grupos de servicios de información, usuarios y sistemas de

A.13.1.3 Separación en las redes
información se deben separar en las redes.

Mantener la seguridad de la información transferida dentro de

A.13.2TRANSFERENCIA DE INFORMACIÓN
una organización y con cualquier entidad externa.

Se debe contar con políticas, procedimientos y controles de

A.13.2.1 Políticas y procedimientos de
transferencia formales para proteger la transferencia de información
transferencia de información
mediante el uso de todo tipo de instalaciones de comunicación.

Los acuerdos deben tener en cuenta la transferencia segura de A.13.2.2 Acuerdos sobre transferencia de
información del negocio entre la organización y las partes externas. información

Se debe proteger adecuadamente la información incluida en la

A.13.2.3 Mensajería electrónica
mensajería electrónica.
Se debe identificar, revisar regularmente y documentar los requisitos
para los acuerdos de confidencialidad o no divulgación que reflejen A.13.2.4 Acuerdos de confidencialidad o de no
las necesidades de la organización para la protección de la divulgación
información.

A.14ADQUISICIÓN, DESARROLLO Y
MANTENIMIENTO DE SISTEMAS
Asegurar que la seguridad de la información sea una parte
integral de los sistemas de información durante todo el ciclo de A.14.1 REQUISITOS DE SEGURIDAD DE LOS
vida. Esto incluye también los requisitos para sistemas de SISTEMAS DE INFORMACIÓN
información que prestan servicios en redes públicas.

Los requisitos relacionados con seguridad de la información se debe

A.14.1.1 Análisis y especificación de requisitos de
incluir en los requisitos para nuevos sistemas de información o para
seguridad de la información
mejoras a los sistemas de información existentes.

La información involucrada en los servicios de aplicaciones que

pasan sobre redes públicas se debe proteger de actividades A.14.1.2 Seguridad de servicios de las aplicaciones
fraudulentas, disputas contractuales y divulgación y modificación no en redes públicas
autorizadas.

La información involucrada en las transacciones de los servicios de

las aplicaciones se debe proteger para evitar la transmisión
A.14.1.3 Protección de transacciones de los
incompleta, el enrutamiento errado, la alteración no autorizada de
servicios de las aplicaciones
mensajes, la divulgación no autorizada, y la duplicación o
reproducción de mensajes no autorizada.

A.14.2 SEGURIDAD EN LOS PROCESOS DE

DESARROLLO Y DE SOPORTE

Se debe establecer y aplicar reglas para el desarrollo de software y de

A.14.2.1Política de desarrollo seguro
sistemas, a los desarrollos que se dan dentro de la organización.
Los cambios a los sistemas dentro del ciclo de vida de desarrollo se
A.14.2.2 Procedimientos de control de cambios en
debe controlar mediante el uso de procedimientos formales de control
sistemas
de cambios.

Cuando se cambian las plataformas de operación, se deben revisar las

aplicaciones críticas del negocio, y ponerlas a prueba para asegurar A.14.2.3 Revisión técnica de las aplicaciones
que no haya impacto adverso en las operaciones o seguridad de la después de cambios en la plataforma de operación
organización.

Se deben desalentar las modificaciones a los paquetes de software,

A.14.2.4 Restricciones en los cambios a los
que se deben limitar a los cambios necesarios, y todos los cambios se
paquetes de software
deben controlar estrictamente.

Se deben establecer, documentar y mantener principios para la

A.14.2.5 Principios de construcción de sistemas
construcción de sistemas seguros, y aplicarlos a cualquier actividad
seguros
de implementación de sistemas de información.

Las organizaciones deben establecer y proteger adecuadamente los

ambientes de desarrollo seguros para las tareas de desarrollo e
A.14.2.6Ambiente de desarrollo seguro
integración de sistemas que comprendan todo el ciclo de vida de
desarrollo de sistemas.

La organización debe supervisar y hacer seguimiento de la actividad

A.14.2.7 Desarrollo contratado externamente
de desarrollo de sistemas contratados externamente.

Durante el desarrollo se debe llevar a cabo pruebas de funcionalidad

A.14.2.8Pruebas de seguridad de sistemas
de la seguridad.

Para los sistemas de información nuevos, actualizaciones y nuevas

versiones, se debe establecer programas de prueba para aceptación y A.14.2.9 Prueba de aceptación de sistemas
criterios de aceptación relacionados.

Asegurar la protección de los datos usados para pruebas. A.14.3 DATOS DE PRUEBA
Los datos de ensayo se deben seleccionar, proteger y controlar
A.14.3.1 Protección de datos de prueba
cuidadosamente.

A.15RELACIONES CON LOS PROVEEDORES

Asegurar la protección de los activos de la entidad que sean A.15.1Seguridad de la información en las
accesibles para los proveedores relaciones con los proveedores

Mantener el nivel acordado de seguridad de la información y de A.15.2Gestión de la prestación de servicios de

prestación del servicio en línea con los acuerdos con los proveedores proveedores

A.17ASPECTOS DE SEGURIDAD DE LA
INFORMACIÓN DE LA GESTIÓN DE LA
CONTINUIDAD DEL NEGOCIO

La continuidad de la seguridad de la información debe incluir en

A.17.1Continuidad de la seguridad de la
los sistemas de gestión de la continuidad del negocio de la
información
Entidad.
A.17.1.1Planificación de la continuidad de la
seguridad de la información

La organización debe establecer, documentar, implementar y

mantener procesos, procedimientos y controles para garantizar el A.17.1.2Implementación de la continuidad de la
nivel necesario de continuidad para la seguridad de la información seguridad de la información
durante una situación adversa,

A.17.1.3Verificación, revisión y evaluación de la

continuidad de la seguridad de la información.

Asegurar la disponibilidad de las instalaciones de procesamiento

A.17.2 Redundancias
de la información.
A.17.2.1Disponibilidad de instalaciones de
procesamiento de información
A.18CUMPLIMIENTO
Evitar el incumplimiento de las obligaciones legales, estatutarias,
A.18.1 Cumplimiento de requisitos legales y
de reglamentación o contractuales relacionadas con seguridad de
contractuales
la información y de cualquier requisito de seguridad.

A.18.1.1Identificación de la legislación aplicable y

de los requisitos contractuales.

A.18.1.2Derechos de propiedad intelectual.

Se deben proteger los registros importantes de una organización de

pérdida, destrucción y falsificación, en concordancia con los A.18.1.3Protección de registros.
requerimientos estatutarios, reguladores, contractuales y comerciales

Se deben asegurar la protección y privacidad de la información

A.18.1.4Protección de los datos y privacidad de la
personal tal como se requiere en la legislación relevante, las
información relacionada con los datos personales.
regulaciones y, si fuese aplicable, las cláusulas contractuales.

A.18.1.5Reglamentación de controles
criptográficos.

A.18.2 Revisiones de seguridad de la información

A.18.2.1Revisión independiente de la seguridad de

la información
Asegurar el cumplimiento de los sistemas con las políticas y A.18.2.2Cumplimiento con las políticas y normas
estándares de seguridad organizacional. de seguridad.

Los sistemas de información deben chequearse regularmente para el

A.18.2.3Revisión de cumplimiento técnico.
cumplimiento con los estándares de implementación de la seguridad.

A.16GESTIÓN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN
Asegurar un enfoque coherente y eficaz para la gestión de A.16.1 GESTIÓN DE INCIDENTES Y
incidentes de seguridad de la información, incluida la MEJORAS EN LA SEGURIDAD DE LA
comunicación sobre eventos de seguridad y debilidades. INFORMACIÓN

Se debe establecer las responsabilidades y procedimientos de gestión

para asegurar una respuesta rápida, eficaz y ordenada a los incidentes A.16.1.1 Responsabilidades y procedimientos
de seguridad de la información.

Los eventos de seguridad de la información se debe informar a través A.16.1.2 Reporte de eventos de seguridad de la
de los canales de gestión apropiados, tan pronto como sea posible. información

Se debe exigir a todos los empleados y contratistas que usan los

servicios y sistemas de información de la organización, que observen A.16.1.3 Reporte de debilidades de seguridad de la
e informen cualquier debilidad de seguridad de la información información
observada o sospechada en los sistemas o servicios.

Los eventos de seguridad de la información se debe evaluar y se debe

A.16.1.4 Evaluación de eventos de seguridad de la
decidir si se van a clasificar como incidentes de seguridad de la
información y decisiones sobre ellos
información.

Se debe dar respuesta a los incidentes de seguridad de la información A.16.1.5 Respuesta a incidentes de seguridad de la
de acuerdo con procedimientos documentados. información

El conocimiento adquirido al analizar y resolver incidentes de

A.16.1.6 Aprendizaje obtenido de los incidentes de
seguridad de la información se debe usar para reducir la posibilidad o
seguridad de la información
el impacto de incidentes futuros.
La organización debe definir y aplicar procedimientos para la
identificación, recolección, adquisición y preservación de A.16.1.7 Recolección de evidencia
información que pueda servir como evidencia.