Anda di halaman 1dari 15

ADMINISTRACIÓN DEL SISTEMA

PROCESO CÓDIGO ASGU05


INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN

as y las estructuras organizativas concebidas para mantener los riesgos de


Seguridad de la Información por debajo del nivel de riesgo asumido. Control es
también utilizado como sinónimo de salvaguarda o contramedida. También se
puede definir
Impacto: El coste para la empresa de un incidente de la escala que sea, que puede
o no ser medido en términos estrictamente financieros, como pérdida de reputación
o implicaciones legales.

Inventario de Activos: Lista de todos aquellos recursos (físicos, de información,


software, documentos, servicios, personas, intangibles, etc.) dentro del alcance del
SGSI, que tengan valor para la organización y necesiten por tanto ser protegidos de
potenciales riesgos.

Incidente de seguridad de la información: Un evento o serie de eventos de


Seguridad de la Información no deseados o inesperados, que tienen una
probabilidad significativa de comprometer las operaciones del negocio y amenazar
la seguridad de la información.

Integridad: Propiedad de la información relativa a su exactitud y completitud. La


información de la Superintendencia Nacional de Salud debe ser con calidad, clara y
completa, y solo podrá ser modificada por el personal expresamente autorizado para
ello. La falta de integridad de la información puede exponer a la Entidad a toma de
decisiones incorrectas, lo cual puede tener impacto reputacional, financiero y/o
legal.

Plan de tratamiento de riesgos: Documento que define las acciones para


gestionar los riesgos de Seguridad de la Información inaceptables e implantar los
controles necesarios para proteger la información.

Probabilidad: Medida para estimar la ocurrencia del riesgo.

Propietario del riesgo: Persona o entidad con responsabilidad y autoridad para


gestionar un riesgo.

1
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN

Recursos de tratamiento de la información: Cualquier sistema, servicio o


infraestructura de tratamiento de información o ubicaciones físicas utilizadas para
su alojamiento.

Responsable de Seguridad Informática: En la Superintendencia Nacional de


Salud el Comité Institucional de Gestión y Desempeño será el grupo encargado de
realizar el seguimiento y monitoreo al Subsistema de Gestión de la Seguridad de la
información (SGSI).

Riesgo: Posibilidad de que una amenaza concreta pueda explotar una


vulnerabilidad para causar una pérdida o daño en un activo de información. Suele
considerarse como una combinación de la probabilidad de un evento y sus
consecuencias.

Riesgo inherente: Nivel de incertidumbre propio de cada actividad, sin la ejecución


de ningún control.

Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo.

Selección de controles: Proceso de elección de las salvaguardas que aseguren la


reducción de los riesgos a un nivel aceptable.

SGSI: Sistema de Gestión de la Seguridad de la Información. Para efectos de


entendimiento en la Superintendencia Nacional de Salud, el SGSI hace referencia
al Subsistema de Seguridad de la Información (SSI).

Sistema de Gestión de la Seguridad de la Información: Conjunto de elementos


interrelacionados o interactuantes (estructura organizacional, políticas, planificación
de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza
una organización para establecer la política y los objetivos de Seguridad de la
Información y alcanzar dichos objetivos, basándose en un enfoque de gestión del
riesgo y de mejora continua.

Seguridad de la Información: Preservación de los principios de confidencialidad,


la integridad y la disponibilidad de la información.

2
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN

Tratamiento de riesgos: Proceso de modificar el riesgo, mediante la


implementación de controles.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos


personales, tales como la recolección, almacenamiento, uso, circulación o
supresión.

Valoración del riesgo: Proceso de análisis y evaluación del riesgo.

Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una
o más amenazas.

1. GENERALIDADES

La Superintendencia Nacional de Salud se consolida como un organismo técnico


con la misión de proteger los derechos en salud de los habitantes del territorio
colombiano mediante mecanismos de Inspección, Vigilancia y Control, así como de
funciones jurisdiccionales y de conciliación, que tienen como propósito la
satisfacción de sus usuarios y partes interesadas, cumpliendo con los requisitos
legales y organizacionales suscritos frente al Sistema Integrado de Gestión (SIG)
en materia de administración de los riesgos institucionales y de corrupción.

Comprendiendo la importancia de una adecuada gestión de riesgos y como parte


fundamental del Subsistema de Seguridad de la Información, la Entidad cuenta con
un instrumento para la identificación y análisis de riesgos de seguridad y privacidad
de la información: el formato ASFT22 del Sistema Integrado de Gestión (SIG), sobre
el cual se enfoca la presente guía. Los componentes que forman parte de dicho
formato son:

- Información del proceso


- Identificación del riesgo
- Análisis del riesgo
- Evaluación de controles
- Plan de tratamiento de los riesgos

3
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN

2. ROLES Y RESPONSABILIDADES

• Líder de Proceso

Funcionarios que ejercen el rol de Superintendentes Delegados, Secretario


General, Jefes de Oficina Asesora y Jefes de Oficina en la Superintendencia
Nacional de Salud, encargados de apoyar, otorgar el tiempo y recursos
necesarios para realizar la identificación de riesgos de seguridad de la
información sobre los procesos que tiene a su cargo, con el acompañamiento
del Profesional de la Oficina de Tecnología de la Información - Grupo de
Administración y Seguridad de la Información (GASI).

• Profesional de la Oficina de Tecnologías de la Información - Grupo de


Administración y Seguridad de la Información (GASI)

Funcionario o contratista encargado de acompañar al líder de proceso en la


identificación de riesgos de seguridad de la información sobre los procesos
que tiene a cargo.

• Profesional de la Oficina Asesora de Planeación

Funcionario o contratista encargado de revisar y publicar la presente guía en


el canal dispuesto para tal fin. De acuerdo con lo establecido en el Artículo 2
de la Resolución 1348 de 2016 de la Superintendencia Nacional de Salud,
por la cual se reglamenta internamente la elaboración, actualización,
publicación y manejo de los instrumentos de gestión de la información
pública, la Oficina Asesora de Planeación se encarga de orientar a las
dependencias intervienen en este proceso.

3. DESARROLLO DE LA TEMÁTICA DE LA GUÍA

8.1. Contexto de Seguridad y Privacidad de la Información

La información de la Superintendencia Nacional de Salud es crucial para el


desarrollo de su objeto misional, su correcto desempeño dentro de la política pública
y su relación con los ciudadanos. Es por ello que debe ser protegida de cualquier

4
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN

posibilidad de ocurrencia de eventos de riesgo de seguridad de la información y que


pudiese significar un impacto indeseado generando una consecuencia negativa
para el normal progreso de las actividades de la entidad.

De acuerdo con lo anterior y tomando como referencia el Modelo de Seguridad y


Privacidad de la información (MSPI) de MINTIC1, la gestión de riesgos de Seguridad
y Privacidad de la Información en la Superintendencia Nacional de Salud se basa
en las buenas prácticas de las Normas Técnicas Colombianas ISO/IEC 31000,
ISO/IEC 27005, la Guía de Riesgos del DAFP2 y su integración con lo que se ha
desarrollado al interior de la Entidad con otros modelos de Gestión como el MECI3,
aprovechando el trabajo adelantado en la identificación de riesgos y
complementándolo con los riesgos de Seguridad y Privacidad de la Información.

La Entidad cuenta a su vez con el procedimiento ASPD034 de Administración de


Riesgos de la Superintendencia Nacional de Salud, el cual tiene como objetivo
administrar los riesgos institucionales mediante la identificación, clasificación,
evaluación, valoración y seguimiento de los mismos con el fin de prevenir y mitigar
los eventos generados por su materialización. Este procedimiento aplica a todos los
procesos y subsistemas del Sistema Integrado de Gestión.

8.2. Definición de Riesgo

De acuerdo con la norma NTC-ISO/IEC 27000:2014, se define el riesgo como la


“Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para
causar una pérdida o daño en un activo de información. Suele considerarse como
una combinación de la probabilidad de un evento y sus consecuencias”. De igual
manera, el objetivo general de dicha norma es gestionar el riesgo para identificar y
establecer controles efectivos que garanticen la confidencialidad, integridad y
disponibilidad de la información de la Superintendencia Nacional de Salud.

De acuerdo con lo anterior y en el marco de la Política Nacional de Seguridad


Digital5, la estrategia de administración de riesgos para el flujo de la información en
los procesos de la Superintendencia Nacional de Salud busca diseñar una

1
Ministerio de Tecnologías de la Información y de las Comunicaciones (MINTIC)
2
Guía para la Administración del Riesgo del Departamento Administrativo de la Función Pública (DAFP).
3
Modelo Estándar de Control Interno (MECI)
4
Procedimiento de Administración de Riesgos ASPD03 de la Superintendencia Nacional de Salud
5
Departamento Nacional de Planeación. CONPES 3854

5
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN

metodología ágil enfocada en la identificación, gestión y tratamiento de los Riesgos


de Seguridad y Privacidad de la Información.

8.3. Riesgos de Ciberseguridad

Riesgos que resultan de la combinación de amenazas y vulnerabilidades en el


ambiente digital y dada su naturaleza dinámica incluye también aspectos
relacionados con el entorno físico6. Estos riesgos tienen una relación directa con los
principios de la Seguridad de la Información y se clasifican teniendo en cuenta los
siguientes grupos:

a. Pérdida de la Confidencialidad: Pérdida de la propiedad de la información


que impide su divulgación a individuos, entidades o procesos no autorizados.

b. Pérdida de la Integridad: Pérdida de la propiedad de contar con información


exacta y completa, o que pudo haber sido sin ser manipulada o alterada por
personas o procesos no autorizados.

c. Pérdida de la Disponibilidad: Pérdida de la cualidad o condición de la


información de encontrarse a disposición de quienes requieran acceder a
ella, ya sean personas, procesos o aplicaciones.

8.4. Riesgos de Seguridad y Privacidad de la Información

Riesgos que afectan a las personas cuyos datos son tratados y que se concreta en
la posible violación de sus derechos, la pérdida de información necesaria o el daño
causado por una utilización ilícita o fraudulenta de los mismos.

De acuerdo con lo descrito en la norma GTC-ISO/IEC 27035, un incidente de


seguridad de la información está definido como “Evento o serie de eventos no
deseados o inesperados, que tienen probabilidad significativa de comprometer las
operaciones del negocio y vulnerar la seguridad”; por consiguiente, se
representarían en Riesgos de Seguridad y Privacidad de la Información, como lo es
el riesgo de tener un uso no adecuado de la información personal, lo que repercute
en una violación de los derechos constitucionales.

6
Departamento Nacional de Planeación. CONPES 3854, pág 24.

6
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN

7
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN

9. METODOLOGÍA DE ANÁLISIS DE RIESGOS DE SEGURIDAD Y


PRIVACIDAD DE LA INFORMACIÓN PARA LA SUPERINTENDENCIA
NACIONAL DE SALUD

Para la identificación, análisis y valoración de los riesgos de Seguridad de la


Información, se tomaron como base las definiciones del Departamento
Administrativo de la Función Pública (DAFP). Con este propósito, es necesario
identificar a los líderes del proceso sobre el cual se vaya a realizar el análisis de
riesgos, quienes son definidos por los responsables de la información con base en
la oficina o dependencia productora, quienes a su vez son los responsables del
tratamiento de los riesgos de seguridad identificados.

Los líderes del proceso, con el acompañamiento y apoyo del funcionario designado
por el Grupo de Administración de Seguridad de la Información (GASI) de la Oficina
de Tecnologías de la Información (OTI) de la Entidad, realizan la identificación de
riesgos de Seguridad de la Información, los cuales quedan registrados en el formato
ASFT22: Matriz de Análisis de Riesgos de Seguridad y Privacidad de la Información,
cuyas indicaciones de diligenciamiento se presentan en el documento ASIN01:
Instructivo para el diligenciamiento de la matriz de riesgos de Seguridad y Privacidad
de la Información. El formato ASFT22 contiene las siguientes secciones:

1. Información del proceso


2. Identificación del riesgo
3. Análisis del riesgo
4. Evaluación de controles
5. Plan de tratamiento de los riesgos

Los riesgos se miden en términos de su impacto y de su probabilidad de ocurrencia


de la siguiente forma:

8
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN

Probabilidad/ Impacto Valor

Muy Alto 5

Alto 4

Moderado 3

Bajo 2

Muy Bajo 1
Tabla 1. Medición de impacto y probabilidad

9.1. Criterios para la valoración de riesgos

Para la valoración de riesgos se toman como base dos variables: la probabilidad


de ocurrencia del riesgo y su impacto en caso de que se materialice.

9.1.1. Probabilidad de ocurrencia

Se define la probabilidad de ocurrencia para cada riesgo teniendo en cuenta los


siguientes criterios de valoración:

Niveles de
Descripción
Probabilidad

Riesgo cuya materialización es recurrente


5 Muy alta
(Casi seguro).

Riesgo que puede materializarse de manera


4 Alta
habitual (Probable).

Riesgo que se presenta de forma casual o


3 Moderada
accidental (Posible).

Riesgo que puede presentarse de manera


2 Baja
eventual (Raro).

Riesgo cuya probabilidad de materializarse


1 Muy baja
es mínima (Improbable).
Tabla 2. Valoración de la Probabilidad de Ocurrencia
Fuente: Guía práctica para la consolidación del componente de administración del riesgo – ASGU03 Versión 2

9
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN

9.1.2. Impacto

La valoración del impacto que puede ocasionar a la Superintendencia Nacional de


Salud la materialización de los Riesgos de Seguridad y Privacidad de la Información,
se representa con la descripción de los siguientes niveles:

SEGURIDAD Y PRIVACIDAD DE LA
NIVEL CONCEPTO DESCRIPCIÓN
INFORMACIÓN
Si el hecho llegara a presentarse tendría consecuencias
1 Muy Bajo Afecta a una actividad del proceso.
o efectos mínimos sobre la organización
Afecta a un grupo de trabajo, a una
Si el hecho llegara a presentarse, tendría bajo impacto
2 Bajo persona, grupo de personas o algunas
o efecto sobre la organización.
actividades del proceso.
Si el hecho llegara a presentarse tendría medianas Afecta un conjunto de datos personales o
3 Moderado
consecuencias o efectos sobre la organización. el proceso.
Si el hecho llegara a presentarse tendría altas Afecta varios conjuntos de datos
4 Alto
consecuencias o efectos sobre la organización. personales o procesos de la organización.
Afecta toda la organización. Multas por
Si el hecho llegara a presentarse tendría desastrosas incumplimiento de la Legislación.
5 Muy Alto
consecuencias o efectos sobre la organización. Suspensión de las actividades misionales
de la organización.
Tabla 3. Valoración del Impacto

Esta valoración se realiza sobre en los principios de la Seguridad de la Información:

Confidencialidad: Mide el impacto que tendría para la Superintendencia Nacional


de Salud la pérdida de confidencialidad sobre los activos de información, es decir,
que sean conocidos por personas no autorizadas.

Integridad: Mide el impacto que tendría la pérdida de integridad, es decir, si la


exactitud y estado completo de los activos de información o sus métodos de
procesamiento fueran alterados.

Disponibilidad: Mide el impacto que tendría la pérdida de disponibilidad, es decir,


si los usuarios autorizados no tuvieran acceso a los activos de información en el
momento que lo requieran.

9.1.3. Valoración de los riesgos

Con base en la probabilidad y la valoración del impacto de cada riesgo, se


establecen los niveles de riesgos (tanto los inherentes como los residuales luego de

10
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN

aplicar los controles identificados) teniendo una clasificación propia para la


Superintendencia Nacional de Salud:

Dimensión del Riesgo de


Seguridad y Privacidad de la Valor Asignado Acción Requerida
Información
Evitar el riesgo empleando controles que busquen reducir el nivel de
Mayor o igual a probabilidad, reducir el riesgo empleando controles orientados a
Riesgo Extremo
16 minimizar el impacto si el riesgo se materializa o compartir y/o
transferir el riesgo mediante la ejecución de pólizas.
Evitar o mitigar el riesgo mediante medidas adecuadas y aprobadas,
Mayor que 12 y
Riesgo Alto que permitan llevarlo a la zona de riesgo moderado o compartir y/o
menor a 16
transferir el riesgo.
Mayor que 4 y Evitar o mitigar el riesgo mediante medidas prontas y adecuadas
Riesgo Moderado
menor o igual 11 que permitan llevarlo a la zona de riesgo menor o compartir el riesgo.

Asumir el riesgo. Mitigar el riesgo con actividades propias del


Riesgo Bajo Menor o igual a 3
proceso y por medio de acciones detectivas y preventivas.
Tabla 4. Dimensión de Riesgos

De igual forma, se distribuyen los riesgos (inherentes y residuales) en las zonas de


riesgo de acuerdo con el siguiente Mapa de Calor:

Probabilidad Valor Evaluación

Muy Alta 5 5 10 15 20 25

Alta 4 4 8 12 16 20

Moderada 3 3 6 9 12 15

Baja 2 2 4 6 8 10

Muy Baja 1 1 2 3 4 5

Valor 1 2 3 4 5

Impacto Muy Bajo Bajo Moderado Alto Muy Alto

Figura 1. Mapa de Calor para la Representación de los niveles de Riesgo por Zonas

Las acciones requeridas según la zona de riesgo identificada se indican en la


siguiente tabla:

Zona de Riesgo Asumir el Riesgo: Riesgos para los cuales se determina que el nivel de exposición es adecuado
Aceptable y por lo tanto se acepta.
Zona de Riesgo Mitigar o Evitar el Riesgo: Riesgos para los cuales se requiere fortalecer los controles existentes
Moderado y/o agregar nuevos controles.
Zona de Riesgo Mitigar o Evitar el Riesgo: Implementación de controles adicionales como parte del
Importante fortalecimiento de los actuales o como resultado de haberlo compartido o transferido.
Zona de Riesgo Evitar el Riesgo: Se requiere de acciones inmediatas que permitan reducir la probabilidad y el
Inaceptable impacto de materialización.
Tabla 5. Acciones según Zona de Riesgo

11
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN

10. SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN

La Superintendencia Nacional de Salud “evaluará el desempeño del modelo de


gestión de riegos de Seguridad y Privacidad de la Información”, por medio de un
monitoreo que permita hacer seguimiento de las acciones que se están llevando a
cabo y evaluar la eficiencia en su implementación adelantando verificaciones al
menos una vez al año o cuando sea necesario, evidenciando todas aquellas
situaciones o factores que puedan estar influyendo en la aplicación de las acciones
de tratamiento.

El monitoreo anual o en el momento que se determine, debe estar a cargo de los


responsables de los procesos con el apoyo de la Oficina de Control Interno y la
Oficina de Tecnologías de la Información, aplicando y sugiriendo los correctivos y
ajustes necesarios para propender por un efectivo manejo de los riesgos de
Seguridad y Privacidad de la Información.7

11. REFERENCIAS BIBLIOGRÁFICAS

AS/NZS 4360:1999 Estándar Australiano Administración de Riesgos.


DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA, Guía para la
Administración del Riesgo del Departamento Administrativo de la Función Pública
(DAFP). Disponible en web www.dafp.gov.co.
DEPARTAMENTO NACIONAL DE PLANEACIÓN, Política Nacional de Seguridad
Digital – CONPES 3854. Disponible en web www.dnp.gov.co
NTC-ISO/IEC 27000:2014, Tecnología de la Información. Técnicas de Seguridad
Sistemas de gestión de seguridad de información. Descripción y vocabulario.
ICONTEC, NTC-ISO/IEC 27001:2013, Tecnología de la Información. Técnicas de
Seguridad. Sistemas de Gestión de la Seguridad de la Información. Requisitos.
NTC-ISO/IEC 27005:2011, Tecnología de la Información. Técnicas de Seguridad.
Administración de Riesgos de Seguridad de la Información.
ICONTEC, NTC-ISO/IEC 31000. La gestión de riesgos, principios y directrices.
ICONTEC, NTC-ISO/IEC Guía 73:2009 Gestión del Riesgo. Vocabulario.
ICONTEC, NTC 5254 Gestión del Riesgo.

7
Procedimiento de Administración de Riesgos ASPD03 de la Superintendencia Nacional de Salud

12
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN

CONTROLES DE CAMBIOS
ASPECTOS
RESPONSABL
QUE FECHA DEL
DETALLES DE LOS CAMBIOS E DE LA
CAMBIARON CAMBIO VERSIÓN
EFECTUADOS SOLICITUD
EN EL DD/MM/AAAA
DEL CAMBIO
DOCUMENTO
Se aprobó el presente documento, Jefe Oficina de
Adopción del
mediante memorando 3-2016- Tecnologías de 29/06/2016 1
documento
012489 la Información
Se agrega acciones que se
deberán realizar como parte del
tratamiento del riesgo mediante Jefe de la
Ajuste del requerimiento NURC:3-2016- Oficina de
21/10/2016 2
documento 019200 Tecnologías de
la Información
Se aprueba el cambio mediante
NURC: 3-2016-019444
Se ajusta la metodología de
análisis, agregando conceptos
que permiten tipificar los riesgos
de seguridad y privacidad, se
incluye la valoración de controles
Jefe de la
existentes para la reducción o
Ajuste del Oficina de
mitigación del riesgo inherente y 14/03/2017 3
documento Tecnologías de
se ajustan las acciones de
la Información
implementación de actividades de
tratamiento del riesgo.

Se aprueba el cambio mediante


NURC: 3-2017-004043
Mediante memorando NURC: 3-
Jefe de la
2017-003334, se solicita agregar
Ajuste del Oficina de
conceptos, se incluye la 14/03/2017 4
documento Tecnologías de
valoración de controles existentes
la Información
para la reducción o mitigación del

13
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN

riesgo inherente y se ajustan las


acciones de implementación de
actividades de tratamiento del
riesgo.

Se aprueba mediante NURC: 3-


2017-004043
Mediante memorando 3-2017-
014038, se solicita agregar
conceptos definidos sobre las
calificaciones de los activos de
información a nivel de
Confidencialidad, Integridad y
Disponibilidad, así como las
definiciones de los campos de la
Matriz ASFT22 para una mejor Jefe de la
Ajuste del interpretación de la misma. Oficina de
25/09/2017 5
documento Se agregó el numeral 7.5. Id. Tecnologías de
Riesgo, en donde se indica que se la Información
enumera con las tres iniciales del
nombre del proceso y seguido de
una letra “R” más el número que lo
identifica.

Mediante memorando 3-2017-


014754 se aprueba el presente
documento.
Mediante memorando 3-2018-
000900, se solicita la modificación
el numeral 4 Requisitos de
Calidad Aplicable, en donde se
especifica que la
implementación de los Jefe de la
Ajuste del controles de la Norma NTC- Oficina de
12/01/2018 6
documento ISO/IEC 27001:2013 en la Tecnologías de
la Información
entidad, está acorde con lo
descrito en el formato de
declaración de aplicabilidad,
Código ASFT30.

14
ADMINISTRACIÓN DEL SISTEMA
PROCESO CÓDIGO ASGU05
INTEGRADO DE GESTIÓN
GUÍA METODOLÓGICA DE GESTIÓN
GUÍA DE RIESGOS DE SEGURIDAD Y VERSIÓN 7
PRIVACIDAD DE LA INFORMACIÓN

Mediante memorando 3-2018-


001145 se aprueba el presente
documento.

Se modifica el contenido del


documento para referenciar la
metodología para la identificación
de riesgos de seguridad y
privacidad de la información en la
Jefe Oficina de
Ajuste del Entidad.
Tecnologías de 25/09/2018 7
documento Solicitud de modificación
la Información
mediante memorando NURC 3-
2018-015804
Se realiza aprobación mediante
memorando NURC 3-2018-
016944

15