ASGU05

ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05

INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 4
PRIVACIDAD DE LA INFORMACIN
GUA METODOLGICA DE ANLISIS DE RIESGOS

DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN
SUPERINTENDENCIA NACIONAL DE SALUD
BOGOT D.C.
2017
ELABOR: REVIS: APROB:

Profesional Oficina de Jefe Oficina de Tecnologas Jefe Oficina de Tecnologas
Tecnologas de la de la Informacin de la Informacin
Informacin
FECHA: FECHA: FECHA:
23/05/2016 23/06/2016 2/06/2016
1
INTEGRADO DE GESTIN
TABLA DE CONTENIDO
1. OBJETIVO ........................................................................................................ 4
2. ALCANCE ......................................................................................................... 4
3. MBITO DE APLICACIN .............................................................................. 4
4. REQUISITOS DE CALIDAD APLICABLE ...................................................... 4
5. DEFINICIONES ................................................................................................. 4
6. VALORACIN DE RIESGOS EN EL CONTEXTO DE LA
SUPERINTENDENCIA NACIONAL DE SALUD ASOCIADOS A LOS ACTIVOS
DE INFORMACIN..................................................................................................... 8
6.1. Contexto de la Superintendencia Nacional de Salud................................. 8
6.2. Contexto Interno ............................................................................................. 9
6.3. Contexto con los Grupos de Inters .......................................................... 11
6.4. Comunicacin................................................................................................ 14
6.5. Contexto de Seguridad y Privacidad de la Informacin .......................... 15
7. RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN ....... 16
7.1. Definicin del Riesgo ................................................................................... 16
7.2. Riesgos de Seguridad Digital ...................................................................... 17
7.3. Riesgos de Privacidad.................................................................................. 18
7.4. Incidente de Seguridad de la Informacin ................................................. 18
7.5. Factores de Riesgo ....................................................................................... 19
8. METODOLOGA DE ANLISIS DE RIESGOS DE SEGURIDAD Y
PRIVACIDAD DE LA INFORMACIN PARA LA SUPERINTENDENCIA
NACIONAL DE SALUD ............................................................................................ 19
8.1. Metodologa de Valoracin del Activo y Anlisis de Riesgos de
Seguridad de la Informacin ................................................................................. 19
2
INTEGRADO DE GESTIN
9. MATRIZ DE VALORACIN DE ACTIVOS Y ANLISIS DE RIESGOS DE

SEGURIDAD DE LA INFORMACIN ..................................................................... 27
9.1. Matriz de Riesgos y Seguridad de la Informacin ASFT22 .................. 27
9.2. Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la
Informacin .............................................................................................................. 29
10. SEGUIMIENTO, MEDICIN, ANLISIS Y EVALUACIN .......................... 30
3
INTEGRADO DE GESTIN
1. OBJETIVO
Definir la metodologa de gestin de riesgos de seguridad y privacidad de la informacin

contemplando: Identificacin de activos de informacin, amenazas, vulnerabilidades,
riesgos y controles, los niveles aceptables y tratamiento de riesgo en la Superintendencia
Nacional de Salud, teniendo en cuenta los lineamientos descritos en la Norma Tcnica
Colombiana NTC ISO 31000.
Realizar un anlisis y valoracin de los riesgos de seguridad de la informacin en cuanto al

impacto y la probabilidad de ocurrencia para la Superintendencia Nacional de Salud.
Identificar las medidas de proteccin y remediacin que contribuyan al correcto tratamiento

de los riesgos a travs de una adecuada seleccin de controles informados en el Anexo A
de la Norma Tcnica Colombiana NTC ISO 27001:2013.
2. ALCANCE
La Gua Metodolgica de Anlisis de Riesgos de Seguridad y Privacidad de la Informacin

provee los mecanismos necesarios para identificar, analizar, evaluar y tratar de manera
adecuada los riesgos asociados a los activos de informacin de la Superintendencia
Nacional de Salud.
3. MBITO DE APLICACIN
La presente Gua aplica para el Subsistema de Gestin de Seguridad de la Informacin.
4. REQUISITOS DE CALIDAD APLICABLE
Est Gua da cumplimiento a los lineamientos establecidos en la Norma ISO/IEC 27001
5. DEFINICIONES
6.
4
INTEGRADO DE GESTIN
Los siguientes trminos y definiciones que se encuentran en el presente documento estn

Basados en la Norma ISO 27000, ISO 31000, GTC 137 (ISO Gua 73:2009), GTC ISO/IEC
27035 y son aplicables al Subsistema de Gestin de Seguridad de la Informacin de la
Superintendencia Nacional de Salud.
Para una mejor comprensin de la presente Gua Metodolgica, se toman como referencia
los trminos y definiciones establecidos en la Norma ISO 27000, Norma ISO 27005, Norma
ISO 31000 y la Gua Prctica para la consolidacin del componente de administracin de
riesgos ASGU03 del Proceso de Administracin del Sistema Integrado de Gestin de la
Superintendencia Nacional de Salud:
Aceptacin de riesgo: Decisin informada de asumir un riesgo concreto.

Activo: En relacin con la seguridad de la informacin, se refiere a cualquier informacin o
elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios,
personas...) que tenga valor para la organizacin.
Amenaza: Causa potencial de un incidente no deseado, que puede provocar daos a un
sistema o a la organizacin.
Anlisis de Riesgo: Proceso para comprender la naturaleza del riesgo y determinar el nivel
de riesgo.
Anlisis de riesgos cualitativo: Anlisis de riesgos en el que se usa algn tipo de escalas
de valoracin para situar la gravedad del impacto y la probabilidad de ocurrencia.
Anlisis de riesgos cuantitativo: Anlisis de riesgos en funcin de las prdidas financieras
que causara el impacto.
Autenticidad: Propiedad de que una entidad es lo que afirma ser.
Confiabilidad de la Informacin: Garantiza que la fuente de la informacin generada sea
adecuada para sustentar la toma de decisiones y la ejecucin de las misiones y funciones.
Confidencialidad: Propiedad de la informacin de no ponerse a disposicin o ser revelada
a individuos, entidades o procesos no autorizados.
La informacin debe ser accedida slo por aquellas personas que lo requieran como una
necesidad legtima para la realizacin de sus funciones. La revelacin no autorizada de la
5
INTEGRADO DE GESTIN
informacin calificada de acuerdo con un nivel de confidencialidad alto, implica un grave

impacto en la Superintendencia Nacional de Salud, en trminos econmicos, de su imagen
y ante sus clientes.
Control: Las polticas, los procedimientos, las prcticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la informacin por debajo del nivel
de riesgo asumido. Control es tambin utilizado como sinnimo de salvaguarda o
contramedida. En una definicin ms simple, es una medida que modifica el riesgo.
Declaracin de aplicabilidad: Documento que enumera los controles aplicados por el
SGSI de la organizacin tras el resultado de los procesos de evaluacin y tratamiento de
riesgos y su justificacin, as como la justificacin de las exclusiones de controles del anexo
A de la norma tcnica ISO 27001:2013.
Disponibilidad: Propiedad de la informacin de estar accesible y utilizable cuando lo
requiera una entidad autorizada.
La informacin debe estar en el momento y en el formato que se requiera ahora y en el

futuro, al igual que los recursos necesarios para su uso; la no disponibilidad de la
informacin puede resultar en prdidas financieras, de imagen y/o credibilidad ante los
clientes de la Superintendencia Nacional de Salud.
Evaluacin de riesgos: Proceso global de identificacin, anlisis y estimacin de riesgos.

Evento de seguridad de la informacin: Presencia identificada de una condicin de un
sistema, servicio o red, que indica una posible violacin de la poltica de seguridad de la
informacin o la falla de las salvaguardas, o una situacin desconocida previamente que
puede ser pertinente a la seguridad.
Gestin de incidentes de seguridad de la informacin: Procesos para detectar, reportar,
evaluar, responder, tratar y aprender de los incidentes de seguridad de la informacin.
Gestin de riesgos: Actividades coordinadas para dirigir y controlar una organizacin con
respecto al riesgo. Se compone de la evaluacin y el tratamiento de riesgos.
6
INTEGRADO DE GESTIN
Impacto: El coste para la empresa de un incidente de la escala que sea, que puede o no
ser medido en trminos estrictamente financieros: prdida de reputacin, implicaciones
legales, etc.
Inventario de Activos: Lista de todos aquellos recursos (fsicos, de informacin, software,
documentos, servicios, personas, intangibles, etc.) dentro del alcance del SGSI, que tengan
valor para la organizacin y necesiten por tanto ser protegidos de potenciales riesgos.
Incidente de seguridad de la informacin: Un evento o serie de eventos de seguridad de
la informacin no deseados o inesperados, que tienen una probabilidad significativa de
comprometer las operaciones del negocio y amenazar la seguridad de la informacin.
Integridad: Propiedad de la informacin relativa a su exactitud y completitud.
La informacin de la Superintendencia Nacional de Salud debe ser clara y completa, y solo

podr ser modificada por el personal expresamente autorizado para ello. La falta de
integridad de la informacin puede exponer a la empresa a toma de decisiones incorrectas,
lo cual puede ocasionar prdida de imagen o prdidas econmicas.
Plan de tratamiento de riesgos: Documento que define las acciones para gestionar los
riesgos de seguridad de la informacin inaceptables e implantar los controles necesarios
para proteger la misma.
Probabilidad: Medida para estimar la ocurrencia del riesgo.
Propietario del riesgo: Persona o entidad con responsabilidad y autoridad para gestionar
un riesgo.
Recursos de tratamiento de la informacin: Cualquier sistema, servicio o infraestructura
de tratamiento de informacin o ubicaciones fsicas utilizadas para su alojamiento.
Responsable de Seguridad Informtica: En la Superintendencia Nacional de Salud el
comit de seguridad de la informacin ser el grupo encargado de realizar el seguimiento
y monitoreo al Subsistema de Gestin de la Seguridad de la informacin (SGSI).
Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para
causar una prdida o dao en un activo de informacin. Suele considerarse como una
combinacin de la probabilidad de un evento y sus consecuencias.
7
INTEGRADO DE GESTIN
Riesgo Inherente: Nivel de incertidumbre propio de cada actividad, sin la ejecucin de

ningn control.
Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo.
Seleccin de controles: Proceso de eleccin de las salvaguardas que aseguren la
reduccin de los riesgos a un nivel aceptable.
SGSI: Sistema de Gestin de la Seguridad de la Informacin; para efectos de entendimiento
en la Superintendencia Nacional de Salud, el SGSI hace referencia al Subsistema de
Gestin de Seguridad de la Informacin.
Sistema de Gestin de la Seguridad de la Informacin: Conjunto de elementos
interrelacionados o interactuantes (estructura organizativa, polticas, planificacin de
actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza una
organizacin para establecer una poltica y unos objetivos de seguridad de la informacin y
alcanzar dichos objetivos, basndose en un enfoque de gestin del riesgo y de mejora
continua.
Seguridad de la Informacin: Preservacin de la confidencialidad, la integridad y la
disponibilidad de la informacin.
Tratamiento de riesgos: Proceso de modificar el riesgo, mediante la implementacin de
controles.
Tratamiento: Cualquier operacin o conjunto de operaciones sobre datos personales, tales
como la recoleccin, almacenamiento, uso, circulacin o supresin.
Valoracin del riesgo: Proceso de anlisis y evaluacin del riesgo.
Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o ms
amenazas.
6. VALORACIN DE RIESGOS EN EL CONTEXTO DE LA SUPERINTENDENCIA

NACIONAL DE SALUD ASOCIADOS A LOS ACTIVOS DE INFORMACIN
6.1. Contexto de la Superintendencia Nacional de Salud
La Superintendencia Nacional de Salud se consolida como un organismo tcnico con la

misin de proteger los derechos en salud de los habitantes del territorio colombiano
8
INTEGRADO DE GESTIN
mediante mecanismos de Inspeccin, Vigilancia y Control, y ejerciendo funciones

jurisdiccionales y de conciliacin, en busca de la satisfaccin de sus usuarios y partes
interesadas, cumpliendo los requisitos legales y organizacionales suscritos frente al
Sistema Integrado de Gestin, en materia de administracin de los riesgos institucionales y
los de corrupcin.
6.2. Contexto Interno
Servicios:
Proteccin al usuario y participacin ciudadana.
Administracin de Justicia y Resolucin de conflictos dentro del Sistema
General de Seguridad Social en Salud SGSSS.
Vigilancia a sujetos vigilados del Sistema General de Seguridad Social en
Salud SGSSS.
Inspeccin a sujetos vigilados del Sistema General de Seguridad Social en
Salud SGSSS.
Control a sujetos vigilados del Sistema General de Seguridad Social en Salud
SGSSS.
Oferta de Productos y Servicios:

Proteccin al usuario y participacin ciudadana: Consiste en todos
aquellos servicios orientados a disear, proponer e implementar estrategias
de promocin y apoyo de la participacin ciudadana, orientar a elaborar y
gestionar respuestas a peticiones, quejas, reclamos, denuncias, reportar
informacin, verificar el cumplimiento a fallos de tutela, mediante anlisis,
clasificacin, interpretacin y aplicacin de acciones conforme a la ley,
seguimiento a las actuaciones frente a las EPS y el envo de respuestas a
las partes interesadas para brindar al ciudadano un servicio de calidad y
satisfacer eficientemente sus necesidades y requerimientos, as como el
9
INTEGRADO DE GESTIN
diseo, propuesta e implementacin de estrategias de promocin y apoyo de

la participacin ciudadana.
Administracin de Justicia y Resolucin de conflictos dentro del

Sistema General de Seguridad Social en Salud SGSSS-: Fallar en
derecho con las facultades propias de un juez, a travs de las providencias
que acaten las normas sustanciales y procesales que regulan la actividad
jurisdiccional y el Sistema General de Seguridad Social en Salud, a fin de
garantizar el derecho a la salud y Resolucin de Conflictos Derivados de las
Obligaciones del Sistema General de Seguridad Social en Salud.
Vigilancia a sujetos vigilados del Sistema General de Seguridad Social

en Salud SGSSS- corresponde a todos aquellos servicios que se
desprenden de la atribucin que tiene la Superintendencia Nacional de Salud
para advertir, prevenir, orientar, asistir y propender porque las entidades
encargadas del financiamiento, aseguramiento, prestacin del servicio de
salud, atencin al usuario, participacin social y dems sujetos de vigilancia
de la Superintendencia Nacional de Salud, cumplan con las normas que
regulan el Sistema General de Seguridad Social en Salud para el desarrollo
de este.
Inspeccin a sujetos vigilados del Sistema General de Seguridad Social

en Salud SGSSS-. es el conjunto de actividades y acciones encaminadas
al seguimiento, monitoreo y evaluacin del Sistema General de Seguridad
Social en Salud y que sirven para solicitar, confirmar y analizar de manera
puntual la informacin que se requiera sobre la situacin de los servicios de
salud y sus recursos, sobre la situacin jurdica, financiera, tcnica-cientfica,
administrativa y econmica de las entidades sometidas a vigilancia de la
10
INTEGRADO DE GESTIN
Superintendencia Nacional de Salud dentro del mbito de su competencia,

son funciones de inspeccin entre otras las visitas, la revisin de
documentos, el seguimiento de peticiones de inters general o particular y la
prctica de investigaciones administrativas.
Control a sujetos vigilados del Sistema General de Seguridad Social en

Salud SGSSS-: El control consiste en la atribucin de la Superintendencia
Nacional de Salud para ordenar los correctivos tendientes a la superacin de
la situacin crtica o irregular (jurdica, financiera a, econmica, tcnica,
cientfico-administrativa) de cualquiera de sus vigilados y sancionar las
actuaciones que se aparten del ordenamiento legal bien sea por accin o por
omisin.
6.3. Contexto con los Grupos de Inters
Alta Direccin de la Superintendencia Nacional de Salud:

Requisitos en Subsistema de Seguridad de la Informacin: Implementar el
Subsistema de Seguridad de la Informacinpara preservar la disponibilidad,
confidencialidad y disponibilidad de la informacin de la Entidad.
Expectativas en Subsistema de Seguridad de la Informacin: Mitigar los
riesgos que puedan afectar la Seguridad de la Informacin de la Entidad, adems
de cumplir con los requerimientos establecidos por el Ministerio de las
Tecnologas de la Informacin y las Comunicaciones en los plazos instaurados.
Funcionarios Pblicos de la SNS:
Requisitos en Subsistema de Seguridad de la Informacin: Mantener
disponible la informacin de la Superintendencia Nacional de Salud para poder
cumplir con las labores asignadas en el menor tiempo posible. De igual manera
11
INTEGRADO DE GESTIN
proteger la informacin personal de cada funcionario de acuerdo a lo establecido

en la Ley 1581 de 2012.
Expectativas en Subsistema de Seguridad de la Informacin: Garantizar la
continuidad de las operaciones de la Superintendencia Nacional de Salud,
mantener la integridad de los datos generados en las operaciones diarias de la
SNS.
Visitantes de la Superintendencia Nacional de Salud:

Requisitos en Subsistema de Seguridad de la Informacin: Dar adecuado
uso a la informacin entregada a la Superintendencia Nacional de Salud para su
tratamiento.
seguridad fsica de las instalaciones de la Superintendencia Nacional de Salud.
Sindicato de la Superintendencia Nacional de Salud:

Requisitos en Subsistema de Seguridad de la Informacin: Dar el adecuado
uso de los datos personales de acuerdo a la ley 1581 de 2012.
Expectativas en Subsistema de Seguridad de la Informacin: Proteger a la
Entidad de los riesgos informticos a los que se ve expuesta, mitigar los impactos
de la ocurrencia de la materializacin de los riesgos.
Habitantes del territorio colombiano:

Requisitos en Subsistema de Seguridad de la Informacin: Dar respuesta a
las PQRD interpuestos a la Superintendencia Nacional de Salud, en los tiempos
adecuados de acuerdo a la normatividad vigente, dar buen uso a los datos
personales, historias clnicas y dems informacin que se suministre para
adelantar un proceso de cualquier ndole ante la SNS.
12
INTEGRADO DE GESTIN
Expectativas en Subsistema de Seguridad de la Informacin: Asegurar una

adecuada prestacin de los servicios en las instituciones prestadoras de salud.
Proveedores:
Requisitos en Subsistema de Seguridad de la Informacin: Cumplir con los
acuerdos contractuales.
disponibilidad de los sistemas de informacin para poder cumplir con el objeto
contractual estipulado.
Vigilados:
Requisitos en Subsistema de Seguridad de la Informacin: Se haga un
Inspeccin, Vigilancia y Control conforme lo establecido por las normas.
Expectativas en Subsistema de Seguridad de la Informacin: Se realicen
auditoras, seguimientos, solicitud de informacin por medio de Circular nica.
Ministerio de Salud y Proteccin Social:

Requisitos en Subsistema de Seguridad de la Informacin: Dar
cumplimiento al Plan Estratgico de la Entidad, a las normas vigentes, al Sistema
de Inspeccin, Vigilancia y Control, a la proteccin de los derechos de los
usuarios en salud, cumplir dems directrices emanadas por el Ministerio.
Expectativas en Subsistema de Seguridad de la Informacin: Entregar
oportunamente los informes de cumplimiento de planes trimestralmente.
Contralora General de la Repblica Control Fiscal:

Requisitos en Subsistema de Seguridad de la Informacin: Cumplimiento a
las normas en el ejercicio del Servicio Pblico, Ley de Contratacin, Ley de
Planeacin, entre otras
13
INTEGRADO DE GESTIN
Expectativas en Subsistema de Seguridad de la Informacin: Que se formule

y se ejecute una planeacin de manera adecuada, que se adelanten procesos
contractuales, se cumpla a cabalidad con la normativa propia de la
Departamento de Administracin Pblica DAFP:

las normas sobre Recursos Humanos, cumplimiento a las normas de la gestin
administrativa.
Expectativas en Subsistema de Seguridad de la Informacin: Cumplimiento
con las directrices del Comit de Desarrollo Administrativo; elaboracin,
ejecucin y seguimiento a los Planes de accin, establecimiento y Cumplimiento
del Plan de Bienestar y Plan de Capacitacin.
Ministerio de Tecnologas de la Informacin y las Comunicaciones:

cabalidad de los plazos establecidos para la Estrategia Gobierno en Lnea,
especficamente en el componente cuatro Seguridad y Privacidad de la
Informacin
Expectativas en Subsistema de Seguridad de la Informacin: Que se cree
una cultura de Seguridad de la informacin en la Superintendencia Nacional de
Salud, de tal manera que cada funcionario sea consciente de la importancia de
la informacin que maneja.
6.4. Comunicacin
A medida que se desarrollan las acciones del proceso de Anlisis de Riesgos de Seguridad
y Privacidad de la Informacin, la comunicacin se realiza para mantener informada a la
direccin, la o las dependencias involucradas con la gestin del riesgo y el equipo o grupo
14
INTEGRADO DE GESTIN
de trabajo encargado de la implementacin del Subsistema de Gestin de Seguridad de la

Informacin; igualmente recibir informacin de los procesos y las partes interesadas. De
sta manera, se consigue difundir la informacin necesaria para obtener el consenso de los
responsables y los afectados por las decisiones sobre el tratamiento de los riesgos.
Las acciones de comunicacin son importantes para:

Identificar los riesgos.
Valorar los riesgos en funcin de las consecuencias para el negocio y la probabilidad
de ocurrencia.
Comprender la probabilidad y consecuencias de los riesgos.
Establecer prioridades para el tratamiento de riesgos.
Informar y contribuir a que se involucren las partes interesadas.
Monitorear la efectividad del tratamiento de los riesgos.
Revisar con regularidad el proceso y su monitoreo.
Concienciar a la entidad y a la direccin sobre los riesgos y su forma de mitigarlos.
6.5. Contexto de Seguridad y Privacidad de la Informacin
La informacin de La Superintendencia Nacional de Salud sin importar el tipo, es crucial

para el desarrollo de su objeto misional, su correcto desempeo dentro de la poltica pblica
y su relacin con el ciudadano, es por ello que debe ser protegida de cualquier posibilidad
de ocurrencia de eventos de riesgo de seguridad de la informacin y que pudiese significar
un impacto indeseado generando una consecuencia negativa para el normal progreso de
las actividades de la entidad.
De acuerdo con lo anterior y tomando como referencia el Modelo de Seguridad y Privacidad

de la informacin de MINTIC1 (MSPI), la gestin de riesgos de seguridad y privacidad de la
informacin en La Superintendencia Nacional de Salud utiliza las buenas prcticas de las
Norma Tcnica Colombiana (ISO/IEC 31000, ISO/IEC 27005), la Gua de Riesgos del
1 Ministerio de Tecnologas de la Informacin y de las Comunicaciones (MINTIC).
15
INTEGRADO DE GESTIN
DAFP2 e integrando con lo que se ha desarrollado al interior de la entidad para otros

modelos de Gestin (por ejemplo MECI3), aprovechando el trabajo adelantado en la
identificacin de riesgos para ser complementados con los riesgos de seguridad y
privacidad de la informacin.
El Procedimiento (ASPD034) de Administracin de Riesgos de la Superintendencia

Nacional de Salud, tiene como objetivo administrar los riesgos institucionales mediante la
identificacin, clasificacin, evaluacin, valoracin y seguimiento de los mismos con el fin
de prevenir y mitigar los eventos generados por su materializacin; su alcance inicia con la
identificacin del contexto estratgico de la Institucin, contina con la clasificacin,
evaluacin y valoracin, y finaliza con el seguimiento de la poltica de administracin de
riesgos y aplica para todos los procesos y subsistemas del Sistema Integrado de Gestin.
7. RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN
7.1. Definicin del Riesgo
De acuerdo con la norma ISO/IEC 27000:2014, se define el riesgo como la Posibilidad de

que una amenaza concreta pueda explotar una vulnerabilidad para causar una prdida o
dao en un activo de informacin. Suele considerarse como una combinacin de la
probabilidad de un evento y sus consecuencias. De igual manera el objetivo general de
dicha norma es gestionar el riesgo para identificar y establecer controles efectivos que
garanticen la confidencialidad, integridad y disponibilidad de la informacin de la
2 Gua para la Administracin del Riesgo del Departamento Administrativo de la Funcin Pblica
(DAFP).
3 Modelo Estndar de Control Interno (MECI)
4 Procedimiento de Administracin de Riesgos ASPD03 de la Superintendencia Nacional de Salud,
16
INTEGRADO DE GESTIN
De acuerdo con lo anterior y en el marco de la Poltica Nacional de Seguridad Digital5, la

estrategia de administracin de riesgos para el flujo de la informacin en los procesos de la
Superintendencia Nacional de Salud, busca disear una metodologa gil enfocada en la
identificacin, gestin y tratamiento de los Riesgos de Seguridad y Privacidad de la
Informacin:
Figura # 1 Riesgos de Seguridad y Privacidad de la Informacin
7.2. Riesgos de Seguridad Digital
Riesgos que resultan de la combinacin de amenazas y vulnerabilidades en el ambiente

digital y dado su naturaleza dinmica incluye tambin aspectos relacionados con el entorno
fsico6. En la tipificacin de dichos riesgos, se encuentran los siguientes:
a. Fuga o Prdida de la Informacin: Informacin que hace que esta llegue a

personas no autorizadas, sobre la que su responsable pierde el control o el estado
que genera una condicin irreparable en el tratamiento y procesamiento de la
Informacin. Ocurre cuando un sistema de informacin o proceso diseado para
restringir el acceso slo a sujetos autorizados revela parte de la informacin que
5 Departamento Nacional de Planeacin. CONPES 3854

6 Departamento Nacional de Planeacin. CONPES 3854, pg 24.
17
INTEGRADO DE GESTIN
procesa o transmite debido a errores en la ejecucin de los procedimientos de

tratamiento, las personas o diseo de los Sistemas de Informacin.
b. Prdida de la Confidencialidad: Violacin o incidente a la propiedad de la
informacin que impide su divulgacin a individuos, entidades o procesos no
autorizados.
c. Prdida de la Integridad: Prdida de la propiedad de mantener con exactitud la
informacin tal cual fue generada, sin ser manipulada ni alterada por personas o
procesos no autorizados.
d. Prdida de la Disponibilidad: Prdida de la cualidad o condicin de la informacin
de encontrarse a disposicin de quienes deben acceder a ella, ya sean personas,
procesos o aplicaciones.
7.3. Riesgos de Privacidad
Riesgos que afectan a las personas cuyos datos son tratados y que se concreta en la
posible violacin de sus derechos, la prdida de informacin necesaria o el dao causado
por una utilizacin ilcita o fraudulenta de los mismos. Como riesgo tipificado se cuenta con
el siguiente:
a. Inadecuado Tratamiento de Datos Personales: Uso no adecuado de la

informacin que identifica a las personas, lo que repercute en una violacin de los
derechos constitucionales.
7.4. Incidente de Seguridad de la Informacin
De acuerdo con lo descrito en la norma GTC-ISO/IEC 27035, un incidente de seguridad de

la informacin est definido como Evento o serie de eventos no deseados o inesperados,
que tienen probabilidad significativa de comprometer las operaciones del negocio y vulnerar
la seguridad; por consiguiente, se representaran en Riesgos de Seguridad y Privacidad
de la Informacin.
18
INTEGRADO DE GESTIN
7.5. Factores de Riesgo
Se entiende por factores de riesgo dentro del Subsistema de Seguridad de la Informacin,

aquellos que pueden afectar la confidencialidad, la integridad o la disponibilidad de la
informacin de La Superintendencia Nacional de Salud. Entre los factores de riesgos que
se encuentran identificados dentro de la organizacin estn los siguientes:
Factor de Riesgo Descripcin

Personas Personal de la organizacin que se encuentra relacionado con
la ejecucin del proceso de forma directa o indirecta.
Procesos Conjunto interrelacionado entre s de actividades y tareas
necesarias para llevar a cabo el proceso.
Tecnologa Conjunto de herramientas tecnolgicas que intervienen de
manera directa o indirecta en la ejecucin del proceso.
Infraestructura Conjunto de recursos fsicos que apoyan el funcionamiento de
la organizacin y de manera especfica el proceso.
Factores Condiciones generadas por agentes externos, las cuales no
son controlables por la empresa y que afectan de manera
Externos
directa o indirecta el proceso.
Tabla # 1 Factores de Riesgo asociados al SGSI
8. METODOLOGA DE ANLISIS DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE

LA INFORMACIN PARA LA SUPERINTENDENCIA NACIONAL DE SALUD
8.1. Metodologa de Valoracin del Activo y Anlisis de Riesgos de Seguridad de

la Informacin
La Superintendencia Nacional de Salud utiliza una metodologa para valorar los riesgos de
la Seguridad de la Informacin, basado en el Sistema de Gestin de Riesgos ya establecido
en la entidad. La presente Gua Metodolgica y la Matriz de Valoracin de Activos y Anlisis
de Riesgos de Seguridad de la Informacin, contribuyen al Sistema Integrado de Gestin
abarcando los siguientes aspectos:
19
INTEGRADO DE GESTIN
a. Se identifican los activos de informacin en el flujo de cada proceso, teniendo en

cuenta las Tablas de Retencin Documental, con el objetivo de valorarlos e
identificar los riesgos de seguridad y privacidad de la informacin asociados a los
factores.
En el esfuerzo de valoracin del activo, se consideran los siguientes aspectos:
TIPO DE
DESCRIPCIN
ACTIVOS
Datos importantes o vitales para la Administracin de la Entidad: Aquellos
que son esenciales, imprescindibles para la continuidad de la entidad; es decir
que su carencia o dao afectara directamente a la entidad, permitira
reconstruir las misiones crticas o que sustancian la naturaleza legal de la
organizacin o de sus usuarios.
Datos de carcter personal: Cualquier informacin concerniente a personas

Activos
fsicas identificadas o identificables. Los datos de carcter personal estn
Esenciales
regulados por leyes y reglamentos en cuanto afectan a las libertades pblicas
y los derechos fundamentales de las personas fsicas, y especialmente su
intimidad personal y familiar (Ley 1581 de 2012).
Datos Clasificados o Calificados: Aquellos sometidos a normativa especfica

de control de acceso y distribucin o cuya confidencialidad es tipificada por
normativa interna o legislacin nacional (Ley 1712 de 2014).
Que es almacenado en equipos o soportes de informacin (normalmente
agrupado como ficheros o bases de datos) o ser transferido de un lugar
a otro por los medios de transmisin de datos.
Datos /
Ejemplo: Copias de Respaldo, Ficheros, Datos de Gestin Interna, Datos de
Informacin
Configuracin, Credenciales (Contraseas), Datos de Validacin de
Credenciales (Autenticacin), Datos de Control de Acceso, Registros de
Actividad (Log), Matrices de Roles y Privilegios, Cdigo Fuente, Cdigo
Ejecutable, Datos de Prueba.
Medios fsicos, destinados a soportar directa o indirectamente los

servicios que presta la entidad, siendo depositarios temporales o
permanentes de los datos, soporte de ejecucin de las aplicaciones
informticas o responsables del procesado o la transmisin de datos.
Hardware /
Ejemplo: Servidores (host), Equipos de Escritorio (Pc), Equipos Porttiles
Infraestructura
(Laptop), Dispositivos Mviles, Equipos de Respaldo, Perifricos, Dispositivos
Criptogrficos, Dispositivos Biomtricos, Servidores de Impresin, Impresoras,
Escneres, Equipos Virtuales (vhost), Soporte de la Red (Network), Mdems,
Concentradores, Conmutadores (switch), Encaminadores (router), Pasarelas
(bridge), Firewall, Central Telefnica, Telefona IP, Access Point.
20
INTEGRADO DE GESTIN
Que gestionan, analizan y transforman los datos permitiendo la

explotacin de la informacin para la prestacin de los servicios.
Software / Ejemplo: Desarrollo Inhouse, Desarrollo Subcontratado, Estndar, Navegador,

Aplicaciones Servidor de Presentacin (www), Servidor de Aplicaciones (app), Cliente de
Informticas Correo Electrnico, Servidor de Correo Electrnico, Servidor de Ficheros (file),
Sistemas de Gestin de Bases de Datos (dbms), Monitor Transaccional,
Ofimtica, Antivirus, Sistema Operativo (OS), Servidor de Terminales, Sistema
de Backup o Respaldo, Gestor de Mquinas Virtuales.
Funciones que permiten suplir una necesidad de los usuarios (del
servicio).
Ejemplo: Pgina Web, Correo Electrnico, Acceso Remoto, almacenamiento

Servicios
de ficheros, transferencia de ficheros, intercambio electrnico de datos,
Gestin de Identidades (altas y bajas de usuarios del sistema), Gestin de
Privilegios, Intercambio electrnico de datos, PKI (Infraestructura de Clave
Pblica).
Usuarios Internos, Usuarios Externos, Operadores, Administradores de
Sistemas, Administradores de Comunicaciones, Administradores de Bases de
Personas
Datos, Administradores de Seguridad, Programadores, Contratistas,
Proveedores.
Dispositivos fsicos electrnicos o no que permiten almacenar
informacin de forma permanente o durante largos periodos de tiempo.
Soportes de
Informacin Ejemplo: Discos, Discos Virtuales, Almacenamiento en Red (san), Memorias
USB, CDROM, DVD, Cinta Magntica (tape), Tarjetas de Memoria, Tarjetas
Inteligentes, Material Impreso, Microfilmaciones.
Instalaciones dedicadas como servicios de comunicaciones contratados

a terceros o medios de transporte de datos de un sitio a otro.
Redes de
Comunicaciones Ejemplo: Red Telefnica, Red Inalmbrica, Telefona Mvil, Satelital, Red
Local (LAN), Red Metropolitana (MAN), Internet, Radio Comunicaciones,
Punto a Punto, ADSL, Red Digital (rdsi).
Esenciales para garantizar el funcionamiento de los mecanismos
criptogrficos.
Claves
Criptogrficas Ejemplo: Claves de Cifrado, Claves de Firma, Proteccin de Comunicaciones
(Claves de Cifrado de Canal), Cifrado de Soportes de Informacin, Certificados
Digitales, Certificados de Claves, Claves de Autenticacin.
Otros equipos que sirven de soporte a los sistemas de informacin, sin
estar directamente relacionados con datos.
Equipos
Ejemplo: Fuentes de alimentacin, generadores elctricos, equipos de
Auxiliares
climatizacin, sistemas de alimentacin ininterrumpida (UPS), cableado, cable
elctrico, fibra ptica, equipos de destruccin de soportes de informacin,
mobiliarios, armarios, cajas fuertes.
Instalaciones Lugares donde albergan los sistemas de informacin y comunicaciones.
21
INTEGRADO DE GESTIN
La Valoracin del Activo de Informacin se realiza mediante la identificacin del

impacto para la Superintendencia Nacional de Salud por la prdida de las
propiedades, principios o fundamentos de la Seguridad de la Informacin, teniendo
en cuenta la siguiente tabla de criterios:
Criterio Valor
Crtico =5
Alto =3y<5
Medio =1y<3
Bajo =0y<1
Tabla # 2 Criterios
CONFIDENCIALIDAD: Impacto que tendra para la Superintendencia Nacional de

Salud, la prdida de confidencialidad sobre el activo de informacin, es decir, que
sea conocido por personas no autorizadas:
Crtico: Es la existencia de informacin ms crtica (Calificada, Vital o Esencial) a
nivel de prdida de su confidencialidad que cualquier otra y que por ende debe tener
una mayor proteccin. A la informacin (Calificada, Vital o Esencial) slo pueden
tener acceso las personas que expresamente han sido declaradas usuarios
legtimos de esta informacin, y con los privilegios asignados. El conocimiento o
divulgacin no autorizada de la informacin que gestiona este activo impacta
negativamente a la SNS.
Alto y Medio: Es la informacin que es utilizada por los funcionarios de la SNS para
realizar sus labores en los procesos y que no puede ser conocida por terceros sin
autorizacin del propietario del activo. El conocimiento o divulgacin no autorizada
de la informacin que gestiona este activo impacta negativamente al proceso
evaluado y/o otros procesos de la SNS.
Bajo: Es la informacin que ha sido calificada como de conocimiento pblico. Esta
informacin puede ser entregada o publicada sin restricciones a los funcionarios o
a cualquier persona sin que implique daos a terceros ni a las actividades y procesos
de la SNS. El conocimiento o divulgacin no autorizada de la informacin que
gestiona este activo no tiene ningn impacto negativo en los procesos de la SNS.
22
INTEGRADO DE GESTIN
INTEGRIDAD: Impacto que tendra la prdida de integridad, es decir, si la exactitud

y estado completo de la informacin y mtodos de procesamiento fueran alterados.
Crtico: La prdida de exactitud y estado completo del activo impacta
negativamente la prestacin de servicios de tecnologa y de informacin en la SNS.
Alto y Medio: La prdida de exactitud y estado completo del activo impacta
negativamente al proceso que gestiona la informacin y/o a otros procesos de la
SNS.
Bajo: La prdida de exactitud y estado completo activo no tiene ningn impacto
negativo en los procesos de la SNS.
DISPONIBILIDAD: Impacto que tendra la prdida de disponibilidad, es decir, si los

usuarios autorizados no tuvieran acceso a los activos de informacin en el momento
que lo requieran.
Crtico: La falta o no disponibilidad del activo de informacin impacta negativamente
la prestacin de servicios de tecnologa y de informacin en la SNS.
Alto y Medio: La falta o no disponibilidad del activo de informacin impacta
negativamente al proceso que gestiona la informacin y/o a otros procesos de la
SNS.
Bajo: La falta o no disponibilidad del activo de informacin no tiene ningn impacto
negativo en los procesos de la SNS.
b. Se identifican los responsables y dueos de la informacin con base en la oficina o

dependencia productora, as mismo se le asocian a su responsabilidad, el
tratamiento de los riesgos de seguridad identificados.
c. Se consideran los factores de riesgo, las vulnerabilidades de los activos de

informacin, las causas o amenazas que puedan determinar la materializacin de
un evento, su posibles consecuencias o afectacin, relacionndolos con la
identificacin del riesgo de seguridad o privacidad de la informacin. Todo lo anterior
se realiza mediante la documentacin de fuentes como: Entrevistas no
estructuradas con los responsables de los activos y el desarrollo del flujo de la
23
INTEGRADO DE GESTIN
informacin en el proceso, fuentes estadsticas y tendencias de los riesgos de

seguridad y privacidad, observaciones de expertos y analistas, estudio de los
procedimientos, guas y diagramas de informacin, establecimiento de la criticidad
del activo y su tratamiento por parte de las personas, los procesos y la tecnologa,
gestin de riesgos realizados anteriormente y deteccin de reas o dependencias
sensibles.
d. Se determina la probabilidad de ocurrencia para cada riesgo teniendo en cuenta los

siguientes criterios de valoracin:
NIVEL CONCEPTO DESCRIPCIN FRECUENCIA
Puede que no se haya presentado Nunca o no se ha
1 Rara Vez u ocurrir solo en circunstancias presentado en los
excepcionales. ltimos 5 aos
Pudo ocurrir en algn momento, Al menos una vez en
2 Improbable
es poco comn o frecuente los ltimos 5 aos
Al menos una vez en
3 Posible Puede ocurrir en algn momento
los ltimos 2 aos
Ocurrir en la mayora de las Al menos una vez en el
4 Probable
circunstancias. ltimo ao
Se espera que ocurra en la
5 Casi Seguro Ms de una vez al ao
mayora de las circunstancias
Tabla # 3 Valoracin de la Probabilidad de Ocurrencia
Fuente: Gua prctica para la consolidacin del componente de administracin del
riesgo ASGU03 Versin 2.
e. La valoracin del impacto que puede ocasionar a la Superintendencia Nacional de

Salud, la materializacin del Riesgo de Seguridad o Privacidad de la Informacin,
se representa con la descripcin de los siguientes niveles:
SEGURIDAD Y
NIVEL CONCEPTO DESCRIPCIN PRIVACIDAD DE LA
INFORMACIN
Si el hecho llegara a presentarse
Afecta a una actividad del
1 Insgnificante tendra consecuencias o efectos
proceso.
mnimos sobre la organizacin
Afecta a un grupo de
Si el hecho llegara a presentarse, trabajo, a una persona,
2 Menor tendra bajo impacto o efecto grupo de personas o
sobre la organizacin. algunas actividades del
proceso.
24
INTEGRADO DE GESTIN
Si el hecho llegara a presentarse Afecta un conjunto de

3 Moderado tendra medianas consecuencias datos personales o el
o efectos sobre la organizacin. proceso.
Afecta varios conjuntos
de datos personales o
4 Mayor tendra altas consecuencias o
procesos de la
efectos sobre la organizacin.
organizacin.
Afecta toda la
organizacin. Multas por
incumplimiento de la
tendra desastrosas
5 Catastrfico Legislacin. Suspensin
consecuencias o efectos sobre la
de las actividades
organizacin.
misionales de la
organizacin.
Tabla # 4 Valoracin del Impacto
Con base en la determinacin de la probabilidad y la valoracin del impacto, se establecen

los niveles de riesgos teniendo una clasificacin propia para La Superintendencia Nacional
de Salud:
Dimensin del Riesgo
de Seguridad y Valor
Accin Requerida
Privacidad de la Asignado
Informacin
Evitar el riesgo empleando controles que
busquen reducir el nivel de probabilidad.
Mayor o igual Reducir el riesgo empleando controles
Riesgo Extremo
a 20 orientados a minimizar el impacto si el riesgo
se materializa. Compartir o transferir el riesgo
mediante la ejecucin de plizas.
Evitar o mitigar el riesgo mediante medidas
Mayor o igual
adecuadas y aprobadas, que permitan llevarlo
Riesgo Alto a 15 y menor
a la zona de riesgo moderado. Compartir o
a 20
transferir el riesgo.
Mayor o igual Evitar o mitigar el riesgo mediante medidas
Riesgo Moderado a 10 y menor prontas y adecuadas que permitan llevarlo a la
a 15 zona de riesgo menor. Compartir el riesgo.
Mitigar el riesgo mediante de medidas
Mayor o igual
momentneas y efectivas del proceso que
Riesgo Menor a 5 y menor a
permitan prevenirlo o llevarlo a la zona de
10
riesgo bajo. Asumir el riesgo.
Asumir el riesgo. Mitigar el riesgo con
Menor a 5 y
Riesgo Bajo actividades propias del proceso y por medio de
mayor a 0
acciones detectivas y preventivas.
Tabla # 5 Dimensin de Riesgos
25
INTEGRADO DE GESTIN
Valoracin del Riesgo: Se considera la probabilidad de que la amenaza identificada

explote la vulnerabilidad y el impacto resultante sobre el activo evaluado, determina el
Riesgo Total interpretado en las siguientes zonas de riesgo de acuerdo con el siguiente
Mapa de Calor:
Figura # 2 Mapa de Calor para la Representacin de los niveles de Riesgo por Zonas
En concordancia y alineacin con los Niveles de Riesgos, las acciones requeridas se

complementan en la siguiente tabla:
Zona de
Asumir el Riesgo: Riesgos para los cuales se determina que el nivel
Riesgo
de exposicin es adecuado y por lo tanto se acepta.
Aceptable
Zona de Mitigar el Riesgo: Riesgos que se puede permitir gestionar, que en
Riesgo caso de materializacin la entidad se encuentra en la capacidad de
Tolerable asumirlo.
Zona de
Mitigar o Evitar el Riesgo: Riesgos para los cuales se requiere
Riesgo
fortalecer los controles existentes y/o agregar nuevos controles.
Moderado
26
INTEGRADO DE GESTIN
Zona de Mitigar o Evitar el Riesgo: Implementacin de controles adicionales

Riesgo como parte del fortalecimiento de los actuales o como resultado de
Importante haberlo compartido o transferido.
Zona de
Evitar el Riesgo: Se requiere de acciones inmediatas que permitan
Riesgo
reducir la probabilidad y el impacto de materializacin.
Inaceptable
Tabla # 6 Zona de Riesgo
9. MATRIZ DE VALORACIN DE ACTIVOS Y ANLISIS DE RIESGOS DE SEGURIDAD

DE LA INFORMACIN
9.1. Matriz de Riesgos y Seguridad de la Informacin ASFT22
La documentacin del registro de activos de informacin, su valoracin en cuanto a las

dimensiones de Confidencialidad, Integridad, Disponibilidad y el anlisis de riesgos de
seguridad y privacidad de la informacin, se realiza utilizando el formato Matriz de
Valoracin de Activos y Anlisis de Riesgos de Seguridad y Privacidad de la Informacin,
cdigo ASFT22 para lo cual se describe a continuacin, el esquema de diligenciamiento:
27
INTEGRADO DE GESTIN
DEPENDENCIA / DIRECCIN / COORDINACIN rea o dependencia productora de la Informacin

PROCESO Proceso Productor de la Informacin
Responsable del Proceso, del Activo de
PROPIETARIO / RESPONSABLE Informacin, de los Riesgos de Seguridad y
Privacidad y de las Actividades de Tratamiento
S Codificacin de la Serie Documental
CATEGORIA/SERIE Nombre de la Categora o Serie Documental
Sb Codificacin de la Subserie Documental
Id. Activo Codficacin del Activo de Informacin (A)
REGISTRO DE ACTIVOS ACTIVOS DE INFORMACIN /SUBSERIE/Tipos Documentales Nombre del Activo de Informacin
DE INFORMACIN EL Electrnico
Formato que hace parte del Sistema Integrado de
SIG
Gestin
Descripcin del Activo de Informacin de acuerdo
DESCRIPCIN DEL ACTIVO DE INFORMACIN
con el Cuadro de Clasificacin Documental
Idioma en el que se presenta el contenido de la
Idioma
Informacin
MEDIO DE CONSERVACIN Y/O SOPORTE Medio en el cual se presenta la informacin
FORMATO Formato en el cual se presenta la informacin
Si la informacin se encuentra de manera pblica o
INFORMACIN PUBLICADA O DISPONIBLE
disponible para su consulta
Condiciones que indican la seleccin de
CONDICIN LEGTIMA DE LA EXCEPCIN
CALIFICACIN DE LA Calificacin de la Informacin
INFORMACIN CALIFICACIN
Categora de Calificacin de la Informacin
(GGPD01 - GGFT01)
TIPO DE ACTIVO Identificacin o categorizacin del tipo de activo
CONFIDENCIALIDAD Valoracin de la Confidencialidad
INTEGRIDAD Valoracin de la Integridad
VALORACIN DEL ACTIVO
DISPONIBILIDAD Valoracin de la Disponiblidad
DIMENSIN ACTIVO Resultado final de la Valoracin
OBSERVACIONES Observaciones respecto al Activo de Informacin
Principios que pueden afectar la confidencialidad, la
FACTOR DE RIESGO
integridad o la disponibilidad de la informacin
ANLISIS DE RIESGOS VULNERABILIDAD Debilidad indentificada en el tratamiento del activo
RIESGO DE SEGURIDAD Y Oportunidades que pueden aprovechar las
CAUSA / AMENAZA
PRIVACIDAD DE LA debilidades del activo
INFORMACIN CONSECUENCIA / EFECTO Resultado o desenlace del evento de riesgo
Riesgo identificado como parte del anlisis de las
RIESGO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN
anteriores variables
Id. Riesgo Codificacin del Riesgo
PROBABILIDAD Posibilidad de ocurrencia del evento de riesgo
VALORACIN DEL
RIESGO INHERENTE DE Valoracin de la consecuencia o efecto del evento
IMPACTO
SEGURIDAD Y de riesgo
PRIVACIDAD DE LA Nivel resultante de la valoracin de las anteriores
DIMENSIN DEL RIESGO INHERENTE
INFORMACIN variables
Categorizacin del Riesgo de Seguridad o
TIPIFICACIN DEL RIESGO
Privacidad de la Informacin
Descripcin de la Actividad o Control Existente Especificacin de la Actividad o Control existente
Verificacin de la Documentacin de la actividad o
La Actividad o Control est documentada, cuenta con responsable
control existente
EFECTIVIDAD DE Confirmacin de la aplicacin de la actividad o
La Actividad o Control se est Aplicando
ACTIVIDADES O control existente
CONTROLES EXISTENTES Confirmacin de la funcin de la actividad o control
La Actividad o Control es Efectiva Cumple su funcin
existente
Porcentaje de la efectividad de la actividad o control
EFECTIVIDAD DE LA ACTIVIODAD O CONTROL EXISTENTE
existente
Posibilidad de ocurrencia del evento de riesgo luego
PROBABILIDAD
de validar las actividades o controles existentes
Valoracin de la consecuencia o efecto del evento

VALORACIN DEL IMPACTO de riesgo luego de validar las actividades o
RIESGO RESIDUAL controles existentes
Nivel resultante de la valoracin de las anteriores
DIMENSIN DEL RIESGO RESIDUAL
variables
Categorizacin del Riesgo de Seguridad o
TIPIFICACIN DEL RIESGO
Privacidad de la Informacin
A5 Poltica de seguridad
A6 Organizacin de la seguridad de la informacin
A7 Seguridad ligada a los recursos humanos
A8 Gestin de activos
A9 Control de acceso
A10 Criptografa
CONTROLES DE A11 Seguridad fsica y del entorno
SEGURIDAD DE LA A12 Seguridad de las operaciones
INFORMACIN A13 Seguridad de las comunicaciones
Anexo A - ISO 27002:2013 Adquisicin, desarrollo y mantenimiento de
A14
sistemas
A15 Relaciones con los proveedores
Gestin de incidentes de seguridad de la
A16
informacin
Aspectos de seguridad de la informacin de la
A17
gestin de continuidad de negocio
A18 Cumplimiento
Figura # 3 Matriz de Riesgos de Seguridad y Privacidad de la Informacin

28
INTEGRADO DE GESTIN
9.2. Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la Informacin
Con base en el resultado del anlisis de riesgos de seguridad y privacidad de la informacin

y con el fin de gestionar el riesgo residual, se proponen acciones de mejora los cuales
pueden estar en marcha por medio de planes de accin o de tratamiento con la finalidad de
que la informacin siempre conserve las caractersticas de confidencialidad, integridad y
disponibilidad de la misma, desarrollndose como un proceso de seleccionar e implementar
medidas para modificar el nivel de riesgo.
El Plan de Tratamiento de Riesgos de Seguridad de la Informacin se integra a la presente

Gua Metodolgica y a la Matriz de Valoracin de Activos y Anlisis de Riesgos de
Seguridad de la Informacin, contribuyendo al fortalecimiento de los mecanismos de
Gestin de Riesgos del Sistema Integrado de Gestin de la Superintendencia Nacional de
Salud.
La formulacin de actividades de tratamiento de riesgos de seguridad de la informacin y

su aplicacin de acuerdo con la valoracin del riesgo inherente documentado, se realiza
utilizando un anexo al formato ASFT22, buscando integrar la implementacin de la presente
Gua Metodolgica, describiendo a continuacin, el esquema de diligenciamiento:
29
INTEGRADO DE GESTIN
ACTIVIDADES DE
Acciones encaminadas a lograr el tratamiento propuesto.
TRATAMIENTO
Quien debe liderar la ejecucin y seguimiento de las actividades de
RESPONSABLE
TRATAMIENTO DE tratamiento.
RIESGOS DE Quien acompaa la ejecucin y seguimiento de las actividades de
RESPONSABLES ADICIONALES
SEGURIDAD Y tratamiento.
PRIVACIDAD DE LA Recursos necesarios o propuestos para la implementacin de las
INFORMACIN RECURSOS TCNICOS Actividades de Tratamiento y que estn integrados a la adecuacin
de los Controles de Seguridad de la Informacin.
Recursos procedimentales y guas requeridas, que apoyan y
RECURSOS DOCUMENTALES documentan las acciones y actividades de tratamiento de los
riesgos de seguridad.
A5 Poltica de seguridad
A6 Organizacin de la seguridad de la informacin
A7 Seguridad ligada a los recursos humanos
A8 Gestin de activos
A9 Control de acceso
A10 Criptografa
Anexo A A11 Seguridad fsica y del entorno
Controles de Referencia A12 Seguridad de las operaciones
ISO 27002:2013 A13 Seguridad de las comunicaciones
A14 Adquisicin, desarrollo y mantenimiento de sistemas
A15 Relaciones con los proveedores
A16 Gestin de incidentes de seguridad de la informacin
Aspectos de seguridad de la informacin de la gestin de
A17
continuidad de negocio
A18 Cumplimiento
Tiempo estimado para la implementacin de las actividades de

TIEMPO DE IMPLEMENTACIN
tratamiento propuestas.
FECHA MXIMA DE Fecha lmite de implementacin de las actividades de tratamiento

IMPLEMENTACIN propuestas.
Nivel de Riesgo residual que se estima alcanzar al aplicar la
VALORACIN RESIDUAL
IMPLEMENTACIN DE decisin de tratamiento del riesgo de seguridad.
ACTIVIDADES DE
Asociacin de los documentos normativos, procedimientos, guas
TRATAMIENTO
DECLARACIN DE y polticas que soportan el Subsistema de Seguridad de la
APLICABILIDAD Informacin y justifican la adecuacin de los controles de
seguridad de acuerdo con la norma ISO 27001:2013
PORCENTAJE DE
Avance de Implementacin de las Actividades de Tratamiento
IMPLEMENTACIN
Informacin adicional o aclaratoria que aporta a la implementacin
OBSERVACIONES
del Plan de tratamiento propuesto.
Figura # 4 Tratamiento de Riesgos de Seguridad y Privacidad de la Informacin
10. SEGUIMIENTO, MEDICIN, ANLISIS Y EVALUACIN
La Superintendencia Nacional de Salud evaluar el desempeo del modelo de gestin de

riegos de seguridad y privacidad de la informacin, por medio de un monitoreo esencial
30
INTEGRADO DE GESTIN
para revisar que las acciones se estn llevando a cabo y evaluar la eficiencia en su
implementacin adelantando verificaciones al menos una vez al ao o cuando sea
necesario, evidenciando todas aquellas situaciones o factores que pueden estar influyendo
en la aplicacin de las acciones de tratamiento.
El monitoreo anual o en el momento que se determine, debe estar a cargo de los

responsables de los procesos, la Oficina de Control Interno y la Oficina de Tecnologas de
la Informacin, aplicando y sugeriendo los correctivos y ajustes necesarios para propender
por un efectivo manejo del riesgo de seguridad y privacidad de la informacin.7
11. REFERENCIAS BIBLIOGRFICAS
AS/NZS 4360:1999 Estndar Australiano Administracin de Riesgos.

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA, Gua para la
Administracin del Riesgo del Departamento Administrativo de la Funcin Pblica (DAFP).
Disponible en web www.dafp.gov.co.
DEPARTAMENTO NACIONAL DE PLANEACIN, Poltica Nacional de Seguridad Digital
CONPES 3854. Disponiblie en web www.dnp.gov.co
ISO/IEC 27000:2014, Tecnologa de la Informacin. Tcnicas de Seguridad Sistemas de
gestin de seguridad de informacin. Descripcin y vocabulario.
ICONTEC, NTC-ISO 27001:2013, Tecnologa de la Informacin. Tcnicas de Seguridad.
Sistemas de Gestin de la Seguridad de la Inforamcin. Requisitos.
ISO/IEC 27005:2011, Tecnologa de la Informacin. Tcnicas de Seguridad. Administracin
de Riesgos de Seguridad de la Informacin.
ICONTEC, NTC-ISO 31000. La gestin de riesgos, principios y directrices.
ICONTEC, NTC-ISO Gua 73:2009 Gestin del Riesgo. Vocabulario.
ICONTEC, NTC 5254 Gestin del Riesgo.
7 Procedimiento de Administracin de Riesgos ASPD03 de la Superintendencia Nacional de Salud,
31
INTEGRADO DE GESTIN
CONTROL DE CAMBIOS
ASPECTOS
RESPONSABL
QUE FECHA DEL
DETALLES DE LOS CAMBIOS E DE LA
CAMBIARON CAMBIO VERSIN
EFECTUADOS SOLICITUD
EN EL DD/MM/AAAA
DEL CAMBIO
DOCUMENTO
Se aprob el presente documento, Jefe Oficina de
Adopcin del
mediante memorando 3-2016- Tecnologas de 29/06/2016 1
documento
012489 la Informacin
Se agrega acciones que se
debern realizar como parte del
tratamiento del riesgo mediante Jefe de la
Ajuste del requerimiento NURC:3-2016- Oficina de
21/10/2016 2
documento 019200 Tecnologas de
la Informacin
Se aprueba el cambio mediante
NURC: 3-2016-019444
Se ajusta la metodologa de
anlisis, agregando conceptos
que permiten tipificar los riesgos
de seguridad y privacidad, se
incluye la valoracin de controles
Jefe de la
existentes para la reduccin o
Ajuste del Oficina de
mitigacin del riesgo inherente y 14/03/2017 3
documento Tecnologas de
se ajustan las acciones de
la Informacin
implementacin de actividades de
tratamiento del riesgo.
Se aprueba el cambio mediante

NURC: 3-2017-004043
Mediante memorando NURC: 3-

2017-003334, se solicita agregar
conceptos, se incluye la
valoracin de controles existentes
para la reduccin o mitigacin del Jefe de la
Ajuste del riesgo inherente y se ajustan las Oficina de
14/03/2017 4
documento acciones de implementacin de Tecnologas de
actividades de tratamiento del la Informacin
riesgo.
Se aprueba mediante NURC: 3-

2017-004043
32
INTEGRADO DE GESTIN
33

ASGU05

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

ASGU05

Загружено:

Авторское право:

Доступные форматы

ADMINISTRACIN DEL SISTEMA

PROCESO CDIGO ASGU05

GUA METODOLGICA DE ANLISIS DE RIESGOS

ELABOR: REVIS: APROB:

9. MATRIZ DE VALORACIN DE ACTIVOS Y ANLISIS DE RIESGOS DE

Definir la metodologa de gestin de riesgos de seguridad y privacidad de la informacin

Realizar un anlisis y valoracin de los riesgos de seguridad de la informacin en cuanto al

Identificar las medidas de proteccin y remediacin que contribuyan al correcto tratamiento

La Gua Metodolgica de Anlisis de Riesgos de Seguridad y Privacidad de la Informacin

La presente Gua aplica para el Subsistema de Gestin de Seguridad de la Informacin.

4. REQUISITOS DE CALIDAD APLICABLE

Est Gua da cumplimiento a los lineamientos establecidos en la Norma ISO/IEC 27001

Los siguientes trminos y definiciones que se encuentran en el presente documento estn

Aceptacin de riesgo: Decisin informada de asumir un riesgo concreto.

informacin calificada de acuerdo con un nivel de confidencialidad alto, implica un grave

La informacin debe estar en el momento y en el formato que se requiera ahora y en el

Evaluacin de riesgos: Proceso global de identificacin, anlisis y estimacin de riesgos.

La informacin de la Superintendencia Nacional de Salud debe ser clara y completa, y solo

Riesgo Inherente: Nivel de incertidumbre propio de cada actividad, sin la ejecucin de

6. VALORACIN DE RIESGOS EN EL CONTEXTO DE LA SUPERINTENDENCIA

6.1. Contexto de la Superintendencia Nacional de Salud

La Superintendencia Nacional de Salud se consolida como un organismo tcnico con la

mediante mecanismos de Inspeccin, Vigilancia y Control, y ejerciendo funciones

6.2. Contexto Interno

Oferta de Productos y Servicios:

diseo, propuesta e implementacin de estrategias de promocin y apoyo de

Administracin de Justicia y Resolucin de conflictos dentro del

Vigilancia a sujetos vigilados del Sistema General de Seguridad Social

Inspeccin a sujetos vigilados del Sistema General de Seguridad Social

Superintendencia Nacional de Salud dentro del mbito de su competencia,

Control a sujetos vigilados del Sistema General de Seguridad Social en

6.3. Contexto con los Grupos de Inters

Alta Direccin de la Superintendencia Nacional de Salud:

proteger la informacin personal de cada funcionario de acuerdo a lo establecido

Visitantes de la Superintendencia Nacional de Salud:

Sindicato de la Superintendencia Nacional de Salud:

Habitantes del territorio colombiano:

Expectativas en Subsistema de Seguridad de la Informacin: Asegurar una

Ministerio de Salud y Proteccin Social:

Contralora General de la Repblica Control Fiscal:

Expectativas en Subsistema de Seguridad de la Informacin: Que se formule

Departamento de Administracin Pblica DAFP:

Ministerio de Tecnologas de la Informacin y las Comunicaciones:

de trabajo encargado de la implementacin del Subsistema de Gestin de Seguridad de la

Las acciones de comunicacin son importantes para:

6.5. Contexto de Seguridad y Privacidad de la Informacin

La informacin de La Superintendencia Nacional de Salud sin importar el tipo, es crucial

De acuerdo con lo anterior y tomando como referencia el Modelo de Seguridad y Privacidad

1 Ministerio de Tecnologas de la Informacin y de las Comunicaciones (MINTIC).

DAFP2 e integrando con lo que se ha desarrollado al interior de la entidad para otros

El Procedimiento (ASPD034) de Administracin de Riesgos de la Superintendencia

7. RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN

7.1. Definicin del Riesgo

De acuerdo con la norma ISO/IEC 27000:2014, se define el riesgo como la Posibilidad de

De acuerdo con lo anterior y en el marco de la Poltica Nacional de Seguridad Digital5, la

Figura # 1 Riesgos de Seguridad y Privacidad de la Informacin

7.2. Riesgos de Seguridad Digital

Riesgos que resultan de la combinacin de amenazas y vulnerabilidades en el ambiente

a. Fuga o Prdida de la Informacin: Informacin que hace que esta llegue a

5 Departamento Nacional de Planeacin. CONPES 3854

procesa o transmite debido a errores en la ejecucin de los procedimientos de

7.3. Riesgos de Privacidad

a. Inadecuado Tratamiento de Datos Personales: Uso no adecuado de la

7.4. Incidente de Seguridad de la Informacin