ASGU05

ADMINISTRACIN DEL SISTEMA
PROCESO CDIGO ASGU05

INTEGRADO DE GESTIN
GUA METODOLGICA DE ANLISIS
GUA DE RIESGOS DE SEGURIDAD Y VERSIN 5
PRIVACIDAD DE LA INFORMACIN
GUA METODOLGICA DE ANLISIS DE RIESGOS

DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN
SUPERINTENDENCIA NACIONAL DE SALUD
BOGOT D.C.
2017
ELABOR: REVIS: APROB:

Profesional Oficina de Jefe Oficina de Tecnologas Jefe Oficina de Tecnologas
Tecnologas de la de la Informacin de la Informacin
Informacin
FECHA: FECHA: FECHA:
23/05/2016 23/06/2016 2/06/2016
1
INTEGRADO DE GESTIN
TABLA DE CONTENIDO
1. OBJETIVO ............................................................................................................ 4
2. ALCANCE ............................................................................................................ 4
3. MBITO DE APLICACIN .................................................................................. 4
4. REQUISITOS DE CALIDAD APLICABLE.......................................................... 4
5. DEFINICIONES .................................................................................................... 5
6. VALORACIN DE RIESGOS EN EL CONTEXTO DE LA
SUPERINTENDENCIA NACIONAL DE SALUD ASOCIADOS A LOS ACTIVOS
DE INFORMACIN..................................................................................................... 8
6.1. Contexto de la Superintendencia Nacional de Salud................................. 8
6.2. Contexto Interno ............................................................................................. 8
6.3. Contexto con los Grupos de Inters .......................................................... 10
6.4. Comunicacin................................................................................................ 13
6.5. Contexto de Seguridad y Privacidad de la Informacin .......................... 13
7. RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN ........... 14
7.1. Definicin del Riesgo ................................................................................... 14
7.2. Riesgos de Seguridad Digital ...................................................................... 15
7.3. Riesgos de Privacidad.................................................................................. 16
7.4. Incidente de Seguridad de la Informacin ................................................. 16
7.5. Identificacin de los Riesgos ...................................................................... 16
7.6. Factores de Riesgo ....................................................................................... 16
8. METODOLOGA DE ANLISIS DE RIESGOS DE SEGURIDAD Y
PRIVACIDAD DE LA INFORMACIN PARA LA SUPERINTENDENCIA
NACIONAL DE SALUD ............................................................................................ 17
8.1. Metodologa de Valoracin del Activo y Anlisis de Riesgos de
Seguridad de la Informacin ................................................................................. 17
2
INTEGRADO DE GESTIN
9. MATRIZ DE VALORACIN DE ACTIVOS Y ANLISIS DE RIESGOS DE

SEGURIDAD DE LA INFORMACIN ..................................................................... 24
9.1. Matriz de Riesgos y Seguridad de la Informacin ASFT22 .................. 24
9.2. Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la
Informacin .............................................................................................................. 27
10. SEGUIMIENTO, MEDICIN, ANLISIS Y EVALUACIN .......................... 29
3
INTEGRADO DE GESTIN
1. OBJETIVO
Definir la metodologa de gestin de riesgos de seguridad y privacidad de la

informacin contemplando: Identificacin de activos de informacin, amenazas,
vulnerabilidades, riesgos y controles, los niveles aceptables y tratamiento de riesgo
en la Superintendencia Nacional de Salud, teniendo en cuenta los lineamientos
descritos en la Norma Tcnica Colombiana NTC-ISO/IEC 31000.
Realizar un anlisis y valoracin de los riesgos de seguridad de la informacin en

cuanto al impacto y la probabilidad de ocurrencia para la Superintendencia Nacional
de Salud.
Identificar las medidas de proteccin y remediacin que contribuyan al correcto

tratamiento de los riesgos a travs de una adecuada seleccin y relacin de
controles informados en el Anexo A de la Norma Tcnica Colombiana NTC-ISO/IEC
27001:2013 y los cuales contribuyan al cumplimiento de los objetivos de cada
Proceso y Procedimiento evaluado
2. ALCANCE
La Gua Metodolgica de Anlisis de Riesgos de Seguridad y Privacidad de la

Informacin provee los mecanismos necesarios para identificar, analizar, evaluar y
tratar de manera adecuada los riesgos asociados a los activos de informacin de la
Superintendencia Nacional de Salud.
3. MBITO DE APLICACIN
La presente Gua aplica para el Sistema Integrado de Gestin de la

4. REQUISITOS DE CALIDAD APLICABLE
Est Gua da cumplimiento a los lineamientos establecidos en la Norma NTC-

ISO/IEC 270011
1
Debe tenerse en cuenta el ltimo versionamiento para trabajar
4
INTEGRADO DE GESTIN
5. DEFINICIONES
Los siguientes trminos y definiciones que se encuentran en el presente documento

estn Basados en la Norma NTC-ISO/IEC 27000, ISO 31000, GTC 137 (ISO Gua
73:2009), GTC ISO 27035 y son aplicables al Sistema Integrado de Gestin de la
Para una mejor comprensin de la presente Gua Metodolgica, se toman como

referencia los trminos y definiciones establecidos en la Norma NTC-ISO/IEC
27000, Norma NTC-ISO/IEC 27005, Norma NTC-ISO/IEC 31000 y la Gua Prctica
para la consolidacin del componente de administracin de riesgos ASGU03 del
Proceso de Administracin del Sistema Integrado de Gestin de la
Superintendencia Nacional de Salud:
Aceptacin de riesgo: Decisin informada de asumir un riesgo concreto.

Activo: En relacin con la seguridad de la informacin, se refiere a cualquier
informacin o elemento relacionado con el tratamiento de la misma (sistemas,
soportes, edificios, personas...) que tenga valor para la organizacin.
Amenaza: Causa potencial de un incidente no deseado, que puede provocar daos
a un sistema o a la organizacin.
Anlisis de Riesgo: Proceso para comprender la naturaleza del riesgo y determinar
el nivel de riesgo.
Anlisis de riesgos cualitativo: Anlisis de riesgos en el que se usa algn tipo de
escalas de valoracin para situar la gravedad del impacto y la probabilidad de
ocurrencia.
Anlisis de riesgos cuantitativo: Anlisis de riesgos en funcin de las prdidas
financieras que causara el impacto.
Autenticidad: Propiedad de que una entidad es lo que afirma ser.
Confiabilidad de la Informacin: Garantiza que la fuente de la informacin
generada sea adecuada para sustentar la toma de decisiones y la ejecucin de las
misiones y funciones.
Confidencialidad: Propiedad de la informacin de no ponerse a disposicin o ser
revelada a individuos, entidades o procesos no autorizados. La informacin debe
ser accedida slo por aquellas personas que lo requieran como una necesidad
legtima para la realizacin de sus funciones. La revelacin no autorizada de la
informacin calificada de acuerdo con un nivel de confidencialidad alto, implica un
5
INTEGRADO DE GESTIN
grave impacto en la Superintendencia Nacional de Salud, en trminos econmicos,

de su imagen y ante sus clientes.
Control: Las polticas, los procedimientos, las prcticas y las estructuras
organizativas concebidas para mantener los riesgos de seguridad de la informacin
por debajo del nivel de riesgo asumido. Control es tambin utilizado como sinnimo
de salvaguarda o contramedida. En una definicin ms simple, es una medida que
modifica el riesgo.
Declaracin de aplicabilidad: Documento que enumera los controles aplicados
por el SGSI de la organizacin tras el resultado de los procesos de evaluacin y
tratamiento de riesgos y su justificacin, as como la justificacin de las exclusiones
de controles del anexo A de la norma tcnica NTC-ISO/IEC 27001:2013.
Disponibilidad: Propiedad de la informacin de estar accesible y utilizable cuando
lo requiera una entidad autorizada. La informacin debe estar en el momento y en
el formato que se requiera ahora y en el futuro, al igual que los recursos necesarios
para su uso; la no disponibilidad de la informacin puede resultar en prdidas
financieras, de imagen y/o credibilidad ante los clientes de la Superintendencia
Nacional de Salud.
Evaluacin de riesgos: Proceso global de identificacin, anlisis y estimacin de
riesgos.
Evento de seguridad de la informacin: Presencia identificada de una condicin
de un sistema, servicio o red, que indica una posible violacin de la poltica de
seguridad de la informacin o la falla de las salvaguardas, o una situacin
desconocida previamente que puede ser pertinente a la seguridad.
Gestin de incidentes de seguridad de la informacin: Procesos para detectar,
reportar, evaluar, responder, tratar y aprender de los incidentes de seguridad de la
informacin.
Gestin de riesgos: Actividades coordinadas para dirigir y controlar una
organizacin con respecto al riesgo. Se compone de la evaluacin y el tratamiento
de riesgos.
Impacto: El coste para la empresa de un incidente de la escala que sea, que puede
o no ser medido en trminos estrictamente financieros: prdida de reputacin,
implicaciones legales, etc.
Inventario de Activos: Lista de todos aquellos recursos (fsicos, de informacin,
software, documentos, servicios, personas, intangibles, etc.) dentro del alcance del
SGSI, que tengan valor para la organizacin y necesiten por tanto ser protegidos de
potenciales riesgos.
6
INTEGRADO DE GESTIN
Incidente de seguridad de la informacin: Un evento o serie de eventos de

seguridad de la informacin no deseados o inesperados, que tienen una
probabilidad significativa de comprometer las operaciones del negocio y amenazar
la seguridad de la informacin.
Integridad: Propiedad de la informacin relativa a su exactitud y completitud. La
informacin de la Superintendencia Nacional de Salud debe ser clara y completa, y
solo podr ser modificada por el personal expresamente autorizado para ello. La
falta de integridad de la informacin puede exponer a la empresa a toma de
decisiones incorrectas, lo cual puede ocasionar prdida de imagen o prdidas
econmicas.
Plan de tratamiento de riesgos: Documento que define las acciones para
gestionar los riesgos de seguridad de la informacin inaceptables e implantar los
controles necesarios para proteger la misma.
Probabilidad: Medida para estimar la ocurrencia del riesgo.
Propietario del riesgo: Persona o entidad con responsabilidad y autoridad para
gestionar un riesgo.
Recursos de tratamiento de la informacin: Cualquier sistema, servicio o
infraestructura de tratamiento de informacin o ubicaciones fsicas utilizadas para
su alojamiento.
Responsable de Seguridad Informtica: En la Superintendencia Nacional de
Salud el comit de seguridad de la informacin ser el grupo encargado de realizar
el seguimiento y monitoreo al Subsistema de Gestin de la Seguridad de la
informacin (SGSI).
Riesgo: Posibilidad de que una amenaza concreta pueda explotar una
vulnerabilidad para causar una prdida o dao en un activo de informacin. Suele
considerarse como una combinacin de la probabilidad de un evento y sus
consecuencias.
Riesgo Inherente: Nivel de incertidumbre propio de cada actividad, sin la ejecucin
de ningn control.
Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo.
Seleccin de controles: Proceso de eleccin de las salvaguardas que aseguren la
reduccin de los riesgos a un nivel aceptable.
SGSI: Sistema de Gestin de la Seguridad de la Informacin; para efectos de
entendimiento en la Superintendencia Nacional de Salud, el SGSI hace referencia
al Subsistema de Gestin de Seguridad de la Informacin.
Sistema de Gestin de la Seguridad de la Informacin: Conjunto de elementos
interrelacionados o interactuantes (estructura organizativa, polticas, planificacin
7
INTEGRADO DE GESTIN
de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza

una organizacin para establecer una poltica y unos objetivos de seguridad de la
informacin y alcanzar dichos objetivos, basndose en un enfoque de gestin del
riesgo y de mejora continua.
Seguridad de la Informacin: Preservacin de la confidencialidad, la integridad y
la disponibilidad de la informacin.
Tratamiento de riesgos: Proceso de modificar el riesgo, mediante la
implementacin de controles.
Tratamiento: Cualquier operacin o conjunto de operaciones sobre datos
personales, tales como la recoleccin, almacenamiento, uso, circulacin o
supresin.
Valoracin del riesgo: Proceso de anlisis y evaluacin del riesgo.
Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una
o ms amenazas.
6. VALORACIN DE RIESGOS EN EL CONTEXTO DE LA

SUPERINTENDENCIA NACIONAL DE SALUD ASOCIADOS A LOS ACTIVOS
DE INFORMACIN
6.1. Contexto de la Superintendencia Nacional de Salud
La Superintendencia Nacional de Salud se consolida como un organismo tcnico

con la misin de proteger los derechos en salud de los habitantes del territorio
colombiano mediante mecanismos de Inspeccin, Vigilancia y Control, y ejerciendo
funciones jurisdiccionales y de conciliacin, en busca de la satisfaccin de sus
usuarios y partes interesadas, cumpliendo los requisitos legales y organizacionales
suscritos frente al Sistema Integrado de Gestin, en materia de administracin de
los riesgos institucionales y los de corrupcin.
6.2. Contexto Interno

Servicios:
Proteccin al usuario y participacin ciudadana.
Administracin de Justicia y Resolucin de conflictos dentro del Sistema
General de Seguridad Social en Salud SGSSS.
Vigilancia a sujetos vigilados del Sistema General de Seguridad Social en
Salud SGSSS.
8
INTEGRADO DE GESTIN
Inspeccin a sujetos vigilados del Sistema General de Seguridad Social en

Salud SGSSS.
Control a sujetos vigilados del Sistema General de Seguridad Social en Salud
SGSSS.
Oferta de Productos y Servicios:

Proteccin al usuario y participacin ciudadana: Consiste en todos
aquellos servicios orientados a disear, proponer e implementar estrategias
de promocin y apoyo de la participacin ciudadana, orientar a elaborar y
gestionar respuestas a peticiones, quejas, reclamos, denuncias, reportar
informacin, verificar el cumplimiento a fallos de tutela, mediante anlisis,
clasificacin, interpretacin y aplicacin de acciones conforme a la ley,
seguimiento a las actuaciones frente a las EPS y el envo de respuestas a
las partes interesadas para brindar al ciudadano un servicio de calidad y
satisfacer eficientemente sus necesidades y requerimientos, as como el
diseo, propuesta e implementacin de estrategias de promocin y apoyo de
la participacin ciudadana.
Administracin de Justicia y Resolucin de conflictos dentro del

Sistema General de Seguridad Social en Salud SGSSS-: Fallar en
derecho con las facultades propias de un juez, a travs de las providencias
que acaten las normas sustanciales y procesales que regulan la actividad
jurisdiccional y el Sistema General de Seguridad Social en Salud, a fin de
garantizar el derecho a la salud y Resolucin de Conflictos Derivados de las
Obligaciones del Sistema General de Seguridad Social en Salud.
Vigilancia a sujetos vigilados del Sistema General de Seguridad Social

en Salud SGSSS- corresponde a todos aquellos servicios que se
desprenden de la atribucin que tiene la Superintendencia Nacional de Salud
para advertir, prevenir, orientar, asistir y propender porque las entidades
encargadas del financiamiento, aseguramiento, prestacin del servicio de
salud, atencin al usuario, participacin social y dems sujetos de vigilancia
de la Superintendencia Nacional de Salud, cumplan con las normas que
regulan el Sistema General de Seguridad Social en Salud para el desarrollo
de este.
9
INTEGRADO DE GESTIN
Inspeccin a sujetos vigilados del Sistema General de Seguridad Social

en Salud SGSSS-. es el conjunto de actividades y acciones encaminadas
al seguimiento, monitoreo y evaluacin del Sistema General de Seguridad
Social en Salud y que sirven para solicitar, confirmar y analizar de manera
puntual la informacin que se requiera sobre la situacin de los servicios de
salud y sus recursos, sobre la situacin jurdica, financiera, tcnica-cientfica,
administrativa y econmica de las entidades sometidas a vigilancia de la
Superintendencia Nacional de Salud dentro del mbito de su competencia,
son funciones de inspeccin entre otras las visitas, la revisin de
documentos, el seguimiento de peticiones de inters general o particular y la
prctica de investigaciones administrativas.
Control a sujetos vigilados del Sistema General de Seguridad Social en

Salud SGSSS-: El control consiste en la atribucin de la Superintendencia
Nacional de Salud para ordenar los correctivos tendientes a la superacin de
la situacin crtica o irregular (jurdica, financiera a, econmica, tcnica,
cientfico-administrativa) de cualquiera de sus vigilados y sancionar las
actuaciones que se aparten del ordenamiento legal bien sea por accin o por
omisin.
6.3. Contexto con los Grupos de Inters
Alta Direccin de la Superintendencia Nacional de Salud:

Requisitos en Subsistema de Seguridad de la Informacin: Implementar el
Subsistema de Seguridad de la Informacin para preservar la disponibilidad,
confidencialidad y disponibilidad de la informacin de la Entidad.
Expectativas en Subsistema de Seguridad de la Informacin: Mitigar los
riesgos que puedan afectar la Seguridad de la Informacin de la Entidad, adems
de cumplir con los requerimientos establecidos por el Ministerio de las
Tecnologas de la Informacin y las Comunicaciones en los plazos instaurados.
Funcionarios Pblicos de la SNS:

Requisitos en Subsistema de Seguridad de la Informacin: Mantener
disponible la informacin de la Superintendencia Nacional de Salud para poder
cumplir con las labores asignadas en el menor tiempo posible. De igual manera
proteger la informacin personal de cada funcionario de acuerdo a lo establecido
en la Ley 1581 de 2012.
10
INTEGRADO DE GESTIN
Expectativas en Subsistema de Seguridad de la Informacin: Garantizar la

continuidad de las operaciones de la Superintendencia Nacional de Salud,
mantener la integridad de los datos generados en las operaciones diarias de la
SNS.
Visitantes de la Superintendencia Nacional de Salud:

Requisitos en Subsistema de Seguridad de la Informacin: Dar adecuado
uso a la informacin entregada a la Superintendencia Nacional de Salud para su
tratamiento.
seguridad fsica de las instalaciones de la Superintendencia Nacional de Salud.
Sindicato de la Superintendencia Nacional de Salud:

Requisitos en Subsistema de Seguridad de la Informacin: Dar el adecuado
uso de los datos personales de acuerdo a la ley 1581 de 2012.
Expectativas en Subsistema de Seguridad de la Informacin: Proteger a la
Entidad de los riesgos informticos a los que se ve expuesta, mitigar los impactos
de la ocurrencia de la materializacin de los riesgos.
Habitantes del territorio colombiano:

Requisitos en Subsistema de Seguridad de la Informacin: Dar respuesta a
las PQRD interpuestos a la Superintendencia Nacional de Salud, en los tiempos
adecuados de acuerdo a la normatividad vigente, dar buen uso a los datos
personales, historias clnicas y dems informacin que se suministre para
adelantar un proceso de cualquier ndole ante la SNS.
Expectativas en Subsistema de Seguridad de la Informacin: Asegurar una
adecuada prestacin de los servicios en las instituciones prestadoras de salud.
Proveedores:
Requisitos en Subsistema de Seguridad de la Informacin: Cumplir con los
acuerdos contractuales.
disponibilidad de los sistemas de informacin para poder cumplir con el objeto
contractual estipulado.
Vigilados:
Requisitos en Subsistema de Seguridad de la Informacin: Se haga un
Inspeccin, Vigilancia y Control conforme lo establecido por las normas.
11
INTEGRADO DE GESTIN
Expectativas en Subsistema de Seguridad de la Informacin: Se realicen

auditoras, seguimientos, solicitud de informacin por medio de Circular nica.
Ministerio de Salud y Proteccin Social:

Requisitos en Subsistema de Seguridad de la Informacin: Dar
cumplimiento al Plan Estratgico de la Entidad, a las normas vigentes, al Sistema
de Inspeccin, Vigilancia y Control, a la proteccin de los derechos de los
usuarios en salud, cumplir dems directrices emanadas por el Ministerio.
Expectativas en Subsistema de Seguridad de la Informacin: Entregar
oportunamente los informes de cumplimiento de planes trimestralmente.
Contralora General de la Repblica Control Fiscal:

Requisitos en Subsistema de Seguridad de la Informacin: Cumplimiento a
las normas en el ejercicio del Servicio Pblico, Ley de Contratacin, Ley de
Planeacin, entre otras
Expectativas en Subsistema de Seguridad de la Informacin: Que se formule
y se ejecute una planeacin de manera adecuada, que se adelanten procesos
contractuales, se cumpla a cabalidad con la normativa propia de la
Departamento de Administracin Pblica DAFP:

las normas sobre Recursos Humanos, cumplimiento a las normas de la gestin
administrativa.
Expectativas en Subsistema de Seguridad de la Informacin: Cumplimiento
con las directrices del Comit de Desarrollo Administrativo; elaboracin,
ejecucin y seguimiento a los Planes de accin, establecimiento y Cumplimiento
del Plan de Bienestar y Plan de Capacitacin.
Ministerio de Tecnologas de la Informacin y las Comunicaciones:

cabalidad de los plazos establecidos para la Estrategia Gobierno en Lnea,
especficamente en el componente cuatro Seguridad y Privacidad de la
Informacin
Expectativas en Subsistema de Seguridad de la Informacin: Que se cree
una cultura de Seguridad de la informacin en la Superintendencia Nacional de
12
INTEGRADO DE GESTIN
Salud, de tal manera que cada funcionario sea consciente de la importancia de

la informacin que maneja.
6.4. Comunicacin
A medida que se desarrollan las acciones del proceso de Anlisis de Riesgos de

Seguridad y Privacidad de la Informacin, la comunicacin se realiza para mantener
informada a la direccin, la o las dependencias involucradas con la gestin del
riesgo y el equipo o grupo de trabajo encargado de la implementacin del
Subsistema de Gestin de Seguridad de la Informacin; igualmente recibir
informacin de los procesos y las partes interesadas. De sta manera, se consigue
difundir la informacin necesaria para obtener el consenso de los responsables y
los afectados por las decisiones sobre el tratamiento de los riesgos.
Las acciones de comunicacin son importantes para:

Identificar los riesgos.
Valorar los riesgos en funcin de las consecuencias para el negocio y la
probabilidad de ocurrencia.
Comprender la probabilidad y consecuencias de los riesgos.
Establecer prioridades para el tratamiento de riesgos.
Informar y contribuir a que se involucren las partes interesadas.
Monitorear la efectividad del tratamiento de los riesgos.
Revisar con regularidad el proceso y su monitoreo.
Concienciar a la entidad y a la direccin sobre los riesgos y su forma de
mitigarlos.
6.5. Contexto de Seguridad y Privacidad de la Informacin
La informacin de La Superintendencia Nacional de Salud sin importar el tipo, es

crucial para el desarrollo de su objeto misional, su correcto desempeo dentro de la
poltica pblica y su relacin con el ciudadano, es por ello que debe ser protegida
de cualquier posibilidad de ocurrencia de eventos de riesgo de seguridad de la
informacin y que pudiese significar un impacto indeseado generando una
consecuencia negativa para el normal progreso de las actividades de la entidad.
13
INTEGRADO DE GESTIN
De acuerdo con lo anterior y tomando como referencia el Modelo de Seguridad y

Privacidad de la informacin de MINTIC2 (MSPI), la gestin de riesgos de seguridad
y privacidad de la informacin en La Superintendencia Nacional de Salud utiliza las
buenas prcticas de las Norma Tcnica Colombiana (ISO/IEC 31000, ISO/IEC
27005), la Gua de Riesgos del DAFP3 e integrando con lo que se ha desarrollado
al interior de la entidad para otros modelos de Gestin (por ejemplo MECI 4),
aprovechando el trabajo adelantado en la identificacin de riesgos para ser
complementados con los riesgos de seguridad y privacidad de la informacin.
El Procedimiento (ASPD035) de Administracin de Riesgos de la Superintendencia

Nacional de Salud, tiene como objetivo administrar los riesgos institucionales
mediante la identificacin, clasificacin, evaluacin, valoracin y seguimiento de los
mismos con el fin de prevenir y mitigar los eventos generados por su materializacin;
su alcance inicia con la identificacin del contexto estratgico de la Institucin,
contina con la clasificacin, evaluacin y valoracin, y finaliza con el seguimiento
de la poltica de administracin de riesgos y aplica para todos los procesos y
subsistemas del Sistema Integrado de Gestin.
7. RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN
7.1. Definicin del Riesgo
De acuerdo con la norma NTC-ISO/IEC 27000:2014, se define el riesgo como la

Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para
causar una prdida o dao en un activo de informacin. Suele considerarse como
una combinacin de la probabilidad de un evento y sus consecuencias. De igual
manera el objetivo general de dicha norma es gestionar el riesgo para identificar y
establecer controles efectivos que garanticen la confidencialidad, integridad y
disponibilidad de la informacin de la Superintendencia Nacional de Salud.
De acuerdo con lo anterior y en el marco de la Poltica Nacional de Seguridad

Digital6, la estrategia de administracin de riesgos para el flujo de la informacin en
los procesos de la Superintendencia Nacional de Salud, busca disear una
2
Ministerio de Tecnologas de la Informacin y de las Comunicaciones (MINTIC).
3
Gua para la Administracin del Riesgo del Departamento Administrativo de la Funcin Pblica (DAFP).
4
Modelo Estndar de Control Interno (MECI)
5
Procedimiento de Administracin de Riesgos ASPD03 de la Superintendencia Nacional de Salud
6
Departamento Nacional de Planeacin. CONPES 3854
14
INTEGRADO DE GESTIN
metodologa gil enfocada en la identificacin, gestin y tratamiento de los Riesgos

de Seguridad y Privacidad de la Informacin:
Figura # 1 Riesgos de Seguridad y Privacidad de la Informacin
7.2. Riesgos de Seguridad Digital
Riesgos que resultan de la combinacin de amenazas y vulnerabilidades en el

ambiente digital y dado su naturaleza dinmica incluye tambin aspectos
relacionados con el entorno fsico7. En la tipificacin de dichos riesgos, se
encuentran los siguientes:
a. Fuga o Prdida de la Informacin: Informacin que hace que esta llegue a

personas no autorizadas, sobre la que su responsable pierde el control o el
estado que genera una condicin irreparable en el tratamiento y
procesamiento de la Informacin. Ocurre cuando un sistema de informacin
o proceso diseado para restringir el acceso slo a sujetos autorizados revela
parte de la informacin que procesa o transmite debido a errores en la
ejecucin de los procedimientos de tratamiento, las personas o diseo de los
Sistemas de Informacin.
b. Prdida de la Confidencialidad: Violacin o incidente a la propiedad de la
informacin que impide su divulgacin a individuos, entidades o procesos no
autorizados.
7
Departamento Nacional de Planeacin. CONPES 3854, pg 24.
15
INTEGRADO DE GESTIN
c. Prdida de la Integridad: Prdida de la propiedad de mantener con

exactitud la informacin tal cual fue generada, sin ser manipulada ni alterada
por personas o procesos no autorizados.
d. Prdida de la Disponibilidad: Prdida de la cualidad o condicin de la
informacin de encontrarse a disposicin de quienes deben acceder a ella,
ya sean personas, procesos o aplicaciones.
7.3. Riesgos de Privacidad
Riesgos que afectan a las personas cuyos datos son tratados y que se concreta en
la posible violacin de sus derechos, la prdida de informacin necesaria o el dao
causado por una utilizacin ilcita o fraudulenta de los mismos. Como riesgo
tipificado se cuenta con lo siguiente:
a. Inadecuado Tratamiento de Datos Personales: Uso no adecuado de la

informacin que identifica a las personas, lo que repercute en una violacin
de los derechos constitucionales.
7.4. Incidente de Seguridad de la Informacin
De acuerdo con lo descrito en la norma GTC-ISO/IEC 27035, un incidente de

seguridad de la informacin est definido como Evento o serie de eventos no
deseados o inesperados, que tienen probabilidad significativa de comprometer las
operaciones del negocio y vulnerar la seguridad; por consiguiente, se
representaran en Riesgos de Seguridad y Privacidad de la Informacin.
7.5. Id. Riesgo
Los riesgos sern identificados de acuerdo a las tres iniciales del nombre del
proceso, seguido de la letra R y el nmero consecutivo.
7.6. Factores de Riesgo
Se entiende por factores de riesgo dentro del Subsistema de Seguridad de la

Informacin, aquellos que pueden afectar la confidencialidad, la integridad o la
disponibilidad de la informacin de La Superintendencia Nacional de Salud. Entre
16
INTEGRADO DE GESTIN
los factores de riesgos que se encuentran identificados dentro de la organizacin

estn los siguientes:
Factor de Riesgo Descripcin

Personal de la organizacin que se encuentra relacionado con la
Personas
ejecucin del proceso de forma directa o indirecta.
Conjunto interrelacionado entre s de actividades y tareas necesarias para
Procesos
llevar a cabo el proceso.
Conjunto de herramientas tecnolgicas que intervienen de manera directa
Tecnologa
o indirecta en la ejecucin del proceso.
Conjunto de recursos fsicos que apoyan el funcionamiento de la
Infraestructura
organizacin y de manera especfica el proceso.
Condiciones generadas por agentes externos, las cuales no son
Factores Externos controlables por la empresa y que afectan de manera directa o indirecta
el proceso.
Tabla # 1 Factores de Riesgo asociados al SGSI
8. METODOLOGA DE ANLISIS DE RIESGOS DE SEGURIDAD Y

PRIVACIDAD DE LA INFORMACIN PARA LA SUPERINTENDENCIA
NACIONAL DE SALUD
8.1. Metodologa de Valoracin del Activo y Anlisis de Riesgos de

Seguridad de la Informacin
La Superintendencia Nacional de Salud utiliza una metodologa para valorar los

riesgos de la Seguridad de la Informacin, basado en el Sistema de Gestin de
Riesgos ya establecido en la entidad. La presente Gua Metodolgica y la Matriz de
Valoracin de Activos y Anlisis de Riesgos de Seguridad de la Informacin,
contribuyen al Sistema Integrado de Gestin abarcando los siguientes aspectos:
a. Se identifican los activos de informacin en el flujo de cada proceso, teniendo

en cuenta las Tablas de Retencin Documental, con el objetivo de valorarlos
e identificar los riesgos de seguridad y privacidad de la informacin asociados
a los factores.
En el esfuerzo de valoracin del activo, se consideran los siguientes

aspectos:
17
INTEGRADO DE GESTIN
TIPO DE ACTIVOS DESCRIPCIN
Datos importantes o vitales para la Administracin de la Entidad: Aquellos que son

esenciales, imprescindibles para la continuidad de la entidad; es decir que su carencia o dao
afectara directamente a la entidad, permitira reconstruir las misiones crticas o que sustancian
la naturaleza legal de la organizacin o de sus usuarios.
Datos de carcter personal: Cualquier informacin concerniente a personas fsicas

Activos
identificadas o identificables. Los datos de carcter personal estn regulados por leyes y
Esenciales
reglamentos en cuanto afectan a las libertades pblicas y los derechos fundamentales de las
personas fsicas, y especialmente su intimidad personal y familiar (Ley 1581 de 2012).
Datos Clasificados o Calificados: Aquellos sometidos a normativa especfica de control de

acceso y distribucin o cuya confidencialidad es tipificada por normativa interna o legislacin
nacional (Ley 1712 de 2014).
Que es almacenado en equipos o soportes de informacin (normalmente agrupado como
ficheros o bases de datos) o ser transferido de un lugar a otro por los medios de
transmisin de datos.
Datos /
Informacin Ejemplo: Copias de Respaldo, Ficheros, Datos de Gestin Interna, Datos de Configuracin,
Credenciales (Contraseas), Datos de Validacin de Credenciales (Autenticacin), Datos de
Control de Acceso, Registros de Actividad (Log), Matrices de Roles y Privilegios, Cdigo Fuente,
Cdigo Ejecutable, Datos de Prueba.
Medios fsicos, destinados a soportar directa o indirectamente los servicios que presta la
entidad, siendo depositarios temporales o permanentes de los datos, soporte de
ejecucin de las aplicaciones informticas o responsables del procesado o la transmisin
de datos.
Hardware /
Infraestructura Ejemplo: Servidores (host), Equipos de Escritorio (Pc), Equipos Porttiles (Laptop), Dispositivos
Mviles, Equipos de Respaldo, Perifricos, Dispositivos Criptogrficos, Dispositivos Biomtricos,
Servidores de Impresin, Impresoras, Escneres, Equipos Virtuales (vhost), Soporte de la Red
(Network), Mdems, Concentradores, Conmutadores (switch), Encaminadores (router),
Pasarelas (bridge), Firewall, Central Telefnica, Telefona IP, Access Point.
Que gestionan, analizan y transforman los datos permitiendo la explotacin de la
informacin para la prestacin de los servicios.
Software /
Ejemplo: Desarrollo Inhouse, Desarrollo Subcontratado, Estndar, Navegador, Servidor de
Aplicaciones
Presentacin (www), Servidor de Aplicaciones (app), Cliente de Correo Electrnico, Servidor de
Informticas
Correo Electrnico, Servidor de Ficheros (file), Sistemas de Gestin de Bases de Datos (dbms),
Monitor Transaccional, Ofimtica, Antivirus, Sistema Operativo (OS), Servidor de Terminales,
Sistema de Backup o Respaldo, Gestor de Mquinas Virtuales.
Funciones que permiten suplir una necesidad de los usuarios (del servicio).
Ejemplo: Pgina Web, Correo Electrnico, Acceso Remoto, almacenamiento de ficheros,

Servicios
transferencia de ficheros, intercambio electrnico de datos, Gestin de Identidades (altas y bajas
de usuarios del sistema), Gestin de Privilegios, Intercambio electrnico de datos, PKI
(Infraestructura de Clave Pblica).
Usuarios Internos, Usuarios Externos, Operadores, Administradores de Sistemas,
Personas Administradores de Comunicaciones, Administradores de Bases de Datos, Administradores de
Seguridad, Programadores, Contratistas, Proveedores.
18
INTEGRADO DE GESTIN
TIPO DE ACTIVOS DESCRIPCIN
Dispositivos fsicos electrnicos o no que permiten almacenar informacin de forma

permanente o durante largos periodos de tiempo.
Soportes de
Informacin Ejemplo: Discos, Discos Virtuales, Almacenamiento en Red (san), Memorias USB, CDROM,
DVD, Cinta Magntica (tape), Tarjetas de Memoria, Tarjetas Inteligentes, Material Impreso,
Microfilmaciones.
Instalaciones dedicadas como servicios de comunicaciones contratados a terceros o
medios de transporte de datos de un sitio a otro.
Redes de
Comunicaciones
Ejemplo: Red Telefnica, Red Inalmbrica, Telefona Mvil, Satelital, Red Local (LAN), Red
Metropolitana (MAN), Internet, Radio Comunicaciones, Punto a Punto, ADSL, Red Digital (rdsi).
Esenciales para garantizar el funcionamiento de los mecanismos criptogrficos.
Claves
Ejemplo: Claves de Cifrado, Claves de Firma, Proteccin de Comunicaciones (Claves de Cifrado
Criptogrficas
de Canal), Cifrado de Soportes de Informacin, Certificados Digitales, Certificados de Claves,
Claves de Autenticacin.
Otros equipos que sirven de soporte a los sistemas de informacin, sin estar directamente
relacionados con datos.
Equipos
Auxiliares Ejemplo: Fuentes de alimentacin, generadores elctricos, equipos de climatizacin, sistemas
de alimentacin ininterrumpida (UPS), cableado, cable elctrico, fibra ptica, equipos de
destruccin de soportes de informacin, mobiliarios, armarios, cajas fuertes.
Instalaciones Lugares donde albergan los sistemas de informacin y comunicaciones.
La Valoracin del Activo de Informacin se realiza mediante la identificacin del

impacto para la Superintendencia Nacional de Salud por la prdida de las
propiedades, principios o fundamentos de la Seguridad de la Informacin, teniendo
en cuenta la siguiente tabla de criterios:
Criterio Valor
Crtico =5
Alto =3y<5
Medio =1y<3
Bajo =0y<1
Tabla # 2 Criterios
CONFIDENCIALIDAD: Impacto que tendra para la Superintendencia Nacional de

Salud, la prdida de confidencialidad sobre el activo de informacin, es decir, que
sea conocido por personas no autorizadas:
5. Crtico: Es la existencia de informacin ms crtica (Calificada, Vital o

Esencial) a nivel de prdida de su confidencialidad que cualquier otra y que
por ende debe tener una mayor proteccin. A la informacin (Calificada, Vital
o Esencial) slo pueden tener acceso las personas que expresamente han
sido declaradas usuarios legtimos de esta informacin, y con los privilegios
19
INTEGRADO DE GESTIN
asignados. El conocimiento o divulgacin no autorizada de la informacin que

gestiona este activo impacta negativamente a la SNS.
4. Alto: Es la informacin que es utilizada por los funcionarios de la SNS para
realizar sus labores en los procesos y que no puede ser conocida por terceros
sin autorizacin del propietario del activo. El conocimiento o divulgacin no
autorizada de la informacin que gestiona este activo impacta negativamente
al proceso evaluado y/u otros procesos de la SNS.
3. Medio: Es la informacin que es utilizada por los funcionarios de la SNS
para realizar sus labores en los procesos y que puede ser conocida por
terceros con la autorizacin del propietario del activo. El conocimiento o
divulgacin no autorizada de la informacin que gestiona este activo impacta
negativamente al proceso evaluado y/u otros procesos de la SNS.
2. Bajo: Es la informacin que ha sido calificada como de conocimiento
pblico. Esta informacin puede ser entregada o publicada con ciertas
restricciones dadas por el propietario del activo a los funcionarios o a
cualquier persona sin que implique daos a terceros ni a las actividades y
procesos de la SNS. El conocimiento o divulgacin no autorizada de la
informacin que gestiona este activo no tiene ningn impacto negativo en los
procesos de la SNS.
1. Mnimo: Es la informacin que ha sido calificada como de conocimiento
pblico. Esta informacin puede ser entregada o publicada sin restricciones
a los funcionarios o a cualquier persona sin que implique daos a terceros ni
a las actividades y procesos de la SNS. El conocimiento o divulgacin no
autorizada de la informacin que gestiona este activo no tiene ningn impacto
negativo en los procesos de la SNS.
0. Nulo: Es la informacin que ha sido calificada como de conocimiento
pblico y su divulgacin no implica impacto negativo en los procesos de la
SNS.
INTEGRIDAD: Impacto que tendra la prdida de integridad, es decir, si la exactitud

y estado completo de la informacin y mtodos de procesamiento fueran alterados.
5. Crtico: La prdida de exactitud y estado completo del activo impacta

negativamente la prestacin de servicios de tecnologa y de informacin en
la SNS.
20
INTEGRADO DE GESTIN
4. Alto: La prdida en la exactitud de algn dato o estado del activo impacta

negativamente la prestacin de servicios de tecnologa y de informacin en
la SNS.
3. Medio: La prdida posible de en la exactitud de algn dato o estado
completo del activo puede impactar negativamente al proceso que gestiona
la informacin y/o a otros procesos de la SNS.
2. Bajo: La prdida posible de en la exactitud de algn dato o estado
completo del activo puede tener algn impacto negativo en los procesos de
la SNS.
1. Mnimo: La prdida de exactitud y estado completo activo no tiene ningn
impacto negativo en los procesos de la SNS.
0. Nulo: La prdida de exactitud y estado no genera situacin negativa
alguna en los procesos de la SNS.
DISPONIBILIDAD: Impacto que tendra la prdida de disponibilidad, es decir, si los

usuarios autorizados no tuvieran acceso a los activos de informacin en el momento
que lo requieran.
5. Crtico: La falta o no disponibilidad de la informacin que posea el activo

de informacin o el mismo impacta negativamente la prestacin de servicios
de tecnologa y de informacin en la SNS.
4. Alto: La falta o no disponibilidad parcial de la informacin que posea el
activo de informacin o el mismo impacta negativamente la prestacin de
servicios de tecnologa y de informacin en la SNS.
3. Medio: La falta o no disponibilidad de algn dato que posea el activo de
informacin o el mismo impacta negativamente al proceso que gestiona la
informacin y/o a otros procesos de la SNS.
2. Bajo: La falta o no disponibilidad del activo de informacin en su
componente puede tener algn impacto negativo en los procesos de la SNS.
1. Mnimo: La falta o no disponibilidad del activo de informacin no tiene
ningn impacto negativo en los procesos de la SNS.
0. Nulo: La falta o no disponibilidad de algn dato que posea el activo de
informacin no afecta los procesos de la SNS.
21
INTEGRADO DE GESTIN
b. Se identifican los responsables y dueos de la informacin con base en la

oficina o dependencia productora, as mismo se le asocian a su responsabilidad,
el tratamiento de los riesgos de seguridad identificados.
c. Se consideran los factores de riesgo, las vulnerabilidades de los activos de

informacin, las causas o amenazas que puedan determinar la materializacin
de un evento, su posibles consecuencias o afectacin, relacionndolos con la
identificacin del riesgo de seguridad o privacidad de la informacin. Todo lo
anterior se realiza mediante la documentacin de fuentes como: Entrevistas no
estructuradas con los responsables de los activos y el desarrollo del flujo de la
informacin en el proceso, fuentes estadsticas y tendencias de los riesgos de
seguridad y privacidad, observaciones de expertos y analistas, estudio de los
procedimientos, guas y diagramas de informacin, establecimiento de la
criticidad del activo y su tratamiento por parte de las personas, los procesos y
la tecnologa, gestin de riesgos realizados anteriormente y deteccin de reas
o dependencias sensibles.
d. Se determina la probabilidad de ocurrencia para cada riesgo teniendo en cuenta

los siguientes criterios de valoracin:
NIVEL CONCEPTO DESCRIPCIN FRECUENCIA

Puede que no se haya presentado u ocurrir solo en Nunca o no se ha presentado en
1 Rara Vez
circunstancias excepcionales. los ltimos 5 aos
Al menos una vez en los ltimos 5
2 Improbable Pudo ocurrir en algn momento, es poco comn o frecuente
aos
Al menos una vez en los ltimos 2
3 Posible Puede ocurrir en algn momento
aos
4 Probable Ocurrir en la mayora de las circunstancias. Al menos una vez en el ltimo ao
5 Casi Seguro Se espera que ocurra en la mayora de las circunstancias Ms de una vez al ao
Tabla # 3 Valoracin de la Probabilidad de Ocurrencia
Fuente: Gua prctica para la consolidacin del componente de administracin del riesgo ASGU03 Versin 2.
e. La valoracin del impacto que puede ocasionar a la Superintendencia Nacional

de Salud, la materializacin del Riesgo de Seguridad o Privacidad de la
Informacin, se representa con la descripcin de los siguientes niveles:
SEGURIDAD Y PRIVACIDAD DE
NIVEL CONCEPTO DESCRIPCIN
LA INFORMACIN
Si el hecho llegara a presentarse tendra consecuencias o
1 Insignificante Afecta a una actividad del proceso.
efectos mnimos sobre la organizacin
Afecta a un grupo de trabajo, a una
Si el hecho llegara a presentarse, tendra bajo impacto o
2 Menor persona, grupo de personas o
efecto sobre la organizacin.
algunas actividades del proceso.
22
INTEGRADO DE GESTIN
SEGURIDAD Y PRIVACIDAD DE
NIVEL CONCEPTO DESCRIPCIN
LA INFORMACIN
Si el hecho llegara a presentarse tendra medianas Afecta un conjunto de datos
3 Moderado
consecuencias o efectos sobre la organizacin. personales o el proceso.
Afecta varios conjuntos de datos
Si el hecho llegara a presentarse tendra altas
4 Mayor personales o procesos de la
consecuencias o efectos sobre la organizacin.
organizacin.
Afecta toda la organizacin. Multas
Si el hecho llegara a presentarse tendra desastrosas por incumplimiento de la Legislacin.
5 Catastrfico
consecuencias o efectos sobre la organizacin. Suspensin de las actividades
misionales de la organizacin.
Tabla # 4 Valoracin del Impacto
Con base en la determinacin de la probabilidad y la valoracin del impacto, se

establecen los niveles de riesgos teniendo una clasificacin propia para La
Superintendencia Nacional de Salud:
Dimensin del Riesgo de

Seguridad y Privacidad de la Valor Asignado Accin Requerida
Informacin
Evitar el riesgo empleando controles que busquen reducir el nivel de
Mayor o igual a probabilidad. Reducir el riesgo empleando controles orientados a
Riesgo Extremo
20 minimizar el impacto si el riesgo se materializa. Compartir o transferir
el riesgo mediante la ejecucin de plizas.
Evitar o mitigar el riesgo mediante medidas adecuadas y aprobadas,
Mayor o igual a
Riesgo Alto que permitan llevarlo a la zona de riesgo moderado. Compartir o
15 y menor a 20
transferir el riesgo.
Mayor o igual a Evitar o mitigar el riesgo mediante medidas prontas y adecuadas
Riesgo Moderado
10 y menor a 15 que permitan llevarlo a la zona de riesgo menor. Compartir el riesgo.
Mitigar el riesgo mediante de medidas momentneas y efectivas del
Mayor o igual a 5
Riesgo Menor proceso que permitan prevenirlo o llevarlo a la zona de riesgo bajo.
y menor a 10
Asumir el riesgo.
Menor a 5 y Asumir el riesgo. Mitigar el riesgo con actividades propias del

Riesgo Bajo
mayor a 0 proceso y por medio de acciones detectivas y preventivas.
Tabla # 5 Dimensin de Riesgos
Valoracin del Riesgo: Se considera la probabilidad de que la amenaza

identificada explote la vulnerabilidad y el impacto resultante sobre el activo
evaluado, determina el Riesgo Total interpretado en las siguientes zonas de riesgo
de acuerdo con el siguiente Mapa de Calor:
23
INTEGRADO DE GESTIN
Figura # 2 Mapa de Calor para la Representacin de los niveles de Riesgo por Zonas
En concordancia y alineacin con los Niveles de Riesgos, las acciones requeridas

se complementan en la siguiente tabla:
Zona de Riesgo Asumir el Riesgo: Riesgos para los cuales se determina que el nivel de exposicin es adecuado
Aceptable y por lo tanto se acepta.
Zona de Riesgo Mitigar el Riesgo: Riesgos que se puede permitir gestionar, que en caso de materializacin la
Tolerable entidad se encuentra en la capacidad de asumirlo.
Zona de Riesgo Mitigar o Evitar el Riesgo: Riesgos para los cuales se requiere fortalecer los controles existentes
Moderado y/o agregar nuevos controles.
Zona de Riesgo Mitigar o Evitar el Riesgo: Implementacin de controles adicionales como parte del
Importante fortalecimiento de los actuales o como resultado de haberlo compartido o transferido.
Zona de Riesgo Evitar el Riesgo: Se requiere de acciones inmediatas que permitan reducir la probabilidad y el
Inaceptable impacto de materializacin.
Tabla # 6 Zona de Riesgo
9. MATRIZ DE VALORACIN DE ACTIVOS Y ANLISIS DE RIESGOS DE

SEGURIDAD DE LA INFORMACIN
9.1. Matriz de Riesgos y Seguridad de la Informacin ASFT22
La documentacin del registro de activos de informacin, su valoracin en cuanto a

las dimensiones de Confidencialidad, Integridad, Disponibilidad y el anlisis de
riesgos de seguridad y privacidad de la informacin, se realiza utilizando el formato
Matriz de Valoracin de Activos y Anlisis de Riesgos de Seguridad y Privacidad de
la Informacin, cdigo ASFT22 para lo cual se describe a continuacin, el esquema
de diligenciamiento:
24
INTEGRADO DE GESTIN
Figura # 3 Matriz de Riesgos de Seguridad y Privacidad de la Informacin Encabezado de la Matriz.
Figura # 4 Matriz de Riesgos de Seguridad y Privacidad de la Informacin Registro de Activos.
25
INTEGRADO DE GESTIN
Figura # 5 Matriz de Riesgos de Seguridad y Privacidad de la Informacin Calificacin, Valoracin y Anlisis de

Riesgo para los Activos de Informacin.
Figura # 6 Matriz de Riesgos de Seguridad y Privacidad de la Informacin Valoracin de Riesgos Inherentes y

Riesgos Residuales para los Activos de Informacin.
26
INTEGRADO DE GESTIN
9.2. Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la

Informacin
Con base en el resultado del anlisis de riesgos de seguridad y privacidad de la

informacin y con el fin de gestionar el riesgo residual, se proponen acciones de
mejora los cuales pueden estar en marcha por medio de planes de accin o de
tratamiento con la finalidad de que la informacin siempre conserve las
caractersticas de confidencialidad, integridad y disponibilidad de la misma,
desarrollndose como un proceso de seleccionar e implementar medidas para
modificar el nivel de riesgo.
El Plan de Tratamiento de Riesgos de Seguridad de la Informacin se integra a la

presente Gua Metodolgica y a la Matriz de Valoracin de Activos y Anlisis de
Riesgos de Seguridad de la Informacin, contribuyendo al fortalecimiento de los
mecanismos de Gestin de Riesgos del Sistema Integrado de Gestin de la
La formulacin de actividades de tratamiento de riesgos de seguridad de la

informacin y su aplicacin de acuerdo con la valoracin del riesgo inherente
documentado, buscando integrar la implementacin de la presente Gua
Metodolgica, describiendo a continuacin, el esquema de diligenciamiento:
Figura # 7 Tratamiento de Riesgos de Seguridad y Privacidad de la Informacin Encabezado de la Matriz Plan de

Tratamiento.
27
INTEGRADO DE GESTIN
Figura # 8 Tratamiento de Riesgos de Seguridad y Privacidad de la Informacin Componentes de la Matriz Plan de

Tratamiento.
Figura # 9 Tratamiento de Riesgos de Seguridad y Privacidad de la Informacin Definiciones de Plan de

Tratamiento.
28
INTEGRADO DE GESTIN
10. SEGUIMIENTO, MEDICIN, ANLISIS Y EVALUACIN
La Superintendencia Nacional de Salud evaluar el desempeo del modelo de

gestin de riegos de seguridad y privacidad de la informacin, por medio de un
monitoreo esencial para revisar que las acciones se estn llevando a cabo y evaluar
la eficiencia en su implementacin adelantando verificaciones al menos una vez al
ao o cuando sea necesario, evidenciando todas aquellas situaciones o factores
que pueden estar influyendo en la aplicacin de las acciones de tratamiento.
El monitoreo anual o en el momento que se determine, debe estar a cargo de los

responsables de los procesos, la Oficina de Control Interno y la Oficina de
Tecnologas de la Informacin, aplicando y sugiriendo los correctivos y ajustes
necesarios para propender por un efectivo manejo del riesgo de seguridad y
privacidad de la informacin.8
11. REFERENCIAS BIBLIOGRFICAS

AS/NZS 4360:1999 Estndar Australiano Administracin de Riesgos.
DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA, Gua para la
Administracin del Riesgo del Departamento Administrativo de la Funcin Pblica
(DAFP). Disponible en web www.dafp.gov.co.
DEPARTAMENTO NACIONAL DE PLANEACIN, Poltica Nacional de Seguridad
Digital CONPES 3854. Disponible en web www.dnp.gov.co
NTC-ISO/IEC 27000:2014, Tecnologa de la Informacin. Tcnicas de Seguridad
Sistemas de gestin de seguridad de informacin. Descripcin y vocabulario.
ICONTEC, NTC-ISO/IEC 27001:2013, Tecnologa de la Informacin. Tcnicas de
Seguridad. Sistemas de Gestin de la Seguridad de la Informacin. Requisitos.
NTC-ISO/IEC 27005:2011, Tecnologa de la Informacin. Tcnicas de Seguridad.
Administracin de Riesgos de Seguridad de la Informacin.
ICONTEC, NTC-ISO/IEC 31000. La gestin de riesgos, principios y directrices.
ICONTEC, NTC-ISO/IEC Gua 73:2009 Gestin del Riesgo. Vocabulario.
ICONTEC, NTC 5254 Gestin del Riesgo.
8
Procedimiento de Administracin de Riesgos ASPD03 de la Superintendencia Nacional de Salud,
29
INTEGRADO DE GESTIN
CONTROL DE CAMBIOS
ASPECTOS
RESPONSABL
QUE FECHA DEL
DETALLES DE LOS CAMBIOS E DE LA
CAMBIARON CAMBIO VERSIN
EFECTUADOS SOLICITUD
EN EL DD/MM/AAAA
DEL CAMBIO
DOCUMENTO
Se aprob el presente documento, Jefe Oficina de
Adopcin del
mediante memorando 3-2016- Tecnologas de 29/06/2016 1
documento
012489 la Informacin
Se agrega acciones que se
debern realizar como parte del
tratamiento del riesgo mediante Jefe de la
Ajuste del requerimiento NURC:3-2016- Oficina de
21/10/2016 2
documento 019200 Tecnologas de
la Informacin
Se aprueba el cambio mediante
NURC: 3-2016-019444
Se ajusta la metodologa de
anlisis, agregando conceptos
que permiten tipificar los riesgos
de seguridad y privacidad, se
incluye la valoracin de controles
Jefe de la
existentes para la reduccin o
Ajuste del Oficina de
mitigacin del riesgo inherente y 14/03/2017 3
documento Tecnologas de
se ajustan las acciones de
la Informacin
implementacin de actividades de
tratamiento del riesgo.
Se aprueba el cambio mediante

NURC: 3-2017-004043
Mediante memorando NURC: 3-
2017-003334, se solicita agregar Jefe de la
Ajuste del conceptos, se incluye la Oficina de
14/03/2017 4
documento valoracin de controles existentes Tecnologas de
para la reduccin o mitigacin del la Informacin
riesgo inherente y se ajustan las
30
INTEGRADO DE GESTIN
acciones de implementacin de
actividades de tratamiento del
riesgo.
Se aprueba mediante NURC: 3-

2017-004043
Mediante memorando 3-2017-
014038, se solicita agregar
conceptos definidos sobre las
calificaciones de los activos de
informacin a nivel de
Confidencialidad, Integridad y
Disponibilidad, as como las
definiciones de los campos de la
Matriz ASFT22 para una mejor Jefe de la
Ajuste del interpretacin de la misma. Oficina de
25/09/2017 5
documento Se agreg el numeral 7.5. Id. Tecnologas de
Riesgo, en donde se indica que se la Informacin
enumera con las tres iniciales del
nombre del proceso y seguido de
una letra R ms el nmero que lo
identifica.
Mediante memorando 3-2017-

014754 se aprueba el presente
documento.
31

ASGU05

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

ASGU05

Загружено:

Авторское право:

Доступные форматы

ADMINISTRACIN DEL SISTEMA

PROCESO CDIGO ASGU05

GUA METODOLGICA DE ANLISIS DE RIESGOS

ELABOR: REVIS: APROB:

9. MATRIZ DE VALORACIN DE ACTIVOS Y ANLISIS DE RIESGOS DE

Definir la metodologa de gestin de riesgos de seguridad y privacidad de la

Realizar un anlisis y valoracin de los riesgos de seguridad de la informacin en

Identificar las medidas de proteccin y remediacin que contribuyan al correcto

La Gua Metodolgica de Anlisis de Riesgos de Seguridad y Privacidad de la

La presente Gua aplica para el Sistema Integrado de Gestin de la

4. REQUISITOS DE CALIDAD APLICABLE

Est Gua da cumplimiento a los lineamientos establecidos en la Norma NTC-

Los siguientes trminos y definiciones que se encuentran en el presente documento

Para una mejor comprensin de la presente Gua Metodolgica, se toman como

Aceptacin de riesgo: Decisin informada de asumir un riesgo concreto.

grave impacto en la Superintendencia Nacional de Salud, en trminos econmicos,

Incidente de seguridad de la informacin: Un evento o serie de eventos de

de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza

6. VALORACIN DE RIESGOS EN EL CONTEXTO DE LA

6.1. Contexto de la Superintendencia Nacional de Salud

La Superintendencia Nacional de Salud se consolida como un organismo tcnico

6.2. Contexto Interno

Inspeccin a sujetos vigilados del Sistema General de Seguridad Social en

Oferta de Productos y Servicios:

Administracin de Justicia y Resolucin de conflictos dentro del

Vigilancia a sujetos vigilados del Sistema General de Seguridad Social

Inspeccin a sujetos vigilados del Sistema General de Seguridad Social

Control a sujetos vigilados del Sistema General de Seguridad Social en

6.3. Contexto con los Grupos de Inters

Alta Direccin de la Superintendencia Nacional de Salud:

Funcionarios Pblicos de la SNS:

Expectativas en Subsistema de Seguridad de la Informacin: Garantizar la

Visitantes de la Superintendencia Nacional de Salud:

Sindicato de la Superintendencia Nacional de Salud:

Habitantes del territorio colombiano:

Expectativas en Subsistema de Seguridad de la Informacin: Se realicen

Ministerio de Salud y Proteccin Social:

Contralora General de la Repblica Control Fiscal:

Departamento de Administracin Pblica DAFP:

Ministerio de Tecnologas de la Informacin y las Comunicaciones:

Salud, de tal manera que cada funcionario sea consciente de la importancia de

A medida que se desarrollan las acciones del proceso de Anlisis de Riesgos de

Las acciones de comunicacin son importantes para:

6.5. Contexto de Seguridad y Privacidad de la Informacin

La informacin de La Superintendencia Nacional de Salud sin importar el tipo, es

De acuerdo con lo anterior y tomando como referencia el Modelo de Seguridad y

El Procedimiento (ASPD035) de Administracin de Riesgos de la Superintendencia

7. RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIN

7.1. Definicin del Riesgo

De acuerdo con la norma NTC-ISO/IEC 27000:2014, se define el riesgo como la

De acuerdo con lo anterior y en el marco de la Poltica Nacional de Seguridad

metodologa gil enfocada en la identificacin, gestin y tratamiento de los Riesgos

Figura # 1 Riesgos de Seguridad y Privacidad de la Informacin

7.2. Riesgos de Seguridad Digital

Riesgos que resultan de la combinacin de amenazas y vulnerabilidades en el

a. Fuga o Prdida de la Informacin: Informacin que hace que esta llegue a

c. Prdida de la Integridad: Prdida de la propiedad de mantener con

7.3. Riesgos de Privacidad

a. Inadecuado Tratamiento de Datos Personales: Uso no adecuado de la

7.4. Incidente de Seguridad de la Informacin

De acuerdo con lo descrito en la norma GTC-ISO/IEC 27035, un incidente de

7.5. Id. Riesgo

7.6. Factores de Riesgo

Se entiende por factores de riesgo dentro del Subsistema de Seguridad de la