TITULO

METODOLOGA DE GESTIN DE
RIESGOS

CODIGO

SGSI-M01

METODOLOGIA DE GESTIN DE RIESGOS

SGSI-M01

RESPONSABILIDAD Y AUTORIDAD

FECHA

REVISADO POR:
Claudia Paez
Coordinadora del
Integral

15/10/14

APROBADO POR:
Leida Ramirez
Subgerente General

VERSION No. 04

Sistema

de

Gestin

FIRMA

15/10/14

VIGENTE DESDE EL 15 DE OCTUBRE DE 2014

PGINA 1 DE 16

TITULO

METODOLOGA DE GESTIN DE
RIESGOS

CODIGO

SGSI-M01

1. TABLA DE MODIFICACIONES
En este documento se realizaron cambios. Por favor lalos y aplquelos.
Verifique que est utilizando la ltima Versin correspondiente a la ltima revisin.

N VERSIN
MODIFIC.

FECHA MODIFIC.

Marzo/2008

Junio/2008

Junio/2009

Junio/2009

VERSION No. 04

Julio/2011

Octubre / 2014

MODIFICACIONES
Ajuste de la metodologa de acuerdo a las
necesidades de la compaa.
Ajuste a la metodologa teniendo en cuenta los
criterios
de
confidencialidad,
integridad
y
disponibilidad de la informacin.
Eliminacin de la tabla de registros.
Detallar el alcance de la metodologa.
Se detallan cada una de las etapas para el anlisis
de riesgos que se realiza en la compaa.
Actualizar la figura 4. Matriz de Riesgos
Se mantiene la versin del documento.
Actualizar logo de grupo empresarial, se actualiza
el nombre, objeto y alcance del documento.
Actualizar las actividades de desarrollo de la
gestin de riesgos.
Incluir los criterios de valoracin para la gestin de
riesgos.

VIGENTE DESDE EL 15 DE OCTUBRE DE 2014

PGINA 2 DE 16

TITULO

METODOLOGA DE GESTIN DE
RIESGOS

CODIGO

SGSI-M01

TABLA DE CONTENIDO

1.
2.
3.
4.
5.
6.
7.

TABLA DE MODIFICACIONES .......................................................................... 2

OBJETIVO ............................................................................................................. 4
ALCANCE .............................................................................................................. 4
DOCUMENTOS PARA CONSULTA ................................................................. 4
DEFINICIONES ..................................................................................................... 4
GENERALIDADES ............................................................................................... 5
ANALISIS DE RIESGOS ..................................................................................... 6

VERSION No. 04

VIGENTE DESDE EL 15 DE OCTUBRE DE 2014

PGINA 3 DE 16

TITULO

METODOLOGA DE GESTIN DE
RIESGOS

CODIGO

SGSI-M01

2. OBJETIVO
Esta metodologa tiene como finalidad gestionar los riesgos de seguridad de la
informacin asociados con la prdida de confidencialidad, integridad y disponibilidad de
la informacin del grupo empresarial y que puedan afectar la operacin de la empresa.
3. ALCANCE
Inicia con la identificacin de los activos de informacin de la compaa y sus propietarios,
contina con identificacin y valoracin de los riesgos de seguridad de la informacin, los
cuales permiten determinar los diferentes niveles de riesgos asociados a los activos de
informacin y finaliza con la definicin e implementacin de un plan de tratamiento de
riesgos. Aplicable a todos los procesos que intervengan en el manejo de la informacin de
la organizacin.
4. DOCUMENTOS PARA CONSULTA
Norma Tcnica NTC-ISO/IEC 27001-2013 tem 6.1.2,6.13,8.3
Norma Tcnica NTC-ISO/IEC 27001 Anexo A.
5. DEFINICIONES

Consecuencias: Es el resultado de un evento que puede estar en desventaja o en

aumento. Esto puede estar en un rango de posibilidades asociadas con un
evento.

Propietario del Control: Es el encargado o lder del equipo o miembro del equipo
que tiene la responsabilidad primaria, de asegurarse que el control del riesgo es y
sigue siendo eficaz. Un dueo del control es normalmente lder de un equipo o el
miembro del equipo con quien trabaja.

Propietario del activo: el trmino propietario identifica a un individuo o entidad

que tiene la responsabilidad, designada por la gerencia, de controlar la produccin
desarrollo, mantenimiento, uso y seguridad de los activos. El trmino propietario
no quiere decir que la persona realmente tenga algn derecho de propiedad sobre
el activo.

Anlisis de Riesgos: Proceso sistemtico para estimar la magnitud de los riesgos

a que esta expuesta una Organizacin.

VERSION No. 04

VIGENTE DESDE EL 15 DE OCTUBRE DE 2014

PGINA 4 DE 16

TITULO

METODOLOGA DE GESTIN DE
RIESGOS

CODIGO

SGSI-M01

Ataque: Cualquier accin deliberada encaminada a violar los controles o los

mecanismos de seguridad de un sistema de informacin seguridad de la
informacin.

Confidencialidad: Aseguramiento de que la informacin es accesible slo para

aquellos autorizados a tener acceso.

Frecuencia: Tasa de ocurrencia de una amenaza.

Gestin de riesgos: Seleccin e implantacin de salvaguardas para conocer,

prevenir, impedir, reducir o controlar los riesgos identificados.

Impacto: Consecuencia que sobre un activo tiene la materializacin de una

amenaza.

Incidente: Evento con consecuencias en detrimento de la seguridad del sistema

de informacin.

Integridad: Garanta de la exactitud y completitud de la informacin y los mtodos

de su procesamiento.

Riesgo: Estimacin del grado de exposicin a que una amenaza se materialice

sobre uno o ms activos causando daos o perjuicios a la Organizacin.

Riesgo residual: Riesgo remanente en el sistema tras la implantacin de las

salvaguardas determinadas en el plan de seguridad de la informacin.

Trazabilidad: Aseguramiento de que en todo momento se podr determinar quin

hizo qu y en qu momento.

6. GENERALIDADES

La gestin de riesgos permite determinar como es, cuanto vale y como estn protegidos
los activos de informacin. En coordinacin con los objetivos, estrategias y polticas
corporativas de la organizacin, las actividades a realizar en la gestin de riesgos, permite
elaborar planes de mitigacin, que satisface los objetivos propuestos, con el nivel de
riesgo que se puede aceptar asumir por la Alta Direccin.
El Objetivo de un anlisis de riesgos es identificar y analizar los diferentes factores de
riesgo que potencialmente podrn afectar a las actividades que queremos proteger en la
compaa. La evaluacin de riesgos supone imaginarse lo que puede ir mal y a
continuacin estimar el impacto que supondra para la organizacin. Se ha de tener en
cuenta la probabilidad de que sucedan cada uno de los problemas posibles. De esta
VERSION No. 04

VIGENTE DESDE EL 15 DE OCTUBRE DE 2014

PGINA 5 DE 16

TITULO

METODOLOGA DE GESTIN DE
RIESGOS

CODIGO

SGSI-M01

forma se pueden priorizar los problemas y su costo potencial desarrollando un plan de

accin adecuado. A continuacin se presenta un esquema general del anlisis de riesgos
que realiza la compaa.

Figura 1. Esquema anlisis de riesgos.

La organizacin debe realizar el proceso de valoracin y gestin de riesgos por lo menos

una vez al ao, sin embargo esta frecuencia puede variar por cambios en la
infraestructura, ingreso de nuevos proyectos, solicitud del cliente o criticidad de las
actividades desarrolladas.
7. ANALISIS DE RIESGOS
Para realizar el anlisis de riesgos se han establecido los siguientes pasos:
7.1 Identificacin de Activos
Determinar los activos relevantes para la organizacin, su propietario y su valor en
trminos de su confidencialidad, integridad y disponibilidad.
Se denominan activos los recursos del sistema de informacin o relacionados con ste,
necesarios para que la organizacin funcione correctamente y alcance los objetivos
propuestos por su direccin.
El activo esencial es la informacin que maneja el sistema; es decir los datos. Y alrededor
de estos datos se pueden identificar otros activos relevantes:

VERSION No. 04

VIGENTE DESDE EL 15 DE OCTUBRE DE 2014

PGINA 6 DE 16

TITULO

METODOLOGA DE GESTIN DE
RIESGOS

CODIGO

SGSI-M01

Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se
necesitan para poder gestionar dichos datos.
Las aplicaciones informticas (software) que permiten manejar los datos.
Los equipos informticos (hardware) y que permiten hospedar datos, aplicaciones y
servicios.
Los soportes de informacin que son dispositivos de almacenamiento de datos.
El equipamiento auxiliar que complementa el material informtico.
Las redes de comunicaciones que permiten intercambiar datos.
Las instalaciones que acogen equipos informticos y de comunicaciones.
Las personas que explotan u operan todos los elementos anteriormente citados.

7.2 Valoracin del Impacto de los Activos

Los incidentes causan un impacto dentro de la organizacin, que tambin deber tomarse
en cuenta a la hora de calcular los riesgos. La valoracin del impacto puede realizarse de
forma cuantitativa, estimando las prdidas econmicas, o de forma cualitativa, asignando
un valor dentro de una escala (por ejemplo: alto, medio, bajo). Por ejemplo, el robo de
informacin confidencial de la compaa puede causar un impacto alto si sta cae en
malas manos.

IMPACTO = CONFIDENCIALIDAD X DISPONIBILIDAD X INTEGRIDAD

Se debe realizar el anlisis de las amenazas y de las vulnerabilidades segn el impacto y
la probabilidad para cada activo de informacin en su confidencialidad, integridad y
disponibilidad. Este anlisis arrojar un valor (alto, medio o bajo) donde se estima que tan
probable es que estas amenazas y estas vulnerabilidades afecten a los activos de
informacin.
7.3 Identificacin de Riesgos de Seguridad de la Informacin
7.3.1

Identificacin de amenazas

El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo.
Las amenazas son cosas que ocurren. Y, de todo lo que puede ocurrir, interesa lo que
puede pasarle a nuestros activos y causar un dao.
Hay accidentes naturales (terremotos, inundaciones,) y desastres industriales
(contaminacin, fallos elctricos) ante los cuales el sistema de informacin es vctima
pasiva; pero no por ser pasivos hay que permanecer indefensos. Hay amenazas
causadas por las personas, bien errores, bien ataques intencionados. La siguiente
ilustracin clasifica las distintas amenazas a los sistemas.

VERSION No. 04

VIGENTE DESDE EL 15 DE OCTUBRE DE 2014

PGINA 7 DE 16

TITULO

METODOLOGA DE GESTIN DE
RIESGOS

CODIGO

SGSI-M01

Figura 2. Clasificacin general de amenazas

7.3.2

Identificar Vulnerabilidades

Las vulnerabilidades son debilidades que pueden ser explotadas para convertir una
amenaza en un riesgo real que puede causar daos graves en la compaa. Las
vulnerabilidades en s mismas no causan dao alguno, sino que es una condicin o un
conjunto de condiciones que pueden permitir a una amenaza afectar a un activo.
Para identificar las vulnerabilidades que pueden afectar a una compaa debemos
responder a la pregunta: Cmo puede ocurrir una amenaza?
Para responder a esta pregunta ponemos como objetivo la amenaza y definimos las
distintas situaciones por las que puede ocurrir la misma, evaluando si dentro de la
compaa puede darse esa circunstancia; es decir, si el nivel de proteccin es suficiente
para evitar que se materialice la amenaza.
7.4 Anlisis y Evaluacin del riesgo
Riesgo es la posibilidad de que se produzca un impacto determinado en la organizacin.
El riesgo calculado es simplemente un indicador ligado al par de valores calculados de
vulnerabilidad y el impacto, ambos ligados a su vez de la relacin entre el activo y la
amenaza a la que el riesgo calculado se refiere. El riesgo suele expresarse en trminos
cualitativos (Alto, Medio, Bajo).
PROBABILIDAD = QUE TAN PROBABLE ES QUE UNA AMENAZA
APROVECHE UNA VULNERABILIDAD PARA CAUSAR UN DAO.

Cuanto ms baja sea la probabilidad de ocurrencia (no existan vulnerabilidades) y el

impacto sobre la compaa sea tambin bajo, estaremos en un nivel de riesgo bajo.

VERSION No. 04

VIGENTE DESDE EL 15 DE OCTUBRE DE 2014

PGINA 8 DE 16

TITULO

METODOLOGA DE GESTIN DE
RIESGOS

CODIGO

SGSI-M01

RIESGO = PROBABILIDAD X IMPACTO

7.5 Determinar los niveles de riesgo
Una vez efectuado el clculo del riesgo por cada activo de informacin, en relacin con
los riesgos de seguridad, se debe determinar cules son aquellos riesgos ms
significativos. Para realizar esta evaluacin se deben determinar los criterios y niveles de
riesgos aceptables para la compaa. En tal sentido a continuacin se describen los
criterios y niveles de riesgo aceptables para la organizacin.
NIVEL DE ACEPTACIN DEL RIESGO
INSIGNIFICANTE

ES UN RIESGO ACEPTABLE PARA LA ORGANIZACIN

CONSIDERABLE

ES UN RIESGO QUE SE ACEPTA CON ALGUN TIPO

DE INTERVENCIN

IMPORTANTE

ES UN RIESGO INACEPTABLE PARA

LAORGANIZACIN

7.6 Determinar el tratamiento del riesgo

Una vez efectuados el anlisis y la evaluacin del riesgo, se determinan las opciones para
el tratamiento del riesgo. Para decidir que opcin de tratamiento del riesgo, se toman en
cuenta factores como: El posible impacto si el riesgo se pone de manifiesto y que tan
frecuente puede suceder, en tal sentido las opciones de tratamiento de riesgo
implementadas en la compaa son.

Reduccin del riesgo: La organizacin decide prevenir y/o reducir el riesgo. Si el

riesgo no se puede evitar porque crea grandes dificultades operacionales, el
siguiente paso es reducirlo al ms bajo nivel posible, el cual debe ser compatible
con las actividades de las reas. Se consigue mediante la optimizacin de los
procedimientos y la implementacin de controles.
Se han implementado controles apropiados para todos los riesgos que se
determin que es posible reducir la posibilidad que la vulnerabilidad sea explotada
por la amenaza. De esta forma, cada amenaza y vulnerabilidad tiene asociados
unos controles de norma y operativos.

Transferencia del riesgo: Es una opcin cuando para la compaa es difcil

reducir o controlar el riesgo a un nivel aceptable. La alternativa de una de
transferencia a una tercera parte es ms econmica ante determinadas
circunstancias. En tal sentido para los riesgos como robos, incendios,

VERSION No. 04

VIGENTE DESDE EL 15 DE OCTUBRE DE 2014

PGINA 9 DE 16

TITULO

METODOLOGA DE GESTIN DE
RIESGOS

CODIGO

SGSI-M01

inundaciones y terremotos, la compaa cuenta con una pliza multiriesgo que nos
cubre econmicamente frente a la probabilidad de materializacin de estos
riesgos.

Aceptar Objetivamente el Riesgo: En la cual la Compaa no encuentra

controles para reducir el riesgo, o la implementacin de los controles tiene un
costo mayor que las consecuencias del riesgo.

Evitar el riesgo: Son acciones orientadas a cambiar las actividades, o la manera

de realizar una actividad en particular; el riesgo puede evitarse por ejemplo no
desarrollando ciertas actividades comerciales como no utilizar internet, mover los
activos de un rea de riesgo, decidir no procesar informacin particularmente
sensible.
7.6.1

Evaluar Contramedidas

Para reducir riesgos se utilizan los denominados controles o medidas de seguridad y sus
objetivos. Podemos clasificar los controles en:
Controles preventivos: Identifican potenciales problemas antes de que ocurran.
Previenen errores, omisiones o actos maliciosos.
Ejemplos:
-

Realizar copias de seguridad de los archivos.

Contratar seguros para los activos.
Establecer procedimientos / polticas de seguridad.
Establecer control de acceso a la informacin.
Establecer control de acceso fsico.

Controles detectivos: Identifican y reportan la ocurrencia de un error, omisin o acto

malicioso ocurrido.
Ejemplos:
-

Monitorizacin de eventos.
Auditoras internas.
Revisiones peridicas de procesos.
Sensores de humo.
Deteccin de virus (Antivirus).

Controles Correctivos
-

Minimizan el impacto de una amenaza.

VERSION No. 04

VIGENTE DESDE EL 15 DE OCTUBRE DE 2014

PGINA 10 DE 16

TITULO

METODOLOGA DE GESTIN DE
RIESGOS

CODIGO

SGSI-M01

Solucionan errores detectados por controles detectivos.

Identifican la causa de los problemas con el objeto de corregir errores producidos.
Modifican los procedimientos para minimizar futuras ocurrencias del problema.

Ejemplos:
-

Parches de seguridad.
Correccin de daos por virus.
Recuperacin de datos perdidos.

Las medidas seleccionadas para mitigar riesgos deben mantener una proporcin entre el
esfuerzo y coste necesarios para su implantacin y el riesgo que mitigan (evaluacin del
coste-beneficio). Uno de los objetivos del anlisis de riesgos es evitar en la medida de lo
posible que se produzcan incidente. Por ello, es importante que la compaa conozca sus
riesgos y ponga las medidas adecuadas para corregir el mayor nmero de
vulnerabilidades que puedan provocar un incidente grave.
La gestin de riesgos debe ser peridica y en funcin de la evolucin del negocio
(crecimiento), de cambios importantes en la organizacin (procesos internos), nuevas
obligaciones legales, etc.
7.7

Tratamiento de Riesgos

Con base en los resultados del anlisis de riesgos la alta direccin debe escoger el
tratamiento del riesgo acorde a las necesidades de la orgnizacina, as como proveer los
recursos para la implementacin del plan de tratamiento de riesgos. A continuacin se
presentan algunas etapas del tratamiento de riesgos:

Realizar un plan para el tratamiento del riesgo.

Efectuar el plan de tratamiento de Riesgo con los controles escogidos.
Realizar de nuevo la matriz de Riesgo ya con los controles implementados y
verificar la disminucin del riesgo.
Determinar el Riesgo residual dependiendo de los valores arrojados en la matriz
anterior.

VERSION No. 04

VIGENTE DESDE EL 15 DE OCTUBRE DE 2014

PGINA 11 DE 16

TITULO
CODIGO

METODOLOGA DE GESTIN DE
RIESGOS

SGSI-M01

CRITERIOS DE VALORACIN
Tabla 1. Criterios Valoracin de Seguridad de los Activos
VALORACIN DE SEGURIDAD

CRITERIOS

MUY
BAJO

BAJO

MEDIO

ALTO

MUY
ALTO

CONFIDENCIALIDAD

El conocimiento a divulgacin no
autorizada de la informacin que
gestiona el activo no tiene ningn
impacto en los procesos o la
organizacin.

El conocimiento a divulgacin no
autorizada de la informacin que
gestiona el activo tiene un
impacto bajo en los procesos o la
organizacin.

El conocimiento a divulgacin no
autorizada de la informacin que
gestiona el activo tiene un
impacto moderado en los
procesos o la organizacin.

El conocimiento a divulgacin no
autorizada de la informacin que
gestiona el activo tiene un
impacto alto en los procesos o la
organizacin.

El conocimiento a divulgacin no
autorizada de la informacin que
gestiona el activo
tiene un
impacto alto y negativo en los
procesos o la organizacin.

INTEGRIDAD
La prdida de exactitud y
completitud del activo o la
informacin que gestiona
el activo no genera ningn
impacto en los procesos o
la organizacin.
La prdida de exactitud y
completitud del activo o la
informacin que gestiona
el activo genera un
impacto bajo en los
procesos o la
organizacin.
La prdida de exactitud y
completitud del activo o la
informacin que gestiona
el activo genera un
impacto moderado en los
procesos o la
organizacin.
La prdida de exactitud y
completitud del activo o la
informacin que gestiona
el activo genera un
impacto alto en los
procesos o la
organizacin.
La prdida de exactitud y
completitud del activo o la
informacin que gestiona
el activo
genera un
impacto negativo y muy
alto en los procesos o la
organizacin.

DISPONIBILIDAD
La falta o no disponibilidad del
activo o la informacin que
gestiona el activo no genera
ningn impacto en los
procesos o la organizacin.
La falta o no disponibilidad del
activo o la informacin que
gestiona el activo genera un
impacto bajo en los procesos o
la organizacin.

La falta o no disponibilidad del

activo o la informacin que
gestiona el activo genera un
impacto moderado en los
procesos o la organizacin.

La falta o no disponibilidad del

activo o la informacin que
gestiona el activo genera un
impacto muy alto en los
procesos o la organizacin.
La falta o no disponibilidad del
activo o la informacin que
gestiona el activo genera un
impacto genera un impacto
negativo y muy alto en los
procesos o la organizacin.

Tabla 2. Escala valoracin de Impacto del Activo

VALORES DE IMPACTO DEL ACTIVO
MUY BAJO

1-3

BAJO

4-6

MEDIO

7-9

ALTO

10-12

MUY ALTO

13-15

Tabla 3. Amenazas
VERSION No. 04

VIGENTE DESDE EL 15 DE OCTUBRE DE 2014

PGINA 12 DE 16

TITULO

METODOLOGA DE GESTIN DE
RIESGOS

1
2
3
4
5

CODIGO

SGSI-M01

AMENAZAS
Falla de software
Ingeniera social
Sucesos de origen fsico
Fallas de infraestructura
Dao, perdida , fuga, robo o modificacin de informacin
Tabla 4. Vulnerabilidades

1
2
3

Utilizacin de programas no autorizados / software 'pirateado'

Falta de pruebas de software nuevo con datos productivos

Infeccin de sistemas a travs de unidades portables sin

escaneo

Falta de actualizacin de software (proceso y recursos)

Sabotaje (ataque fsico y electrnico)

Robo / Hurto de informacin electrnica

Intrusin a Red interna

Daos por vandalismo

10

Incendio

11

Inundacin

12

Sismo

13

Sobrecarga elctrica

14

Falla de corriente (apagones)

15

Falta de mantenimiento fsico (proceso, repuestos e insumos)

16

Red cableada expuesta para el acceso no autorizado

17

Falta de mantenimiento

18

Dependencia a servicio tcnico externo

19

Falta de induccin, capacitacin y sensibilizacin sobre

riesgos

20

Renuncia y/o rotacin el personal

21

Infeccin de sistemas a travs de unidades portables sin

escaneo

22
23

VERSION No. 04

VULNERABILIDADES
Mal manejo de sistemas y herramientas

Manejo inadecuado de datos crticos (codificar, borrar, etc.)

Unidades portables con informacin sin cifrado

VIGENTE DESDE EL 15 DE OCTUBRE DE 2014

PGINA 13 DE 16

TITULO

METODOLOGA DE GESTIN DE
RIESGOS

24

Transmisin no cifrada de datos crticos

25

Manejo inadecuado de contraseas (inseguras, no cambiar,

compartidas, BD centralizada)

26

CODIGO

SGSI-M01

Compartir contraseas o permisos a terceros no autorizados

27

Transmisin de contraseas por telfono

28

Exposicin o extravo de equipo, unidades de

almacenamiento, etc

29

Sobrepasar autoridades

30

Falta de definicin de perfil, privilegios y restricciones del

personal

31

Fallas en permisos de usuarios (acceso a archivos)

32

Acceso electrnico no autorizado a sistemas externos

33

Acceso electrnico no autorizado a sistemas internos

34

Red inalmbrica expuesta al acceso no autorizado

35

Falta de mecanismos de verificacin de normas y reglas /

Anlisis inadecuado de datos de control

36

Ausencia de documentacin

37

Falla / dao de hardware

Tabla 5. Valores de Probabilidad

VALORES DE PROBALIDAD
RANGO

ESCALA VALOR

DESCRIPCIN

MUY
BAJO

1-37

La probabilidad de ocurrencia es muy baja, es decir se tiene de un 1% a

10% de que se presente

BAJO

38-74

La probabilidad de ocurrencia es baja, es decir se tiene de un 11% a 30%

de que se presente

MEDIO

75-111

La probabilidad de ocurrencia es moderada, es decir se tiene de un 31% a

65% de que se presente

ALTO

112-148

La probabilidad de ocurrencia es alta, es decir se tiene de un 66% a 85% de

que se presente

MUY
ALTO

149-185

La probabilidad de ocurrencia es muy alta, es decir se tiene de un 86% a

100% de que se presente

VERSION No. 04

VIGENTE DESDE EL 15 DE OCTUBRE DE 2014

PGINA 14 DE 16

TITULO

METODOLOGA DE GESTIN DE
RIESGOS

CODIGO

SGSI-M01

Tabla 6. Valores de Riesgo 1

VALORACIN DEL RIESGO
PROBABILIDAD
IMPACTO

MUY
BAJO

BAJO

MEDIO

ALTO

MUY
ALTO

MUY BAJO

BAJO

10

MEDIO

12

15

ALTO

12

16

20

MUY ALTO

10

15

20

25

Tabla 7. Valores de Riesgo 2

VALORES DE RIESGO
ESCALA
MUY
BAJO
BAJO
MEDI
O
ALTO
MUY
ALTO

VALO
R

NIVEL DE ACEPTACIN DEL RIESGO

1-2

3-6

INSIGNIFICANT
E
INSIGNIFICANT
E

7-9

CONSIDERABL ES UN RIESGO QUE SE ACEPTA CON ALGUN TIPO

E
DE INTERVENCIN

CONSIDERABL ES UN RIESGO QUE SE ACEPTA CON ALGUN TIPO

E
DE INTERVENCIN

1016
1725

IMPORTANTE

ES UN RIESGO ACEPTABLE PARA LA

ORGANIZACIN
ES UN RIESGO ACEPTABLE PARA LA
ORGANIZACIN

ES UN RIESGO INACEPTABLE PARA

LAORGANIZACIN

Tabla 8. Factor de efectividad de los controles

FACTOR DE EFECTIVIDAD DE
LOS CONTROLES

VERSION No. 04

BAJA

MEDIA

ALTA

VIGENTE DESDE EL 15 DE OCTUBRE DE 2014

PGINA 15 DE 16

TITULO

METODOLOGA DE GESTIN DE
RIESGOS

CODIGO

SGSI-M01

CONTROL DE REGISTROS

RESPONSABLE
ARCHIVO

IDENTIFICACION

SGSI-M01-F01
Matriz de Valoracin
de Activos

SGSI-M01-F02
Matriz de Valoracin
de Riesgos

SGSI-M01-F03 Plan
de tratamiento de
riesgos

Declaracin de
Aplicabilidad de
Seguridad de la
Informacin

SGI

SGI

SGI

SGI

VERSION No. 04

UBICACIN

\\EQUIPO05
\Sistemas
de
Gestion\SGI\
PROCESOS
\8. SGSI
\\EQUIPO05
\Sistemas
de
Gestion\SGI\
PROCESOS
\8. SGSI
\\EQUIPO05
\Sistemas
de
Gestion\SGI\
PROCESOS
\8. SGSI
\\EQUIPO05
\Sistemas
de
Gestion\SGI\
PROCESOS
\8. SGSI

ORDENACION
(numerico
Alfabetico
Cronologico)

TIEMPO
RETENCION
A-G

TIEMPO
RETENCIO
N
A-C

DISPONIBILIDAD
DE ACCESO

SOPORTE

Cronolgico

Gerentes de
Transversales
/Proyectos

Digital

2 aos

2 ao

Eliminacin

Cronolgico

Gerentes de
Transversales
/Proyectos

Digital

2 aos

2 ao

Eliminacin

Cronolgico

Gerentes de
Transversales
/Proyectos

Digital

2 aos

2 ao

Eliminacin

Cronolgico

Gerentes de
Transversales
/Proyectos

Digital

2 aos

2 ao

Eliminacin

VIGENTE DESDE EL 15 DE OCTUBRE DE 2014

PGINA 16 DE 16

DISPOSICION
FINAL