PLAN DE TRATAMIENTO DE

RIESGOS 2023

Grupo de Tecnologías de la Información.

27 de enero del 2023.

 Contenido
1. Introducción.......................................................................................................................... 3
2. Términos y Definiciones ....................................................................................................... 3
3. Objetivo ................................................................................................................................ 4
3.1 Objetivo General ................................................................................................................ 4
3.2 Objetivos específicos ......................................................................................................... 4
4. Alcance ................................................................................................................................ 5
5. Metodología ......................................................................................................................... 5
5.1 Resultado valoración de Riesgos de Seguridad de la Información ..................................... 6
5.2 Acciones para el tratamiento de riesgos............................................................................. 6
6. Recomendaciones................................................................................................................ 8
7. Documentos Asociados ........................................................................................................ 8
8. Control de cambios .............................................................................................................. 8

Avenida calle 26 No. 92 - 32, Piso 2 - Edificio Gold 4, Bogotá - Colombia

Línea gratuita de atención: 01 8000 113 200
PBX: (57) 601 552 9696
www.gestiondelriesgo.gov.co
1. Introducción
El objetivo fundamental del Plan de tratamiento de riesgos de Seguridad de la
Información, es evaluar las posibles acciones que se deben tomar para mitigar los riesgos
existentes teniendo en cuenta los criterios de aceptación de riesgos definidos por la
Entidad. Dichas acciones deben ser conocidas, tratadas y ejecutadas por la Entidad de
una forma documentada, sistemática, estructurada y eficiente.

En la medida que se tenga una visión de los riesgos que pueden afectar la seguridad de
la información, la Entidad puede establecer controles y medidas efectivas, viables y
transversales, con el propósito de preservar la disponibilidad, integridad y
confidencialidad de su información, para lo cual es necesario definir los lineamientos que
se deben seguir para el análisis y evaluación de los riesgos de Seguridad de la
Información de la Entidad.

Lo anterior dando cumplimiento a la normativa establecida por el estado colombiano y

adoptando las buenas prácticas y los lineamientos de los estándares ISO/IEC
27001:2013, ISO 31000:2018 y la guía para la administración del riesgo y el diseño de
controles en entidades públicas emitida por el DAFP.

2. Términos y Definiciones
Activo de información: aquello que es de alta validez y que contiene información vital
de la Entidad que debe ser protegida.

Amenaza: es un ente o escenario interno o externo que puede hacer uso de una
vulnerabilidad para generar un perjuicio o impacto negativo en la Entidad (materializar el
riesgo).

Asumir/Aceptar: La entidad acepta el riesgo en relación con sus objetivos, el marco legal
y las disposiciones de la alta dirección y lo asume conociendo los efectos de su posible
materialización

Control o Medida: acciones o mecanismos definidos para prevenir o reducir el impacto

de los eventos que ponen en riesgo, la adecuada ejecución de las actividades y tareas
requeridas para el logro de objetivos de los procesos de una entidad.
Evaluación de riesgo: Proceso de comparar los resultados del análisis de riesgo con los
criterios de riesgo para determinar si el riesgo y / o su magnitud es aceptable o tolerable.
La evaluación de riesgos ayuda en la decisión sobre el tratamiento de riesgos

Impacto: son las consecuencias que genera un riesgo una vez se materialice.

Avenida calle 26 No. 92 - 32, Piso 2 - Edificio Gold 4, Bogotá - Colombia

Línea gratuita de atención: 01 8000 113 200
PBX: (57) 601 552 9696
www.gestiondelriesgo.gov.co
Probabilidad: es la posibilidad de la amenaza aproveche la vulnerabilidad para
materializar el riesgo.

Reducir/Mitigar: El riesgo se trata mediante la transferencia o la implementación de

acciones que mitiguen su nivel. No necesariamente es un control adicional.

Riesgo: es un escenario bajo el cual una amenaza puede explotar una vulnerabilidad
generando un impacto negativo al negocio evitando cumplir con sus objetivos.

Vulnerabilidad: es una falencia o debilidad que puede estar presente en la tecnología,

las personas o en las políticas y procedimientos

Seguridad de la Información: Este principio busca crear condiciones de uso confiable

en el entorno digital, mediante un enfoque basado en la gestión de riesgos, preservando
la confidencialidad, integridad y disponibilidad de la información de las entidades del
Estado, y de los servicios que prestan al ciudadano.

Control: Medida que permite reducir o mitigar un riesgo.

3. Objetivo
3.1 Objetivo General
Detallar el plan de tratamiento de riesgos que hace parte del Sistema de Gestión de
Seguridad de la Información – SGSI de la Unidad Nacional para la Gestión del Riesgo de
Desastres, mediante el cual se definen los controles que permiten mitigar la
materialización de los riesgos de seguridad de la información en la UNGRD.

3.2 Objetivos específicos

 Identificar los riesgos asociados a los procesos y los activos de información que
hacen parte del alcance del SGSI

 Calcular el nivel de riesgo

 Establecer el plan de tratamiento de riesgos

 Realizar seguimiento y control a la eficacia del plan de tratamiento de riesgos

Avenida calle 26 No. 92 - 32, Piso 2 - Edificio Gold 4, Bogotá - Colombia

Línea gratuita de atención: 01 8000 113 200
PBX: (57) 601 552 9696
www.gestiondelriesgo.gov.co
4. Alcance
El Plan de tratamiento de riesgos de seguridad de la información es aplicable a todos los
procesos de la UNGRD, con alcance a los colaboradores de todos los niveles; desde la
identificación de los riesgos de seguridad de la información que se encuentran en los
niveles “Alto” y “Extremo” en la Matriz de riesgos de Seguridad de la Información de la
UNGRD hasta la definición del plan de tratamiento, responsables y fechas de
implementación.

5. Metodología
Teniendo en consideración la GUÍA METODOLÓGICA GESTIÓN DE RIESGOS PARA
SGSI (G-1101-GTI-01) de la entidad, en la definición del Plan de tratamiento de riesgos
de seguridad de la información se realizaron las siguientes actividades en conjunto con
los colaboradores asignados para cada proceso de la entidad:

Identificación de los riesgos residuales: Se identifican los riesgos que están en la zona
del riesgo residual alto o extremo.

Opción de tratamiento: Campo que se calcula automáticamente de acuerdo con la

valoración del riesgo residual, según la zona donde se ubica el riesgo residual, se
determina la opción o estrategia de tratamiento a seguir para combatir el riesgo, para esta
actividad se debe considerar la siguiente tabla:

ZONA DE RIESGO NIVEL DE RIESGO OPCIÓN O ESTRATEGIA DE

RESIDUAL ACEPTABLE TRATAMIENTO A SEGUIR
Bajo Aceptable Asumir/Aceptar
Moderado Aceptable Asumir/Aceptar
Alto No Aceptable Reducir/Mitigar
Extremo No Aceptable Reducir/Mitigar

Acciones de mejora: Es la redacción del control teniendo en cuenta la siguiente

estructura; responsable de la ejecución + acción realizada + complemento.

Control Anexo A de la NTC-ISO-IEC 27001:2013: Seleccionar de la lista desplegable.

Soporte: Registro de la evidencia que deja la implementación de la acción de mejora.

Responsable: Registrar el rol o cargo responsable de implementar la acción de mejora.

Avenida calle 26 No. 92 - 32, Piso 2 - Edificio Gold 4, Bogotá - Colombia

Línea gratuita de atención: 01 8000 113 200
PBX: (57) 601 552 9696
www.gestiondelriesgo.gov.co
Fecha implementación: Periodo de tiempo en el cual se implementará la acción de
mejora.

5.1 Resultado valoración de Riesgos de Seguridad

de la Información
La identificación y valoración de riesgos sobre los activos de información de la entidad se
encuentra detallada en la Matriz de Gestión de Riesgos de Seguridad de la Información
(RG-1101-GTI-04).

A continuación, se discriminan los riesgos de seguridad de la información identificados

por nivel de riesgo residual:

Cantidad de
Nivel del Riesgo Porcentaje%
Riesgos

Bajo 23 63,89%
Moderado 10 27,78%
Alto 1 2,78%
Extremo 2 5,56%
TOTAL 36 100%

Si el riesgo se ubica en una zona no aceptable, cada líder responsable de los riesgos
identificados con el apoyo del Grupo de Tecnologías de la Información, debe definir e
implementar los controles necesarios para llevar el riesgo a un nivel aceptable a través
del plan de tratamiento de riesgos. A continuación, se definen las siguientes estrategias
de tratamiento, asumir los riesgos bajos y moderados y gestionar el riesgo alto y extremo.
A continuación, se muestra la estrategia para abordar los tres (3) riesgos y establecer su
tratamiento:

5.2 Acciones para el tratamiento de riesgos

Los responsables de los activos de información deben contribuir con el seguimiento y
control los riesgos identificados, además de la implementación de las acciones definidas
en el presente plan de tratamiento. Por lo tanto, la estimación y asignación de los recursos
requeridos, corresponderá al responsable del activo.

Avenida calle 26 No. 92 - 32, Piso 2 - Edificio Gold 4, Bogotá - Colombia

Línea gratuita de atención: 01 8000 113 200
PBX: (57) 601 552 9696
www.gestiondelriesgo.gov.co
 IDENTIFICACIÓN DEL RIESGO
PLAN DE TRATAMIENTO
CATEGORIA/TIPO DE VALORACIÓN DEL RIESGO RESIDUAL

CONTROL ANEXO A
DESCRIPCIÓN DEL

IMPLEMENTACION
ZONA DE RIESGO

RESPONSABLE
ID DEL RIESGO

TRATAMIENTO
INFORMACIÓN

ACCIONES DE
NOMBRE DEL

NTC-ISO-IEC
OPCIÓN DE
ACTIVO DE

27001:2013
RESIDUAL
PROCESO

SOPORTE
MEJORA
RIESGO

RIESGO

FECHA
Gestión de Control

A.7.1.1 Selección
Recurso humano

correspondientes
precontractuales
Reducir/Mitigar
Disponibilidad

Ausencia de personal de planta o

Documentos
Disciplinario

Solicitar la contratación de

Extremo
contratistas conlleva a que no se
un abogado con experiencia Operador Primer
37 cumplan con los objetivos del proceso
en derecho disciplinario o disciplinario cuatrimestre
de control disciplinario afines

Registros definidos para las

Grupo de Tecnologías de la

actividades a realizar (listas

formación en la seguridad

de asistencia, grabación,
conciencia, educación y

videos, piezas gráficas,

Fortalecer las
Afectación reputacional y legal por capacitaciones y

de la información
A.7.2.2-Toma de
Líder del

Reducir/Mitigar
Disponibilidad

ataque informático debido a sensibilizaciones al personal Según

Información

Información

proceso y grupo
Extremo
desconocimiento de las políticas para el del proceso en cuanto a la de tecnologías cronograma

etc.)
18 buen uso de los activos de información importancia de seguridad y de la actividades de
(Red, Correo, Internet, Sistemas de el uso adecuado de los información Sensibilización
Información, Chat, Redes Sociales, etc.) activos de información tales (PETI)
por parte de los colaboradores como el drive (repositorio
documental)
Servicio al Ciudadano

Informe de revisiones
Solicitar al Grupo de

derechos de acceso de
A.9.2.5-Revisión de los
Grupo de
Confidencialidad

Reducir/Mitigar

tecnologías de la
tecnologías de la
Software

información la revisión
Posibilidad de abuso de privilegios información y el
Alto

periódica de los controles de Cuatrimestral

31 debido a asignación errada de los Líder del
acceso y privilegios del
mismos. proceso de
personal del proceso y
Servicio al

usuarios
realizar seguimiento a su
ciudadano
cumplimiento

Avenida calle 26 No. 92 - 32, Piso 2 - Edificio Gold 4, Bogotá - Colombia

Línea gratuita de atención: 01 8000 113 200
PBX: (57) 601 552 9696
www.gestiondelriesgo.gov.co
6. Recomendaciones
 Involucrar a los diferentes procesos de la entidad en la identificación, valoración,
control y monitoreo de riesgos de seguridad de la información.

 Realizar seguimiento periódico a los controles y plan de tratamiento según lo

establecido en la metodología y directrices aprobadas para la gestión de riesgos
de seguridad de la información.

 Identificar oportunidades, entendiendo oportunidad como la consecuencia positiva

frente al resultado del tratamiento del Riesgo.

7. Documentos Asociados
 Decreto 612 de 4 de abril de 2018, Por el cual se fijan directrices para la integración
de los planes institucionales y estratégicos al Plan de Acción por parte de las
Entidades del Estado.
 Decreto 1008 de 14 de junio de 2018, Por el cual se establecen los lineamientos
generales de la política de Gobierno Digital.
 Norma Técnica Colombiana NTC/ISO 27001:2013 Sistemas de gestión de la
seguridad de la información.
 RG-1300-SIPG-84 Política de Administración de Riesgos de la UNGRD.
 RG-1101-GTI-04 Matriz de Riesgos de Seguridad de la Información
 G-1101-GTI-01 Guía Metodológica Gestión de Riesgos para SGSI
 Plan de tratamiento de riesgos 2022 UNGRD
 Plan tratamiento de Riesgos de seguridad y privacidad de la información versión 5
2023 - MINTIC

8. Control de cambios
Fecha Versión Descripción del cambio

27/01/2023 1 Elaboración del plan

Elaborado por: Sylvia Ribero Corzo / Contratista GTI

Revisó: Carolina Jiménez Zapata / Coordinadora GTI

Avenida calle 26 No. 92 - 32, Piso 2 - Edificio Gold 4, Bogotá - Colombia

Línea gratuita de atención: 01 8000 113 200
PBX: (57) 601 552 9696
www.gestiondelriesgo.gov.co