instructivo diligenciamiento formato de matriz de … · web viewproceso administraciÓn del...

PROCESO ADMINISTRACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN

CÓDIGO

ASIN01

INSTRUCTIVO

DILIGENCIAMIENTO FORMATO DE MATRIZ DE ANÁLISIS

RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA

INFORMACIÓN

VERSIÓN 1

INSTRUCTIVODiligenciamiento Formato de Matriz de Análisis de Riesgos de Seguridad y

Privacidad de la Información

BOGOTÁ D.C.2018

ELABORÓ:Profesional Oficina de Tecnologías de la InformaciónProfesional de la Oficina Asesora de Planeación

REVISÓ:Jefe Oficina de Tecnologías de la InformaciónJefe Oficina Asesora de Planeación

APROBÓ:Jefe Oficina de Tecnologías de la Información

FECHA: 21/09/2018 FECHA: 25/09/2018 FECHA: 26/09/2018

1


CÓDIGO

ASIN01

INSTRUCTIVO



INFORMACIÓN

VERSIÓN 1

1. OBJETIVO:

Indicar las instrucciones para el adecuado diligenciamiento del formato ASFT22 – Matriz de Análisis de riesgos de seguridad y privacidad de la información, mediante el cual se registran los riesgos de seguridad de la información que se identifiquen en la Superintendencia Nacional de Salud.

2. ALCANCE:

Este instructivo contempla las etapas para el registro de los riesgos de seguridad y privacidad de la información, inicia con la identificación y análisis del riesgo. Continúa con la evaluación de controles y el registro de los planes de tratamiento para mitigar los riesgos identificados. Termina con el seguimiento para verificar el cumplimiento de los planes de tratamiento establecidos.

3. ÁMBITO DE APLICACIÓN

Este instructivo aplica a los procesos estratégicos, misionales, de apoyo y de evaluación y control de la Superintendencia Nacional de Salud, para el diligenciamiento del formato ASFT22 - Matriz de Análisis de Riesgos de Seguridad y Privacidad de la Información.

DILIGENCIAMIENTO DEL FORMATO:

Este documento permite el registro de los riesgos de seguridad y privacidad de la información mediante el formato GGFT02 – Formato Registro de Activos de Información el cual tiene las siguientes secciones, para su debido diligenciamiento:

1. Encabezado:

En esta sección del formato se encuentra identificado el proceso al que pertenece: Administración del Sistema Integrado de Gestión, el nombre del formato: Matriz de Análisis de Riesgos de Seguridad y Privacidad de la Información, el código que lo identifica en el Sistema Integrado de Gestión: ASFT22 y la versión del formato: 5.

2


CÓDIGO

ASIN01

INSTRUCTIVO



INFORMACIÓN

VERSIÓN 1

2. Fecha de Registro de Riesgos:

En esta sección el Líder de proceso o Gestor designado, debe colocar la fecha en que finaliza la identificación y/o actualización de los riesgos de seguridad y privacidad de la información.

3. Fecha de Aprobación de Riesgos:

En esta sección el Profesional del Grupo de Administración y Seguridad de la Información, debe registrar la fecha en que obtiene la aprobación de los riesgos de seguridad y privacidad de la información por parte del Líder de Proceso.

4. Sección 1 - Información del Proceso:

En esta sección se debe seleccionar la información relacionada con el proceso al que se le identificarán los riesgos de seguridad y privacidad de la información, está conformada por un número consecutivo, listas dependientes del tipo de proceso, es decir, únicamente se puede seleccionar el macroproceso y el proceso si se tiene previamente seleccionado el tipo de proceso al que pertenece de acuerdo con el mapa de procesos formalmente establecidos en la Entidad, mediante la resolución 4086 de 2014 modificada por la resolución 1809 de 2015 y resolución 2189 de 2016. Adicionalmente se debe registrar el objetivo del proceso de acuerdo con lo descrito en la caracterización del mismo.

3


CÓDIGO

ASIN01

INSTRUCTIVO



INFORMACIÓN

VERSIÓN 1

4.1. Consecutivo

Registre un número consecutivo para la cantidad de riesgos de seguridad y privacidad de la información identificados en el proceso.

4.2. Tipo de Proceso

Tipo de Proceso Macroproceso Proceso

Estratégico

Mejoramiento ContinuoAdministración del Sistema Integrado de GestiónPlanes de Mejoramiento

Direccionamiento Estratégico

Formulación Implementación y Evaluación de las Políticas InstitucionalesFormulación Implementación y Evaluación de Planes y ProgramasFormulación Implementación y Evaluación de Estudios y ProyectosDiseño e Implementación de Políticas Metodologías e Instrumentos para la Inspección Vigilancia Y ControlGobierno y Gestión de la Información

Gestión de las Comunicaciones Públicas y Estratégicas

Comunicación InformativaComunicación Organizacional

Misional

Protección al Usuario y Participación Ciudadana

Gestión de la Participación Ciudadana en las Instituciones del Sistema General de Seguridad Social en SaludGestión de Atención al Usuario del Sistema General de Seguridad Social en Salud

Inspección a Sujetos Vigilados del SGSSS

Auditoría a los Sujetos VigiladosIdentificación y Seguimiento de Liquidaciones Voluntarias

Vigilancia a Sujetos Vigilados del SGSSS

Supervisión a los Sujetos Vigilados de la Superintendencia Nacional de SaludEvaluación Integral de Riesgos de Sujetos Vigilados

Control a Sujetos Vigilados del SGSSS

Evaluación y Aprobación de Acuerdos de Reestructuración de PasivosAdopción y Seguimiento de Acciones y Medidas EspecialesGestión del Procedimiento Administrativo

Administración de Justicia y Resolución de Conflictos Dentro del SGSSS

Administración de Justicia dentro del SGSSSResolución de Conflictos Derivados entre los

4


CÓDIGO

ASIN01

INSTRUCTIVO



INFORMACIÓN

VERSIÓN 1

Tipo de Proceso Macroproceso Proceso

Actores del Sistema General de Seguridad Social en Salud

Apoyo

Gestión Jurídica

Conceptos y Asesoría JurídicaCobro Persuasivo y por Jurisdicción CoactivaRepresentación Judicial y ExtrajudicialRepresentación Judicial en Tutelas

Gestión Financiera

Control Financiero de CuentasGestión PresupuestalGestión de TesoreríaGestión de TasaGestión Contable

Gestión de Recursos FísicosAdministración de los Bienes de Consumo y DevolutivosPrestación de Servicios Generales

Gestión de Talento Humano

Fortalecimiento de CompetenciasBienestar Social y EstímulosAdministración de PersonalGestión en Seguridad y Salud en el TrabajoEvaluación de Desempeño

Gestión Documental Administración de la Gestión Documental

Gestión ContractualPre ContractualContractualPost Contractual

Gestión de TIC Gestión de Servicios TecnológicosProvisión de Soluciones Tecnológicas

EvaluaciónControl Disciplinario Interno Actuaciones DisciplinariasSeguimiento Control y Evaluación de la Gestión

Auditorías Integrales de GestiónSeguimiento a la Gestión Institucional

Tabla 1. Tipos de Procesos

4.3. Objetivo del proceso

Registre el objetivo que se está descrito en la caracterización del proceso.

5. Sección 2 - Identificación del Riesgo:

5


CÓDIGO

ASIN01

INSTRUCTIVO



INFORMACIÓN

VERSIÓN 1

En esta sección se debe registrar las características de identificación de los riesgos de seguridad y privacidad de la información asociados a cada proceso estratégico, misional, de apoyo y de evaluación y control de la Entidad, teniendo en cuenta las siguientes indicaciones de diligenciamiento:

5.1. ID del Riesgo

Seleccione de la lista el ID o identificador del riesgo que considere puede afectar su proceso.

5.2. Código Riesgo del Proceso

En este campo el archivo muestra automáticamente el Código del Riesgo del Proceso, el cual está conformado por las dos (2) primeras letras que corresponden al código del proceso, seguido de un guion y finaliza con el ID del riesgo identificado. Por ejemplo: SG-RISK01.

5.3. Riesgo

Este campo muestra automáticamente el nombre del riesgo cuando se selecciona la columna “ID del Riesgo”.

Descripción del Riesgo

Registre brevemente la descripción del riesgo identificado y la forma en que se podría materializar este riesgo en su proceso.

5.4. Tipo

El archivo mostrará automáticamente el tipo al que pertenece el riesgo identificado, indicando si es de Seguridad y Privacidad de la Información o Ciberseguridad.

5.5. Causas

Registre la(s) causa(s) que podrían generar la materialización del riesgo identificado en el proceso.

5.6. Consecuencias

Registre la(s) consecuencia(s) que tendría(n) para el proceso o la entidad la materialización del riesgo identificado.

6


CÓDIGO

ASIN01

INSTRUCTIVO



INFORMACIÓN

VERSIÓN 1

5.7. Fuente de Riesgo

Seleccione de la lista la(s) fuente(s) generadora(s) del riesgo identificado, de acuerdo con las siguientes opciones:

Recurso Humano: hace referencia al conjunto de personas vinculadas directa o indirectamente con la entidad que durante la ejecución de los procesos puedan generar la materialización del riesgo.

Proceso: son las interrelaciones de las actividades, que conllevan la transformación de elementos de entrada o insumos, a fin de obtener productos o servicios prestados por la entidad. Los procesos constituyen un factor de riesgo, cuando los servicios o productos presenten variaciones con los procedimientos definidos para conseguirlos.

Tecnológico: es el conjunto de instrumentos informáticos software, hardware y equipos de telecomunicaciones que constituyen su principal soporte tecnológico y cuyas características implican alto riesgo para la entidad.

Infraestructura: corresponde a los elementos de apoyo diferentes a aquellos de carácter tecnológico como las instalaciones, los puestos de trabajo y los mecanismos de logística.

Externo: hacen referencia a los acontecimientos externos cuyas causas y origen escapan al control de la entidad y pueden estar relacionados con fuerzas de la naturaleza o con actuaciones de terceros, un ejemplo de ello sería, el cambio en las regulaciones o instauración de procesos jurídicos, desastres naturales o situaciones que no sean de pleno control de la entidad.

5.8. Propietario del Riesgo

Seleccione de la lista el cargo de los funcionarios que ejercen el rol de líder de proceso al cual se le están identificando los riesgos, es decir, Superintendentes Delegados, Secretario General, Jefes de Oficina Asesora y Jefes de Oficina.

6. Análisis del Riesgo:

7


CÓDIGO

ASIN01

INSTRUCTIVO



INFORMACIÓN

VERSIÓN 1

En esta sección se debe seleccionar la probabilidad de ocurrencia del riesgo, el tipo y el impacto que generaría en la entidad si el riesgo identificado para el proceso se materializara.

6.1. Probabilidad

Seleccione de la lista la posibilidad de ocurrencia del riesgo en la entidad, teniendo en cuenta las siguientes escalas:

Niveles de Probabilidad Descripción Frecuencia

5 Muy alta Se espera que el evento ocurra en la mayoría de las circunstancias. (Casi seguro)

Más de una vez al año.

4 Alta Es viable que el evento ocurra en la mayoría de las circunstancias. (Probable)

Al menos una vez en el último año.

3 Moderada El evento podrá ocurrir en algún momento. (Posible)

Al menos una vez en los últimos dos (2) años.

2 Baja El evento puede ocurrir en algún momento. (Raro)

Al menos una vez en los últimos cinco (5) años.

1 Muy baja El evento puede ocurrir sólo en circunstancias excepcionales. (Improbable)

No se ha presentado en los últimos cinco (5) años.

Tabla 2. Niveles de probabilidad

6.2. Tipo de Impacto

Seleccione de la lista el tipo de impacto más relevante que ocasionaría el riesgo identificado en caso de materializarse en la entidad, de acuerdo con las siguientes definiciones:

- Financiero: puede generar grandes pérdidas económicas para la entidad.- Legal: puede generar demandas o sanciones institucionales de impacto alto para

la entidad, que impidan la prestación de todos los servicios. La entidad es clausurada

- Reputacional: puede afectarse la imagen de la entidad en el sector.

8


CÓDIGO

ASIN01

INSTRUCTIVO



INFORMACIÓN

VERSIÓN 1

6.3. Impacto

Seleccione de la lista el impacto que tendría para la entidad la materializacióndel riesgo identificado, teniendo en cuenta las siguientes escalas:

Niveles de Impacto Descripción

5 Muy alto

Interrupción de la operación de la entidad por más de cinco (5) días.

Intervención por parte de un ente de control o un ente regulador.

Pérdida de información crítica para la entidad que no se puede recuperar.

Incumplimiento de los objetivos estratégicos afectando de forma grave la ejecución presupuestal.

Imagen institucional afectada en el orden nacional por actos o hechos de corrupción comprobados.

4 Alto

Interrupción de la operación de la entidad por más de dos (2) días.

Pérdida de información crítica que se puede recuperar de forma parcial o incompleta.

Sanción por parte de entes de control u otro ente regulador.

Incumplimiento de los objetivos estratégicos afectando el cumplimiento de las metas institucionales.

Imagen institucional afectada a nivel nacional o regional por incumplimiento en la presentación de servicio a los usuarios del SGSSS o ciudadanos.

3 Moderado Interrupción la operación de la entidad de la entidad por un (1) día.

Inoportunidad en la información ocasionando retrasos en la atención a los usuarios del SGSSS.

Reproceso de actividades y aumento de carga operativa.

Imagen institucional afectada en el orden nacional o regional por retrasos en la presentación de servicio a los usuarios del SGSSS. o ciudadanos.

9


CÓDIGO

ASIN01

INSTRUCTIVO



INFORMACIÓN

VERSIÓN 1

Investigaciones penales fiscales o disciplinarias.

2 Bajo

Interrupción de las operaciones de la entidad por algunas horas.

Reclamaciones o quejas de los usuarios del SGSSS o ciudadanos que implican investigaciones disciplinarias internas.

Imagen institucional afectada localmente por retrasos en la prestación del servicio a los usuarios del SGSSS o ciudadanos.

1 Muy bajo

No hay interrupción en la operación de la entidad.

No se generan sanciones económicas o administrativas.

No se afecta la imagen institucional de forma significativa.

Tabla 3. Niveles de impacto

6.4. Nivel de Riesgo Inherente:

El riesgo inherente se calcula automáticamente teniendo en cuenta el nivel de probabilidad y de impacto seleccionado, realizando el cálculo de Probabilidad por Impacto (P*I).

Probabilidad Valor Evaluación

Muy Alta 5 5 10 15 20 25

Alta 4 4 8 12 16 20

Moderada 3 3 6 9 12 15

Baja 2 2 4 6 8 10

Muy Baja 1 1 2 3 4 5

Valor 1 2 3 4 5

Impacto Muy Bajo Bajo Moderado Alto Muy Alto

Tabla 4. Mapa de calor

10


CÓDIGO

ASIN01

INSTRUCTIVO



INFORMACIÓN

VERSIÓN 1

La zona en la que se encuentra el riesgo inherente está determinada de acuerdo con los siguientes valores:

Valoración Descripción Zona

Si P*I>16 ExtremoZona de riesgo Crítico: Reducir el riesgo, evitar,

compartir o transferir

Si P*I<16 AltoZona de riesgo importante - Reducir el riesgo,

evitar, compartir o transferir

Si P*I<=9 ModeradoZona de riesgo moderado - Asumir el riesgo o

Reducir el riesgo

Si P*I<=4 Bajo Zona de riesgo tolerable - Asumir el riesgo

Tabla 5. Zonas de Riesgo

NOTA: en los casos donde el impacto sea Alto o muy Alto se mantendrá el riesgo en la misma zona del impacto.

7. Evaluación de Controles:

7.1. Existen ControlesSeleccione de la lista si existen controles en la entidad para mitigar el riesgo identificado.

7.2. Descripción del ControlRealice una breve descripción del control que se tiene en la entidad para mitigar el riesgo identificado.

7.3. TipoSeleccione de la lista si el control identificado es manual o automático.

11


CÓDIGO

ASIN01

INSTRUCTIVO



INFORMACIÓN

VERSIÓN 1

Manual: la ejecución del control requiere la intervención o ejecución de un funcionario o contratista.

Automático: el control se ejecuta solo o automáticamente.

7.4. Naturaleza del ControlSeleccione de la lista la naturaleza del control, teniendo en cuenta las siguientes definiciones:

Correctivo: control que permite el restablecimiento de la actividad, después de la materialización de un riesgo; también la mitigación del impacto del mismo.

Detectivo: control que detecta la aparición de un riesgo, error, omisión o acto deliberado.

Preventivo: control que actúa para eliminar las causas del riesgo o para prevenir su ocurrencia o materialización.

Correctivo/Detectivo: hace las funciones de un control correctivo y detectivo. Correctivo/Preventivo: hace las funciones de un control correctivo y

preventivo. Detectivo/Preventivo: hace las funciones de un control detectivo y preventivo. Todos: actúa como todos los controles mencionados anteriormente.

7.5. Estado del Control

Seleccione de la lista el estado del control teniendo en cuenta las siguientes definiciones:

Implementado y Documentado: el control se ejecuta y está descrito en un documento de la entidad.

Implementado y No Documentado: el control se ejecuta y no está descrito en un documento de la entidad.

No implementado y No Documentado: el control no se ejecuta y no está descrito en un documento de la entidad.

No implementado y Documentado: el control se ejecuta y no está descrito en un documento de la entidad.

7.6. ¿Están definidos los responsables para la ejecución del control y del seguimiento?

Seleccione de la lista Si, en caso que el responsable de la ejecución del control y el seguimiento se encuentran definidos en la entidad, en caso contrario seleccione No.

12


CÓDIGO

ASIN01

INSTRUCTIVO



INFORMACIÓN

VERSIÓN 1

7.7. ¿Dispone de monitoreo oportuno que permita identificar posibles fallas?

Seleccione de la lista Si, en caso que el control cuente con un monitoreo que permita identificar posibles fallas en el mismo, en caso contrario seleccione No.

7.8. La frecuencia de ejecución del control es adecuada?

Seleccione de la lista Si, en caso que la frecuencia con que se ejecuta el control en la entidad es la adecuada, en caso contrario seleccione No.

7.9. Frecuencia

Seleccione de la lista la frecuencia en la cual se ejecuta el control en la entidad, teniendo en cuenta las siguientes opciones:

Diario Semanal Quincenal Mensual Bimestral Trimestral Semestral Semestral/Cuando se requiera Anual Esporádico/Sorpresivo Cuando se Requiera Ejecutado una vez ocurra el evento Permanentemente

7.10. ¿En el tiempo que lleva el control ha demostrado ser efectivo?

Seleccione de la lista Si, en caso que durante el tiempo que ha estado implementado el control se ha considerado efectivo, en caso contrario seleccione No.

7.11. Calificación Final de los Controles

13


CÓDIGO

ASIN01

INSTRUCTIVO



INFORMACIÓN

VERSIÓN 1

La calificación final de los controles se calcula teniendo en cuenta el tipo de control y el peso de las respuestas seleccionadas anteriormente de acuerdo con los siguientes valores:

Naturaleza del Control Peso Estado del

Control Peso

¿Están definidos los responsables

para la ejecución del control y del seguimiento?

Peso

¿Dispone de

monitoreo oportuno

que permita

identificar posibles fallas?

Peso

La frecuencia

de ejecución del control

es adecuada?

Peso

¿El tiempo

que lleva el control

ha demostrado ser efectivo

?

Peso

Manual 5Implementado y Documentado

20 Si 10 Si 10 Si 10 Si 30

Automático 20Implementado y No Documentado

15 No 0 No 0 No 0 No 0

No implementado y No Documentado

0

No implementado y Documentado

5

De acuerdo con el tipo de control (preventivo o correctivo) se hace la promediación de los mismos y de acuerdo con el resultado se determina cuántos cuadrantes disminuye el riesgo en el mapa de calor en términos de probabilidad e impacto y teniendo en cuenta los siguientes rangos:

Rangos de Calificación de los controles

Dependiendo si el control afecta la probabilidad o impacto desplaza en la matriz de calificación, Evaluación y Respuesta a

los RiesgosCuadrantes a Disminuir en la

probabilidadCuadrantes a Disminuir en el

impactoEntre 0 - 50 0 0Entre 51 - 75 1 1Entre 76 -100 2 2

14


CÓDIGO

ASIN01

INSTRUCTIVO



INFORMACIÓN

VERSIÓN 1

Así, una vez conocidos en cuánto se reduce la probabilidad y el impacto, automáticamente se calcula el nivel de riesgo residual con la nueva (P*I).

8. Plan de Tratamiento:

8.1. Opción de tratamiento: este campo se muestra automáticamente de acuerdo con el nivel de riesgo residual dependiendo de la zona donde se encuentre el mismo.

8.2. Plan de Acción: registre el plan de acción a realizar para aquellos riesgos que superan el apetito de riesgo de la entidad, es decir aquello cuyo nivel de riesgo es Alto o Extremo.

8.3. Responsable: registre el cargo del responsable de gestionar e implementar el plan de acción escrito anteriormente.

8.4. Recursos necesarios: seleccione de la lista el(los) recurso(s) necesarios para ejecutar el plan de acción registrado, de acuerdo con las siguientes opciones:

Financieros Operativos Tecnológicos Financieros y Operativos Financieros y Tecnológicos Operativos y Tecnológicos Todos

8.5. Fecha de Implementación: registre la fecha de implementación del plan de acción descrito anteriormente.

8.6. Fecha y número de radicado para aprobación de los riesgos: el profesional de riesgos de la Oficina de Tecnologías de la Información - OTI registra la fecha y el NURC o número de radicado del memorando que se envió al líder de proceso para la aprobación de los riesgos y de los planes de tratamiento identificados.

15


CÓDIGO

ASIN01

INSTRUCTIVO



INFORMACIÓN

VERSIÓN 1

8.7. Observaciones: registre las aclaraciones u observaciones que se consideren relevantes durante la identificación de riesgos de seguridad y privacidad de la información.

9. Seguimiento:

En esta sección la Oficina de Tecnologías de la Información – OTI registra los

seguimientos que realice a la implementación de los planes de acción indicando la fecha y

el resultado de la gestión realizada, con base en la información que suministre el líder de

proceso.

10. Mapa de Calor Riesgo Inherente: haga clic en el botón “Mostrar riesgo inherente” y el archivo automáticamente graficará el código de riesgo del proceso en su estado inherente.

16


CÓDIGO

ASIN01

INSTRUCTIVO



INFORMACIÓN

VERSIÓN 1

11. Mapa de Calor Riesgo Residual: haga clic en el botón “Mostrar riesgo residual” y el archivo automáticamente graficará el código de riesgo del proceso en su estado residual.

17


CÓDIGO

ASIN01

INSTRUCTIVO



INFORMACIÓN

VERSIÓN 1

18


CÓDIGO

ASIN01

INSTRUCTIVO



INFORMACIÓN

VERSIÓN 1

REFERENCIAS BIBLIÓGRAFICAS:

GUÍA PARA LA ADMINISTRACIÓN DEL RIESGO DEL DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA – DAFP

NORMA TÉCNICA COLOMBIANA NTC – ISO 31000 – GESTIÓN DEL RIESGO.

COLOMBIA. MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES, guía de administración de riesgos.

19

instructivo diligenciamiento formato de matriz de … · web viewproceso administraciÓn del...

Documents