metodologÍa de gestiÓn integrada de riesgos

METODOLOGÍA DE GESTIÓN INTEGRADA DE RIESGOS

Mayo de 2020

Metodología de Gestión Integrada de Riesgos

Página 2 de 67

VERSIÓN 1.0

FECHA DE ACTUALIZACIÓN Mayo de 2018

ELABORA Área de Riesgo Interno

APRUEBA Junta Directiva

Contenido 1 INTRODUCCIÓN ............................................................................................................................... 4

2 OBJETIVO GENERAL ......................................................................................................................... 6

2.1 OBJETIVOS ESPECÍFICOS ............................................................................................................................. 6

3 METODOLOGÍA DE GESTIÓN INTEGRADA DE RIESGOS ...................................................................... 7

3.1 IDENTIFICACIÓN DEL CONTEXTO ................................................................................................................... 8 3.1.1 Contexto externo ......................................................................................................................... 8 3.1.2 Contexto interno .......................................................................................................................... 9 3.1.3 Contexto del proceso ................................................................................................................. 10

3.2 ACTIVOS DE INFORMACIÓN ....................................................................................................................... 10 3.2.1 Identificación de activos de información y sus contenedores ..................................................... 11 3.2.2 Valoración de los activos de información ................................................................................... 13 3.2.3 Valoración de los contenedores de información ........................................................................ 14

3.3 EVALUACIÓN DEL RIESGO INHERENTE ......................................................................................................... 15 3.3.1 Identificación del riesgo ............................................................................................................. 15 3.3.2 Análisis del riesgo ...................................................................................................................... 20 3.3.3 Valoración del riesgo inherente ................................................................................................. 25

3.4 RIESGO RESIDUAL ................................................................................................................................... 27 3.4.1 Identificación de los controles existentes ................................................................................... 27 3.4.2 Evaluación de los controles existentes ....................................................................................... 27 3.4.3 Análisis y valoración del riesgo residual ..................................................................................... 28

3.5 RIESGO DESEADO.................................................................................................................................... 29 3.5.1 Identificación de los planes de tratamiento ............................................................................... 31 3.5.2 Evaluación de los planes de tratamiento ................................................................................... 32 3.5.3 Análisis y valoración del riesgo deseado .................................................................................... 33

3.6 MONITOREO Y REVISIÓN .......................................................................................................................... 34

4 BIBLIOGRAFÍA ............................................................................................................................... 36

5 ANEXOS ........................................................................................................................................ 37

5.1 AMENAZAS MÁS COMUNES ....................................................................................................................... 37 5.2 LISTA DE VULNERABILIDADES COMUNES ...................................................................................................... 38 5.3 GUÍA PARA LA IDENTIFICACIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN ................................................. 40 5.4 INFORMACIÓN DE REFERENCIA - ALTERNATIVAS EVALUADAS PARA ESTABLECER LOS IMPACTOS CUANTITATIVOS DE LOS

RIESGOS ......................................................................................................................................................... 45 5.5 CATEGORÍAS DE RIESGO - SARO ................................................................................................................ 48 5.6 GUÍA PARA IDENTIFICAR RIESGOS OPERATIVOS .............................................................................................. 48

GLOSARIO ............................................................................................................................................. 50

ÍNDICE DE TABLAS


Página 3 de 67

VERSIÓN 1.0




Tabla 1. Factores Externos .................................................................................................................. 8

Tabla 2. Factores Internos ................................................................................................................... 9

Tabla 3. Factores del proceso ........................................................................................................... 10

Tabla 4. Escalas de probabilidad ....................................................................................................... 21

Tabla 5. Niveles del impacto económico (%Patrimonio del fondo administrador)........................... 22

Tabla 6. Niveles del impacto legal ..................................................................................................... 23

Tabla 7. Niveles del impacto reputacional ......................................................................................... 24

Tabla 8. Criterios de aceptación del riesgo ....................................................................................... 26

Tabla 9. Criterios de Afectación del Control ...................................................................................... 29

Tabla 10. Lista de amenazas más comunes ..................................................................................... 38

Tabla 11. Lista de vulnerabilidades más comunes ........................................................................... 40

Tabla 12. Niveles del impacto económico (Liquidez) ........................................................................ 45

Tabla 13. Niveles del impacto económico (Presupuesto) ................................................................. 46

Tabla 14. Niveles del impacto económico (Patrimonio) .................................................................... 47

Tabla 15. Categorías riesgo SARO ................................................................................................... 48

ÍNDICE DE ILUSTRACIONES Ilustración 1. Metodología para la Gestión Integrada de Riesgos ...................................................... 7

Ilustración 2. Proceso de identificación de activos de información y contenedores ......................... 11

Ilustración 3. Valoración de activos de información .......................................................................... 13

Ilustración 4. Evaluación de principios de seguridad de la información ........................................... 13

Ilustración 5. Proceso de valoración de contenedores de información ............................................ 14

Ilustración 6. Proceso de identificación del riesgo ............................................................................ 16

Ilustración 7. Proceso de valoración del riesgo inherente ................................................................ 25

Ilustración 8. Mapa de probabilidad por impacto ............................................................................... 26

Ilustración 9. Proceso de avaluación de los controles ...................................................................... 28

Ilustración 10. Proceso del tratamiento del riesgo ............................................................................ 30

Ilustración 11. Pasos para definir planes de tratamiento .................................................................. 32

Ilustración 12. Proceso de avaluación de los planes de tratamiento ................................................ 33

Ilustración 13. Distribución del impacto económico (Liquidez) ......................................................... 45

Ilustración 14. Distribución del impacto económico (Presupuesto) .................................................. 46

Ilustración 15. Distribución del impacto económico (Patrimonio) ..................................................... 47


Página 4 de 67

VERSIÓN 1.0




1 INTRODUCCIÓN Fogacoop, por está organizada como entidad financiera, vigilada por la Superintendencia Financiera de Colombia, razón por la cual le son aplicables algunas de las disposiciones en materia de riesgo reguladas por esta Superintendencia. Así mismo, por pertenecer al grupo de entidades estatales del orden nacional, le son aplicables las disposiciones en materia de gestión de riesgos derivadas de la implementación de la Estrategia de Gobierno en Línea - GEL, las disposiciones anticorrupción, los lineamientos en materia de prevención de riesgos de la función pública y de los requisitos del MECI y del Sistema de Gestión de Calidad. En cumplimiento de lo anterior, Fogacoop debe gestionar los riesgos a los que se ve expuesta en desarrollo de su objeto y en la ejecución de sus actividades bajo los lineamientos de los modelos y sistemas de riesgos Operativos, de Seguridad de la Información, Continuidad del Negocio, Corrupción, Privacidad de la información y Prevención de actividades ilícitas, expedidos y desarrollados por las regulaciones antes mencionadas. De otra parte, debe gestionar los riesgos de mercado y liquidez, los cuales mantienen, para efectos de su gestión y dadas las particularidades de cada uno, sus propios modelos y manuales de operación, razón por la cual no se encuentran dentro del alcance de la metodología de que trata este documento. Teniendo en cuenta lo anterior y, considerando la estructura, tamaño, así como el volumen y complejidad de las operaciones del Fondo, el propósito de la entidad ha sido el de gestionar los diferentes sistemas y modelos de prevención de riesgos de forma integrada. La consecución de este propósito redundará en el logro del objetivo estratégico que se orienta a la apropiación de los procesos y la eficiencia de las operaciones, soportado en la “Responsabilidad” como valor corporativo que indica que la entidad y sus funcionarios “minimizan los riesgos en cada una de sus acciones”. El propósito de este documento es el establecimiento de una metodología de Gestión Integrada de Riesgos, la cual permita detectar oportunamente los riesgos que puedan afectar a la entidad, con el fin de generar estrategias que se anticipen a ellos y los conviertan en oportunidades que favorezcan a la entidad. Así mismo, el de permitir asegurar los objetivos y metas estratégicas definidas por la entidad para lograr su sostenibilidad, crecimiento y consolidación. Dado a lo anterior, la metodología que se presenta en este documento está alineada con los requisitos de las normas técnicas ISO 31000:2009 y es aplicable a los sistemas de Administración de Riesgo Operativo (SARO), Gestión de la Seguridad y Privacidad de la


Página 5 de 67

VERSIÓN 1.0




Información (SGSI), Gestión de la Continuidad del Negocio (SGCN) y medidas para prevenir actividades ilícitas. Respecto del riesgo de corrupción, la Secretaria de Transparencia y el Departamento Administrativo de la Función Pública, expidieron disposiciones especiales para gestionar este tipo de riesgos (Guía para la gestión del riesgo de corrupción – año 2015), la cual está alineada con los requisitos de la ISO 31000. Frente a los aspectos metodológicos para gestionar los riesgos de corrupción se seguirán las pautas descritas en este documento, la gestión de este tipo de riesgos se complementa con el método especial a seguir para analizar cuando un riesgo corresponde a corrupción, la presentación particular del mapa de riesgos y el proceso de seguimiento particular por parte de la oficina de control interno que establece la Guía mencionada.


Página 6 de 67

VERSIÓN 1.0




2 OBJETIVO GENERAL El objetivo de esta metodología es el de integrar y facilitar la ejecución de los procesos de identificación, análisis, evaluación y el tratamiento apropiado de los riesgos de FOGACOOP, alineados con la ISO 31000:2009.

2.1 Objetivos Específicos

• Adoptar las mejores prácticas establecidas en la ISO 31000:2009, para la identificación, análisis, evaluación y el tratamiento de riesgos.

• Incorporar los ajustes necesarios a las mejores prácticas establecidas en la ISO 31000:2009 para que sean aplicables a los sistemas de Administración de Riesgo Operativo (SARO), Gestión de la Seguridad y Privacidad de la Información (SGSI), Gestión de la Continuidad del Negocio (SGCN), corrupción y prevención de actividades ilícitas, integrando las particularidades de los esquemas de gestión de riesgos que establecen las disposiciones y normas que los regulan.

• Describir una guía para la identificación adecuada de activos y contenedores de información.

• Describir una guía para la selección adecuada de estrategias de mitigación de riesgos en FOGACOOP.

• Establecer la estructura de la Matriz para la Gestión Integrada de Riesgos.


Página 7 de 67

VERSIÓN 1.0




3 METODOLOGÍA DE GESTIÓN INTEGRADA DE RIESGOS La metodología para realizar una gestión de riesgos integrada, incluye los criterios para ejecutar cada una de las etapas señaladas en la norma ISO 31000, es decir la contextualización, identificación, análisis, evaluación y tratamiento del riesgo. Así mismo, establece las pautas para identificar activos de información, los cuales son la base para identificar y gestionar los riesgos de seguridad de la información. Esta metodología es aplicable a un amplio rango de actividades, incluyendo: estrategias, decisiones, operaciones, procesos, funciones, proyectos, productos, servicios y activos. En este sentido, las etapas que se describen en esta metodología, se desarrollan según el alcance del objeto de evaluación.

Ilustración 1. Metodología para la Gestión Integrada de Riesgos


Página 8 de 67

VERSIÓN 1.0




3.1 Identificación del Contexto Para un análisis de riesgos completo y una correcta aplicación de la metodología de gestión, es necesario conocer y entender el contexto general del objeto de evaluación (entidad, procesos, subprocesos proyectos, servicios, etc.); para establecer su entorno interno y externo, complejidad, procesos, planeación institucional, entre otros aspectos. 3.1.1 Contexto externo Consiste en determinar las características o aspectos esenciales del entorno en el cual opera la entidad, teniendo en cuenta los siguientes factores:

Descripción de Factores

CO

NT

EX

TO

EX

TE

RN

O

• Sector en el que opera: Características, diferencias sector financiero y sector cooperativo, gremios cooperativos, prohibiciones, deberes, derechos.

• Político: Cambios de gobierno, legislación, políticas públicas, regulación.

• Legal y regulatorio: Regulación prudencial para entidades financieras, legislación cooperativa y del sector solidario, regulación de entidades públicas.

• Social y cultural: Demografía, responsabilidad social, orden público.

• Económico y financiero: Disponibilidad de capital, liquidez, mercados financieros, desempleo, competencia.

• Tecnológico: Avances en tecnología, acceso a sistemas de información externos, gobierno en línea.

• Medioambientales: Emisiones y residuos, energía, catástrofes naturales, desarrollo sostenible.

• Comunicación Externa: Mecanismos utilizados para entrar en contacto con los usuarios o ciudadanos, canales establecidos para que usuarios o ciudadanos se comuniquen con la entidad.

• Relaciones con partes interesadas: Sus percepciones e intereses.

Tabla 1. Factores Externos


Página 9 de 67

VERSIÓN 1.0




3.1.2 Contexto interno Radica en determinar las características o aspectos esenciales del ambiente en el cual la entidad busca alcanzar sus objetivos institucionales, teniendo en cuenta los siguientes factores:


CO

NT

EX

TO

IN

TE

RN

O

• Estructura organizacional: Jerarquía, funciones y responsabilidades.

• Direccionamiento estratégico: misión, visión, objetivos, políticas, principios,

planeación institucional.

• Cultura organizacional: Costumbres, creencias y valores.

• Competencias organizacionales: Organizacionales, de liderazgo y funcionales

• Normas, directrices y modelos: Marco regulatorio para el funcionamiento

• Formas y relaciones contractuales: Mecanismos de contratación, relaciones

con proveedores

• Personas: Competencia del personal, disponibilidad del personal, seguridad y

salud ocupacional.

• Procesos: Capacidad, diseño, ejecución, proveedores, entradas, salidas,

gestión del conocimiento, gestión ambiental.

• Financieros: Presupuesto de funcionamiento, recursos de inversión,

infraestructura, capacidad instalada.

• Tecnología: Integridad de datos, disponibilidad de datos y sistemas, desarrollo,

producción, mantenimiento de sistemas de información.

• Comunicación interna: Canales utilizados y su efectividad, flujo de la

información necesaria para el desarrollo de las operaciones.

Tabla 2. Factores Internos


Página 10 de 67

VERSIÓN 1.0




3.1.3 Contexto del proceso Consiste en determinar las características o aspectos esenciales de cada proceso y sus interrelaciones, teniendo en cuenta factores como:


CO

NT

EX

TO

DE

L P

RO

CE

SO

• Diseño del proceso: Claridad en la descripción del alcance, objetivos y metas del proceso.

• Interrelaciones con otros procesos: Relación precisa con otros procesos en cuanto a insumos, proveedores, productos, usuarios o clientes.

• Comunicación entre los procesos: Efectividad en los flujos de información determinados en la interrelación de los procesos.

• Procedimientos y formatos asociados: Pertinencia de los procedimientos y formatos establecidos en los procesos y su ejecución en términos de tiempo y ubicación.

• Responsables del proceso: Autoridad y responsabilidad de los funcionarios frente al proceso.

• Transversalidad: Procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad.

Tabla 3. Factores del proceso

Nota:

• Para el desarrollo de esta etapa, se recomienda diligenciar el formato del Anexo 5.3, “Formato de Identificación de Riesgos” únicamente cuando se hallan presentado cambios significativos en los procesos de la Entidad.

• Para su desarrollo se deben tener en cuenta los siguientes requisitos: a. Deben participar todas aquellas personas que intervienen en el proceso. b. Los resultados deben ser aprobados por los dueños de los procesos.

3.2 Activos de Información Toda organización posee información importante que desea proteger frente a cualquier situación que suponga un riesgo o amenaza, dicha información que resulta fundamental para la organización es lo que se denomina activo de información.


Página 11 de 67

VERSIÓN 1.0




Los activos de información pueden ser archivos, bases de datos, contratos, acuerdos, documentación del sistema, manuales de los usuarios, informes, etc; que pueden estar contenidos en aplicaciones, servidores, medios físicos, archivadores, personas. Estos últimos son los susceptibles de accesos no autorizados, así como de ataques que ocasionen la perdida de la información que contienen. De aquí la importancia de la identificación y valoración de los activos de información, ya que el contenedor heredara la valoración de los impactos más altos de los activos que contiene, y los riesgos de seguridad de la información estarán asociados a dichos contenedores heredando nuevamente el impacto más alto de los contenedores analizados. 3.2.1 Identificación de activos de información y sus contenedores A continuación, se presentan los pasos necesarios para identificar los activos de información y sus contenedores respectivos.

Ilustración 2. Proceso de identificación de activos de información y contenedores

Nota: Dentro de las fuentes de información para identificar activos de información, se encuentran: La documentación y registros de cada proceso y/o subproceso, descritos en el sistema de gestión integral, las tablas de retención documental, los inventarios de la infraestructura física y de TI, además del estudio de campo que se lleve a cabo en cada proceso o áreas. A continuación, se realizan algunas aclaraciones sobre los campos pasos que componen el proceso de identificación de activos de información y contenedores: Id del activo: Es el identificador único de cada activo dentro del sistema Mega. Nombre del activo de información: La orientación para identificar los activos de información, siempre debe ser: cualquier archivo (físico o digital), bases de datos, informe, acuerdo, manual que genere valor para la organización.


Página 12 de 67

VERSIÓN 1.0




Descripción del activo de información: Descripción detallada del activo con el fin de que sea clara la importancia de dicha información para la entidad. Responsable Es un funcionario perteneciente a una Unidad Organizacional o Proceso (Líder de proceso, cargo responsable de la ejecución del proceso, o persona designada por el líder de proceso o la Dirección) que tiene bajo su cargo:

• Evaluar y asignar una clasificación a la información que contiene el activo de información (información pública, pública clasificada o pública reservada)

• Verificar que se implementen los controles de acuerdo al nivel de clasificación de la información.

• Establecer los privilegios de acceso asociados con los activos de información de los que es responsable.

• Determinar los requerimientos de seguridad, criterios de acceso y criterios de copias de respaldo para los activos de información de los que es responsable.

• Autorizar y revocar el acceso a aquellas personas que tengan necesidad de utilizar sus activos de información.

• Establecer las actividades de preservación y restauración de información.

• Aprobar la divulgación de información que este bajo su cargo. Custodio Es la Unidad Organizacional o Proceso, equipo de trabajo, o cargo, designado por los propietarios o por la entidad, encargado de mantener las medidas de protección establecidas sobre los activos de información confiados. Sus responsabilidades son:

• Proteger la información que le ha sido confiada para efectos de distribución, acceso, modificaciones, destrucción o usos no autorizados.

• Garantizar la Confidencialidad, Integridad y Disponibilidad de la información que le ha sido confiada.

• Asegurar que los requerimientos de retención de registros sean basados en los análisis realizados por el propietario de la información.

• Suministrar los servicios de sistemas informáticos de acuerdo con las instrucciones de los propietarios de la información, cuando sea pertinente.

• Suministrar y administrar los respaldos y sistemas de recuperación. Usuario Cualquier persona, entidad, cargo, proceso, sistema automatizado o grupo de trabajo, que genere, obtenga, transforme, conserve o utilice información en papel o en medio digital, físicamente o a través de las redes de datos y los sistemas de información de la Unidad, para propósitos propios de su labor y que tendrán el derecho manifiesto de uso dentro del inventario de información


Página 13 de 67

VERSIÓN 1.0




3.2.2 Valoración de los activos de información Los activos de información identificados deberán ser valorados según los principios básicos de la seguridad de la información: Confidencialidad, integridad y disponibilidad.

Ilustración 3. Valoración de activos de información

Para cada principio se tendrá en cuenta los impactos económicos, legales y reputacionales que se puedan llegar a presentar en la entidad, debido a la ausencia de dicho principio del activo de información valorado, como se muestra a continuación:

Confidencialidad

Impacto Económico

Impacto Legal Impacto

Reputacional Impacto Total

Integridad

Impacto Económico



Disponibilidad

Impacto Económico



Ilustración 4. Evaluación de principios de seguridad de la información

Notas:

• Para la valoración de los activos de información se deben tener en cuenta los siguientes requisitos: a. Deben participar los dueños de los activos de información. b. Las escalas para valorar los impactos económico, legal y reputacional sobre

cada principio se encuentran definidas en la sección “3.3.2 Análisis del riesgo”. c. Los resultados deben ser aprobados por los dueños de los procesos.

• El impacto total por principio de seguridad de la información será el mayor de los impactos analizados (Económico, legal o reputacional).


Página 14 de 67

VERSIÓN 1.0




• La valoración se realiza únicamente cuando se hallan presentado cambios significativos en los procesos de la Entidad, y los activos de información no tengan la misma criticidad o se generen nuevos activos de información o simplemente ya no sean necesarios para el proceso.

3.2.3 Valoración de los contenedores de información Los contenedores, son los repositorios donde se almacenan los activos de información, en dichos repositorios es donde suelen llevarse a cabo los ataques contra los datos o presentarse pérdidas o alteraciones, por ende, son los lugares donde se aplican los controles de seguridad. Pueden ser del tipo técnico, físico o humano, ya que la información puede encontrarse en formato digital (archivos en medios electrónicos u ópticos), en forma física (escrita o impresa en papel), así como información no representada, como las ideas o el conocimiento de los funcionarios. A continuación, se presentan los pasos necesarios para valorar los contenedores de información:

Ilustración 5. Proceso de valoración de contenedores de información

Id del contenedor: Es el identificador único de cada contenedor dentro del sistema Mega. Nombre: La orientación para identificar los contenedores de información, siempre debe ser: Elemento tecnológico (equipo de cómputo), lugar físico (archivo físico de documentos) o recurso humano en el que se encuentran los activos de información analizado.

Descripción del contenedor: Descripción detallada del activo con el fin de que sea clara la importancia de dicha información para la entidad. Tipo: Elemento tecnológico, lugar físico o recurso humano.


Página 15 de 67

VERSIÓN 1.0




Responsable: Es un funcionario perteneciente a una Unidad Organizacional o Proceso (Líder de proceso, cargo responsable de la ejecución del proceso, o persona designada por el líder de proceso o la Dirección) que tiene bajo su cargo:

• Verificar que se implementen los controles de acuerdo al nivel de clasificación de la información que contiene.

• Establecer los privilegios de acceso asociados con los activos de información que contiene.

Contenencia: La contenencia hace referencia a la relación de activos de información que se encuentran contenidos en dicho contenedor. Valoración: En cuanto a la valoración de los principios de seguridad de la información de los contenedores heredaran el impacto mayor de los impactos analizados en cada uno de los activos de información que se encuentran contenidos en el contenedor evaluado.

3.3 Evaluación del Riesgo Inherente Es el riesgo intrínseco de cada proceso u actividad, sin tener en cuenta los controles que de éste se tengan. Es propio del trabajo o proceso, que no puede ser eliminado del sistema; es decir, en todo trabajo o proceso se encontrarán riesgos para las personas o para la ejecución de la actividad en sí misma. 3.3.1 Identificación del riesgo La identificación del riesgo consiste en establecer las fuentes o factores de riesgo, los eventos o riesgos, sus causas y sus consecuencias. Para el análisis se pueden involucrar datos históricos, análisis teóricos, opiniones informadas y expertas y las necesidades de las partes involucradas. (NTC ISO31000, Numeral 2.15). Para la identificación del riesgo se deben tener en cuenta dos elementos: Establecimiento del contexto y la identificación del riesgo, para el establecimiento del contexto, se recomienda tener en cuenta los pasos contemplados en el numeral 3.1 Identificación del Contexto: Contexto externo, contexto interno y el contexto del proceso. Para la identificación del riesgo, se requiere determinar las causas, fuentes del riesgo y los eventos con base en el análisis de contexto para la entidad y del proceso, que pueden entorpecer el normal desarrollo o impedir el logro de los objetivos y metas de la entidad, de sus procesos, subprocesos o actividades o de las disposiciones a las que está obligada y comprometida a cumplir. A continuación, se presenta el proceso a seguir:


Página 16 de 67

VERSIÓN 1.0




Ilustración 6. Proceso de identificación del riesgo

Id del riesgo: Es el código en secuencia con el cual va ir identificado el riesgo del proceso al cual pertenece:

Res1: Riesgo estratégico Rm1: Riesgo misional Ra1: Riesgo apoyo Re1: Riesgo evaluación

Proceso: Hace referencia a los procesos de la entidad, que se listan a continuación:

• Planeación y seguimiento a la gestión

• Divulgación del seguro de depósitos

• Administración de reserva

• Administración del riesgo

• Administración de medidas de intervención

• Gestión de recursos internos

• Evaluación Subproceso: Son los que conforman cada uno de los procesos de Fogacoop. Factor de Riesgo: De acuerdo con lo que establece el capítulo XXIII de la circular básica jurídica y financiera de Colombia, los siguientes son fuentes generadoras de riesgo operativo que genera pérdidas:

Atributo Opción Factor de riesgo • Recurso humano


Página 17 de 67

VERSIÓN 1.0




Atributo Opción • Procesos

• Tecnología

• Infraestructura

• Acontecimientos Externos Clasificación del Riesgo: De acuerdo con lo que establece el capítulo XXIII de la circular básica jurídica y financiera de Colombia: los riesgos se clasifican de la siguiente manera:

Atributo Opción Clasificación del riesgo • Ejecución administración del proceso

• Fraude interno

• Fraude externo

• Fallas tecnológicas

• Daños activos físicos

• Relaciones laborales

• Clientes Contenedor: ID del contenedor que ha sido identificado y sobre el que ya se ha realizado su valoración. Este contenedor se registra cuando el propósito es identificar riesgos de seguridad de la información, es decir sobre las amenazas y vulnerabilidades que presentan de los contenedores.

Identificación de Causas: Las causas están relacionadas con las fuentes o factores de riesgo antes descritos y es a partir de estos factores que se establecen las causas de los riesgos a identificar.

• Las causas son acontecimientos o circunstancias concretos que se presentan en el proceso u objeto de evaluación o en su ambiente y que causan incertidumbre.

• Las causas deben estar relacionadas con el contexto antes evaluado

• Es posible establecer más de una causa como factor del riesgo a identificar.

• Se recomienda considerar todas las causas que son significativas Consecuencias: Efecto negativo o positivo

Descripción del Riesgo: Con el fin de prevenir la confusión entre causas de riesgos, riesgos verdaderos y efectos o consecuencias del riesgo y en consecuencia prevenir que se oculten los verdaderos riesgos o que estos no reciban un grado apropiado de atención, se


Página 18 de 67

VERSIÓN 1.0




recomienda usar una descripción formal de los elementos requeridos del riesgo (Metalenguaje de riesgo) es decir una declaración estructurada del riesgo en tres partes1:

• Causa concreta: Requisito, circunstancia, proceso, etc., que es evidente y demostrable y sucede en el tiempo.

• Acontecimiento incierto: Incertidumbre sobre algo que podría suceder

• Efecto en el objetivo: Posibilidad asociada como consecuencia del acontecimiento no de la causa.

Estructura genérica:

Debido a <Causas concretas>, ocurre un <acontecimiento incierto>, que provoca <Efecto en el objetivo> Ejemplos: (Es preferible hacer ejemplos con nuestros propios casos) a) Incendio en las instalaciones de la entidad <acontecimiento incierto>, que genera daños

a la infraestructura y a los recursos tecnológicos <Causas concretas>, ocasionando interrupción de los procesos <Efecto en el objetivo>.

b) Falla en el suministro de la red eléctrica <acontecimiento incierto> que ocasiona un apagado forzoso de los servidores <Causas concretas> interrumpiendo los servicios tecnológicos misionales de la entidad <Efecto en el objetivo>.

c) Interceptaciones de señal <acontecimiento incierto> que permiten la revelación de información confidencial <Causas concretas> ocasionando impactos legales para la entidad <Efecto en el objetivo>.

Identificación de Amenazas Una amenaza es la posibilidad que una fuente de amenaza explote exitosamente una vulnerabilidad en particular. Una vulnerabilidad es una debilidad (vacío) que se puede activar accidentalmente o explotar intencionalmente. Una fuente de amenaza no representa un riesgo cuando no existe una vulnerabilidad que pueda ser explotada. Las amenazas se pueden clasificar en:

• Amenazas naturales: Inundaciones, terremotos, tornados, deslizamientos de tierra, avalanchas, tormentas eléctricas y otros eventos similares.

• Amenazas humanas: Eventos activados o causados por las personas, tales como actos no intencionados (errores en la entrada de datos) o malintencionados (ataques a la red, activación de software malicioso, acceso no autorizado a información confidencial).

1 2004 Dr David Hillson


Página 19 de 67

VERSIÓN 1.0




• Amenazas ambientales: Faltas prolongadas de energía eléctrica, polución, químicos, dispersión de líquidos.

Durante la identificación de las amenazas, es importante considerar todas las fuentes potenciales que podrían afectar una entidad. En el Anexo 7.1 al final de este documento se encuentra una relación de las amenazas más comunes. Nota: Las amenazas se identifican únicamente en el análisis de riesgos de seguridad de la información y están asociados a los contendores de los activos de información. Identificación de Vulnerabilidades Defecto o debilidad en los procedimientos, diseño, implementación o en los controles internos de los procesos y los sistemas que podrían ser explotadas (activadas accidentalmente o explotadas intencionalmente) y que resulta en una brecha de seguridad o violación de las políticas de seguridad. El análisis de las amenazas de un proceso incluye el análisis de las vulnerabilidades asociadas al ambiente donde opera. La meta de este paso es desarrollar una lista de vulnerabilidades del proceso (defectos o debilidades) que podrían ser explotadas por fuentes de amenazas potenciales. Nota:

• Los métodos para la identificación de vulnerabilidades comprenden el uso de fuentes de vulnerabilidades, la realización de pruebas a la seguridad de los procesos, pruebas a la seguridad de los sistemas y evaluaciones de control interno.

• Las amenazas se identifican únicamente en el análisis de riesgos de seguridad de la información y están asociados a los contendores de los activos de información.

Puntos a tener en cuenta para la identificación de riesgos:

• El proceso de identificación de riesgos, debe ser llevado a cabo por personal capacitado en riesgos de cada sistema de gestión, en acompañamiento de los funcionarios que hacen parte de cada proceso.

• Tener claro el contexto del proceso, sus objetivos, metas, obligaciones, compromisos.

• Centrarse en riesgos más significativos para la entidad o el proceso, y que estén relacionados con los objetivos, metas y obligaciones.

• Tener en cuenta causas internas y externas.


Página 20 de 67

VERSIÓN 1.0




• Al final los riesgos deberán ser presentados a los dueños de los procesos, quienes deberán aceptarlos y tomar las medidas necesarias para reducirlos a niveles aceptables para la entidad.

• Los riesgos también pueden ser identificados mediante el acompañamiento de expertos externos, así como teniendo en cuenta la experiencia de otras entidades del sector.

• Algunas técnicas que se pueden utilizar para identificar riesgos son: o Tormenta de Ideas o Técnica Delphi o Entrevistas o Análisis casual o Juicio de expertos

3.3.2 Análisis del riesgo Este paso tiene como fin establecer la probabilidad de ocurrencia del riesgo y sus consecuencias o impacto, con el fin de estimar el nivel del riesgo inherente. Determinar la probabilidad Es la posibilidad de ocurrencia del riesgo. A continuación, se relacionan los criterios para evaluar las probabilidades de ocurrencia de los riesgos identificados.

Escalas de Probabilidad

Frecuencia Motivación Facilidad Controles existentes Nivel

Re

mo

to El evento puede ocurrir

en circunstancias excepcionales (No se ha presentado en los últimos 3 años).

La amenaza fuente o riesgo carece de motivación o capacidades

Para explotar la vulnerabilidad, se requiere experiencia o conocimientos técnico especializados.

Existen controles efectivos para prevenir la explotación de la vulnerabilidad (aplicable para la evaluación del riesgo residual).

1

Po

co

Pro

ba

ble

El evento puede ocurrir en algún momento (Se presenta una vez al año).

La motivación para ejecutar la amenaza es mínima o con poca posibilidad de obtener algún beneficio

Se requieren experiencia y conocimientos avanzados para aprovechar la vulnerabilidad.

Los controles existentes pueden prevenir y/o mitigar la materialización u ocurrencia de la amenaza o riesgo

2

Pro

ba

ble

El evento puede ocurrir varias veces al año (entre 2 y 12 veces al año / semestral o casi Mensualmente).

La amenaza es moderadamente motivada con posibilidad de obtener algún beneficio.

Es fácil explotar la vulnerabilidad (se requiere habilidades o conocimientos técnicos u operativos básicos).

Los controles para evitar que la vulnerabilidad sea explotada, son inefectivos, débiles o insuficientes

3

Comentado [GRL1]: Debe ser el numero de veces que se ejecuta la actividad


Página 21 de 67

VERSIÓN 1.0




Mu

y P

rob

ab

le

El evento puede ocurrir muchas veces al año (entre 12 y 52 veces al año / Mensual o casi semanalmente).

La amenaza es altamente motivada con posibilidad de obtener algún beneficio.

Es fácil explotar la vulnerabilidad (se requiere habilidades o conocimientos técnicos u operativos básicos).

Los controles para evitar que la vulnerabilidad sea explotada, son inefectivos, débiles o insuficientes.

4

Ca

si

ce

rte

za

El evento puede ocurrir más de 52 veces al año (semanalmente o más)

La amenaza es inminente y suficientemente poderosa.

Es fácil explotar la vulnerabilidad (no se requieren habilidades o conocimientos especializados).

Se carecen de controles para evitar que la vulnerabilidad sea explotada.

5

Tabla 4. Escalas de probabilidad

Determinar el nivel de impacto El impacto son las consecuencias que puede ocasionar la materialización del riesgo a la entidad. El impacto se mide teniendo en cuenta las afectaciones de tipo económico, de tipo legal y frente a su reputación. A continuación, se presentan las escalas de impacto de tipo económico, legal y reputacional que se deben tener en cuenta para determinar el nivel del impacto de los riesgos. En todo caso, teniendo en cuenta la incertidumbre que representan los riesgos, el análisis del impacto debe considerar las situaciones de mayor afectación que pueda tener la entidad. Nota: para el efecto del análisis cuantitativo de los impactos que puedan tener los riesgos, se tuvo en cuenta diferentes bases y métricas que permitieran reflejar la situación real de la entidad, entre ellas la base de liquidez que administra la entidad, el presupuesto, el patrimonio consolidado de la entidad bajo NIIF, y la evaluación de los límites de recursos para establecer la materialidad de las cifras contables propia de la entidad. Igualmente, se consideró como base de referencia para estimar el valor de pérdidas económicas, el valor del patrimonio del Fondo Administrador bajo NIIF, el cual se considera adecuado ya que corresponde al capital disponible para administrar la entidad. En documento anexo se presentan los resultados de las diferentes alternativas analizadas.


Página 22 de 67

VERSIÓN 1.0




Cuantificación del Impacto Económico Valor del patrimonio del Fondo Administrador (corte a junio de 2017) = $86,421,802,891

Impacto Descripción (%) Descripción ($) Nivel

Insignificante Costo financiero menor al 0,1% del valor del patrimonio del Fondo Administrador.

Costo financiero de menos de $86 millones.

1

Menor Costo financiero entre el 0,1% y el 0,49% del valor del patrimonio del Fondo Administrador.

Costo financiero de $86,0 millones y $429,9 millones.

5

Moderado Costo financiero entre el 0,5% y el 2,9% del valor del patrimonio del Fondo Administrador.

Costo financiero de $430 millones y $2.599,9 millones.

10

Mayor Costo financiero entre el 3% y el 10% del valor del patrimonio del Fondo Administrador.

Costo financiero de $2.600 millones y $8.599,9 millones.

15

Catastrófico Costo financiero mayor al 10% del valor del patrimonio del Fondo Administrador.

Costo financiero mayor de $8.600 millones.

20

Tabla 5. Niveles del impacto económico (%Patrimonio del fondo administrador)

Cuantificación del Impacto Legal Los criterios de medición corresponden a sanciones administrativas institucionales y litigios judiciales, y según los montos a continuación descritos:

Nivel Sanciones Procesos judiciales que

impliquen pérdidas económicas

Valores estimados de las sanciones y litigios

Nivel

Insi

gnif

ican

te

Sanciones administrativas institucionales impuestas por entidades del orden nacional, territorial o distrital facultadas para imponer sanciones pecuniarias, por hechos, acciones u omisiones institucionales que transgredan las disposiciones regulatorias, entre ellas:

Litigios judiciales que impliquen pérdidas de recursos

Costo financiero menor al 0,1% del valor del patrimonio del Fondo Administrador (Menos de $86 millones)

1

Me

no

r

Costo financiero entre el 0,1% y el 0,5% del valor del patrimonio del Fondo Administrador (entre $86 y $430 millones).

5


Página 23 de 67

VERSIÓN 1.0




Nivel Sanciones Procesos judiciales que

impliquen pérdidas económicas

Valores estimados de las sanciones y litigios

Nivel

Mo

der

ado

• Superintendencia Financiera • Superintendencia de Industria y

Comercio • Ministerio del trabajo • Ministerio de Minas y Energía • Ministerio de ambiente y otras

entidades relacionadas

Costo financiero entre el 0,5% y el 3,0% del valor del patrimonio del Fondo Administrador (entre $430 y $2.600 millones)

10

May

or

Costo financiero entre el 4% y el 10% del valor del patrimonio del Fondo Administrador (entre $2.600 y $8.600 millones).

15

Cat

astr

ófi

co

Costo financiero mayor al 10% del valor del patrimonio del Fondo Administrador (superior a $8.600 millones).

20

Tabla 6. Niveles del impacto legal

Cuantificación del Impacto Reputacional Los criterios de medición corresponden a propósito fundamental de Fogacoop y/o el esfuerzo para recuperar su imagen cuando ésta ha sido deteriorada por algún motivo, así:

Nivel Afectación del objeto del Fondo esfuerzos de recuperación Nivel

Insi

gnif

ican

te

La confianza de los depositantes y ahorradores de las entidades cooperativas inscritas es mínimamente afectada

Se requiere poco o ningún esfuerzo o gasto para recuperarla.

1

Me

no

r La confianza de los depositantes y ahorradores de las entidades cooperativas inscritas es mínimamente afectada

Se realizan investigaciones a altos directivos por lo que la reputación de la entidad se ve afectada a nivel interno.

5

Mo

der

ado

La confianza de los depositantes y ahorradores de las entidades cooperativas inscritas es mínimamente afectada

La reputación de la entidad ante las cooperativas ha sido afectada y requiere de algunos esfuerzos y gastos para recuperarla.

10


Página 24 de 67

VERSIÓN 1.0




Nivel Afectación del objeto del Fondo esfuerzos de recuperación Nivel

May

or La confianza de los depositantes,

ahorradores y entidades cooperativas ha sido gravemente afectada

Se requiere de grandes esfuerzos y gastos para recuperarla

15

Cat

astr

ófi

co

La confianza de los depositantes, ahorradores y entidades cooperativas ha sido irrevocablemente destruida

Se requiere la intervención de otras entidades gubernamentales y grandes inversiones para recuperarla.

20

Tabla 7. Niveles del impacto reputacional

Los siguientes criterios de evaluación del impacto: Servicio al Cliente y Restauración de Información, se utilizan de manera particular en el análisis del BIA (ver documento Análisis de Impacto del Negocio) Impacto Servicio al Cliente

Los criterios de medición corresponden a la afectación del nivel de satisfacción del cliente una vez se interrumpen los canales de atención al ciudadano por periodos prolongados:

Impacto Descripción Nivel

Insignificante Demora en tiempo de atención al ciudadano durante menos de 2 horas. 1

Menor Demora en tiempo de atención al ciudadano entre 2 y 4 horas. 5

Moderado Demora en tiempo de atención al ciudadano entre 4 y 6 horas. 10

Mayor Demora en tiempo de atención al ciudadano entre 6 y 8 horas. 15

Catastrófico Demora en tiempo de atención al ciudadano por más de 1 semana. 20 Tabla 8. Niveles del impacto de servicio al cliente

Impacto Restauración de la Información

Los criterios de medición corresponden a la perdida de información accidental o deliberada que es crítica para la operación de los procesos en la entidad:


Insignificante No disponibilidad de la información que requieren los procesos para operar durante menos de 2 horas.

No disponibilidad de información pública o de conocimiento general.

1


Página 25 de 67

VERSIÓN 1.0





Menor No disponibilidad de la información que requieren los procesos para operar entre 2 y 4 horas.

No disponibilidad de información relacionada con procesos de apoyo (capacitaciones, boletines, etc.)

5

Moderado No disponibilidad de la información que requieren los procesos para operar entre 4 y 6 horas.

No disponibilidad de información relacionada con procesos misionales (planes de proyecto, presentaciones internas).

10

Mayor No disponibilidad de la información que requieren los procesos para operar entre 6 y 8 horas.

No disponibilidad de información relacionada con operaciones financieras o de conocimiento detallado del negocio.

15

Catastrófico No disponibilidad de la información que requieren los procesos para operar por más de 1 semana.

No disponibilidad de información confidencial (Plan estratégico, decisiones estructurales, junta directiva).

20

Tabla 9. Niveles del impacto restauración de la información

3.3.3 Valoración del riesgo inherente Consiste en valorar la probabilidad y el impacto del riesgo analizado, con el fin de determinar el nivel del riesgo inherente.

Ilustración 7. Proceso de valoración del riesgo inherente

Nota:

• El impacto del riesgo inherente será el impacto mayor de los tres analizados (Económico, Legal y Reputacional).

• En el caso de los riesgos de seguridad de la información, se tomara el mayor de los 3 principios analizados (Confidencialidad, Integridad y Disponibilidad).


Página 26 de 67

VERSIÓN 1.0




El nivel del riesgo resulta de cruzar la probabilidad y el impacto en el siguiente mapa.

Probabilidad Nivel Zona de Riesgo

Casi certeza 5 5

Bajo

25 Moderado

50 Alto

75 Extremo

100 Extremo

Muy probable 4 4

Bajo

20 Moderado

40 Alto

60 Alto

80 Extremo

Probable 3 3

Bajo

15 Moderado

30 Moderado

45 Alto

60 Alto

Poco probable 2 2

Bajo

10 Bajo

20 Moderado

30 Moderado

40 Alto

Remota 1 1

Bajo

5 Bajo

10 Bajo

15 Moderado

20 Moderado

Impacto Insignificante Menor Moderado Mayor Catastrófico

Nivel 1 5 10 15 20

Ilustración 8. Mapa de probabilidad por impacto

La siguiente tabla define la tolerancia al riesgo en la entidad, así como la prioridad de mitigación según el nivel del riesgo.

Criterios de aceptación del riesgo

Bajo Riesgo aceptable. Deben ser monitoreados mínimo dos veces al año.

Moderado Requiere planes de tratamiento a largo plazo. (En un término de 3 a 6 meses).

Alto Requiere planes de tratamiento a corto plazo (En un término de 1 a 3 meses).

Extremo Requiere planes de tratamiento con urgencia. (En un término máximo de 30 días)

Tabla 10. Criterios de aceptación del riesgo

Los criterios de aceptación sirven de guía para gestionar el riesgo, ya que la programación de planes de tratamiento, frente a estos criterios, en todo caso tendrán en cuenta las capacidades, recursos y tiempos de consecución de resultados.


Página 27 de 67

VERSIÓN 1.0




3.4 Riesgo Residual El riesgo residual es aquel riesgo que subsiste, después de haber valorado la efectividad de los controles existentes. Es importante advertir que el nivel de riesgo al que está sometido una compañía nunca puede erradicarse totalmente. Por ello, se debe buscar un equilibrio entre el nivel de recursos y mecanismos que es preciso dedicar para minimizar o mitigar estos riesgos y un cierto nivel de confianza que se puede considerar suficiente (riesgo aceptable). El riesgo residual refleja el riesgo remanente, una vez se han implantado de manera eficaz las acciones planificadas por la entidad para mitigar el riesgo inherente. 3.4.1 Identificación de los controles existentes Este paso consiste en identificar los controles actualmente implementados y en funcionamiento para cada uno de los riesgos analizados. Durante esta actividad se debe determinar la naturaleza de cada control. A continuación, se describen los tipos de control a tener en cuenta:

• Controles Preventivos: Evitan que un evento suceda. Por ejemplo, el requerimiento de un login y password en un sistema de información es un control preventivo. Éste previene (teóricamente) que personas no autorizadas puedan ingresar al sistema.

• Controles Correctivos: Permiten enfrentar la situación una vez se ha presentado. Por ejemplo, en caso de un desastre natural u otra emergencia mediante las pólizas de seguro y otros mecanismos de recuperación de negocio o respaldo, es posible volver a recuperar las operaciones.

• Controles preventivos – correctivos: cuando se aplican los dos tipos de controles al mismo tiempo, por ejemplo: Firewall, en el cual se gestionan permiso de acceso (Control preventivo) y bloquea en caso de detectar un intento de acceso no autorizados (Control correctivo).

3.4.2 Evaluación de los controles existentes Este paso consiste en evaluar si el control es o no es efectivo. Para esto se requiere evaluar cada uno de los siguientes aspectos:

• Ejecución sistematizada (sin intervención de la persona) o manual (aunque se recurra o no a herramientas de TI)


Página 28 de 67

VERSIÓN 1.0




• Existen manuales, instructivos o procedimientos bien definidos que señalen como se ejecuta el control.

• Ha demostrado ser efectivo.

• Tiene un responsable asignado.

• Su aplicación es obligatoria.

• Su ejecución es periódica.

• Se cuenta con evidencias de su ejecución y seguimiento.

• Sus resultados son repetibles.

• Las exclusiones son documentadas y debidamente justificadas. En algunos casos se colocará N/A debido a que en algunos controles no aplican las exclusiones.

Nota: Solo aquellos controles que cumplan con más de 6 aspectos, pueden ser catalogados como controles efectivos. No obstante, el control debe cumplir obligatoriamente con los siguientes criterios:

• Tener un responsable asignado.

• Contar con manuales, instructivos o procedimientos bien definidos,

• Contar con evidencias de su ejecución y seguimiento.

• Presentar resultados repetibles.

• Las exclusiones deben ser documentadas y debidamente justificadas. A continuación, se presenta el proceso para la evaluación de los controles:

Ilustración 9. Proceso de avaluación de los controles

Descripción del control: Corresponde a la mención precisa de un proceso, política, dispositivo, práctica, u otra acción determinada que está prevista para modificar el riesgo. Tipo de control: Corresponde al control preventivo o correctivo. Efectividad del control: Resultado de la evaluación de los criterios antes mencionados para establecer si el control “es efectivo” o “no es efectivo”. 3.4.3 Análisis y valoración del riesgo residual


Página 29 de 67

VERSIÓN 1.0




Una vez los controles han sido evaluados de acuerdo al proceso descrito anteriormente, se procede a determinar si el control analizado reduce la probabilidad o el impacto de un riesgo. Para este análisis se deben tener en cuenta los siguientes criterios de afectación:

Afectación Naturaleza del Control

Probabilidad Controles Preventivos

Controles Correctivos

Probabilidad e Impacto Control preventivo y correctivo.

Tabla 11. Criterios de Afectación del Control

Resultado del análisis del control: Únicamente los controles “efectivos”, reducirán en un nivel la probabilidad o el impacto del riesgo analizado. Esto significa que se realiza un desplazamiento en el mapa de riesgos, así:

a) Si el control es preventivo se reduce en 1 nivel la probabilidad de ocurrencia (los controles cuya probabilidad de ocurrencia en remota, no tiene afectación)

b) Sí el control es correctivo se reduce en 1 nivel el impacto del riesgo (los controles cuyo impacto es insignificante no tienen afectación).

c) Si el control es preventivo y correctivo, reduce en 1 nivel la probabilidad de ocurrencia (los controles cuya probabilidad de ocurrencia en remota, no tiene afectación) y al mismo tiempo en 1 nivel el impacto (los controles cuyo impacto es insignificante no tienen afectación).

Con lo anterior, se presentan movimientos en la ubicación del riesgo en el mapa de riesgos, trasladándose el riesgo a un nuevo campo que denota que se ha reducido su probabilidad (hacia abajo) o su impacto (hacia la izquierda) y a su vez se ubicaría en un nuevo nivel de riesgo. Lo anterior tienen como consecuencia la reevaluación de los planes de tratamiento.

3.5 Riesgo Deseado


Página 30 de 67

VERSIÓN 1.0




El riesgo deseado es el nivel del riesgo que la entidad espera alcanzar, a través de la implementación de planes de tratamiento que mitiguen el riesgo residual valorado. El proceso para el tratamiento del riesgo, incluye las siguientes etapas:

• Identificar las opciones de tratamiento.

• Evaluar las opciones de tratamiento.

• Seleccionar las opciones de tratamiento.

• Preparar Planes de Tratamiento de riesgos.

Ilustración 10. Proceso del tratamiento del riesgo

Evaluación de Riesgo

Co

mu

nic

ació

n

Se

gu

imie

nto

y M

on

itore

o

¿Riesgo Aceptable?

Considerar Posibilidad, Costo y beneficio

Evaluar Opciones de Tratamiento

Seleccionar Estrategia de tratamiento

Preparar Planes de Tratamiento (Recursos y Tiempo necesarios)

Reducir Evitar Compartir Transferir

Reducir Evitar Compartir Transferir

¿Riesgo Aceptable?

Aceptar

Aceptar


Página 31 de 67

VERSIÓN 1.0




3.5.1 Identificación de los planes de tratamiento Este paso consiste en identificar los planes de tratamiento más adecuados para la entidad. Esto implica equilibrar los costos y los esfuerzos para su implementación, así como los beneficios finales. En aras de definir la mejor alternativa para administrar y mitigar los riesgos, FOGACOOP debe tener en cuenta los siguientes aspectos y, posteriormente seleccionar su estrategia de tratamiento de riesgos:

• Beneficios al implantar el tratamiento del riesgo.

• Costo de la implantación del tratamiento del riesgo seleccionado.

• Esfuerzo requerido para la implantación del tratamiento del riesgo.

• Tiempo para impactar la gestión del proceso a través de la implantación del tratamiento del riesgo.

Los planes de tratamiento de riesgos deben contemplar las posibilidades de reducir (eliminando o minimizando las causas del riesgo o las vulnerabilidades asociadas a los activos de información) evitar, transferir, compartir o aceptar el riesgo identificado, teniendo en cuenta la selección de controles específicos para llevar dicho riesgo a un nivel aceptable. Las siguientes son las descripciones de las opciones de tratamiento del riesgo: Los planes de acción están enfocados a la mitigación de los riesgos enfocándose bien sea en la reducción de la probabilidad, en la reducción del impacto o en ambos.

• Reducir Esta acción va encaminada a reducir la probabilidad de ocurrencia del riesgo, eliminando o minimizando las causas de los riesgos, o las vulnerabilidades asociadas a los activos de información. Se consigue mediante la creación u optimización de procedimientos y la implementación de controles para llevar los riesgos a niveles aceptables.

• Evitar Describe las acciones encaminadas a prevenir la materialización del riesgo. Se logra cuando se generan cambios sustanciales en los procesos por mejoramiento, rediseño o eliminación.

• Compartir o Transferir Describe la reducción del riesgo a través del traslado de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido.

• Aceptar


Página 32 de 67

VERSIÓN 1.0




Describe la convivencia con el riesgo si éste llegara a materializarse. Esta situación se presenta cuando el riesgo, a pesar de existir, se encuentra controlado o no genera impacto alguno para la entidad. A continuación se presentan los pasos para definir los planes de tratamiento:

Ilustración 11. Pasos para definir planes de tratamiento

Notas: ID/Nombre: Identificador único del plan de tratamiento. Descripción: Actividades que se van a realizar para mitigar el riesgo. Tipo: Si es un plan correctivo, preventivo o ambos. Fecha estimada de implementación: Fecha en la cual estaría definida y completada la actividad. Estado: Planeado, ejecutado, no ejecutado. Responsable: Cargo encargado de realizar la actividad. Riesgo asociado: Identificador del riesgo al cual está asociado el plan de tratamiento. Los Planes de Tratamiento de Riesgos de seguridad se deben plantear en términos de los controles de la Norma ISO/IEC 27001:2005 y del manual de buenas prácticas de la norma ISO/IEC 27002:2005. 3.5.2 Evaluación de los planes de tratamiento El proceso de evaluación de los planes de tratamiento es similar al proceso especificado en el numeral “3.4.2 Evaluación de los controles existentes”.


Página 33 de 67

VERSIÓN 1.0




Ilustración 12. Proceso de avaluación de los planes de tratamiento

Durante la evaluación de los planes de tratamiento, se deberán considerar aspectos como:

• Viabilidad Jurídica: Velar por que los controles que se van a implantar, no están en contra de la normatividad vigente.

• Viabilidad Técnica e Institucional: Establecer claramente si la entidad está en capacidad de implantar y sostener a largo plazo nuevas tecnologías u otros mecanismos necesarios para ejecutar el control.

• Análisis de costo-beneficio: Esto implica sopesar el costo directo o indirecto con el beneficio que genera el plan de tratamiento analizado. Se ha de considerar el costo inicial del diseño e implementación del plan de tratamiento (procesos, personal, tecnología), así como el costo de mantenerlo de forma continua. Este caso se puede dar específicamente para aquellos controles nuevos que requieren contrataciones adicionales a los funcionarios que desarrollan los procesos o bien cuando se requiere diseñar e implementar sistemas de información o tecnologías específicas para ejecutar el control.

3.5.3 Análisis y valoración del riesgo deseado En este punto es necesario estimar si los planes de tratamiento o controles propuestos reducen la probabilidad o el impacto del riesgo residual para alcanzar el riesgo deseado, se deben tener en cuenta los criterios de afectación de la Tabla 8. Criterios de Afectación del Control. Solo los controles efectivos, reducirán en un nivel la probabilidad o el impacto del riesgo analizado.


Página 34 de 67

VERSIÓN 1.0




3.6 Monitoreo y Revisión

• Trimestralmente, el Comité de Riesgos evaluará el comportamiento del Riesgo, la aplicación del marco metodológico y de su capacidad para prevenir y tratar los eventos, el cumplimiento de las políticas y de los elementos definidos dentro del SARO y reportará a la Dirección y a la Junta Directiva los resultados.

• El marco metodológico se aplicará a todos los procesos y procedimientos que adopte la entidad y cuando estos sean objeto de ajustes, actualizaciones y/o supresiones. Igualmente, cuando se presenten cambios en los activos de información, adopción o implementación de nuevas herramientas y servicios tecnológicos.

• Si bien el seguimiento es periódico, el monitoreo es permanente y continuo y deberá suministrar la siguiente información básica disponible para la toma de decisiones por parte de la Alta Dirección e instancias consultivas o decisorias de la entidad (Dirección, Dueños de Procesos, Comités y Junta Directiva):

a. Perfil del riesgo, en el cual se señale el estado por tipo de riesgo y/o proceso, su

comportamiento, tratamiento y evolución, a través de las matrices de calor para riesgo inherente, residual y deseado.

b. El estado de los activos críticos que administra la entidad y su estado de asegurabilidad.

c. Comportamiento de los eventos e incidentes, cuando generen pérdidas y/o suspendan o afecten la operación de la entidad.

d. Ataques informáticos recibidos que impidan o afecten la prestación de los servicios. e. Nivel de cumplimiento de requisitos normativos o técnicos y el nivel de madurez de

los sistemas de riesgos operativos, de seguridad y de continuidad del negocio.

Los indicadores de seguimiento que reflejen las anteriores mediciones deberán señalar las metas y propósitos que se persiguen, alineados al nivel de tolerancia al riesgo definidos por la entidad, así como a la prioridad de mitigación según el nivel del riesgo.

• El monitoreo y revisión debe verificar que los planes de tratamiento establecidos se estén llevando a cabo. Adicionalmente se debe evaluar la eficiencia en su implementación, y efectuar revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas.

• La información sobre los riesgos, el perfil del riesgo, eventos, incidentes, evaluación de los controles, planes de tratamiento y documentación asociada, deberán estar registradas oportunamente en el sistema de información, de modo que refleje la situación de forma oportuna y se pueda realizar un control efectivo.


Página 35 de 67

VERSIÓN 1.0




• Como parte del desarrollo de las funciones asignadas a las diferentes instancias de la estructura organizacional para la gestión del SAR (Alta Dirección, Comités, Junta Directiva, funcionarios), frente a información sobreviniente y situaciones potencialmente adversas que puedan afectar la operación de la entidad y/o generar pérdidas económicas o tener impactos legales y/o reputacionales, estas instancias deberán alertar y redireccionar sus esfuerzos para decidir y ejecutar acciones de prevención o mitigación de los impactos.


Página 36 de 67

VERSIÓN 1.0




4 BIBLIOGRAFÍA

❑ International Organization for Standardization, ISO/IEC 31000:2011, Risk Management – Principles And Guidelines.

❑ International Organization for Standardization, ISO/IEC 27005:2011. Information Technology -- Security Techniques -- Information Security Risk Management.

❑ Capítulo XXIII de la Circular Externa No. 100 de 1995, Circular Básica Contable y

Financiera.

❑ Guía de Administración del Riesgo. Departamento Administrativo de la Función Pública. 2014.

❑ Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process. May 2007.


Página 37 de 67

VERSIÓN 1.0




5 ANEXOS

5.1 Amenazas más comunes Las siguientes fuentes de amenaza son las más comunes. Origen: D=Deliberada, A=Accidental, M=Medio ambiente

Tipo de amenaza Amenazas Origen

Daños físicos Fuego D,A,M

Daños por agua D,A,M

Polución D,A,M

Destrucción de equipo o medios D,A,M

Polvo, Corrosión, Congelamiento D,A,M

Eventos naturales Fenómeno climático M

Fenómeno símico M

Fenómeno volcánico M

Inundación M

Perdida de servicios esenciales

Falla de aire acondicionado D,A

Falla de suministro de agua D,A,

Falla de energía eléctrica D,A,M

Falla de equipo de comunicaciones D,A

Perturbaciones por radiación

Electromagnetismo D,A,M

Radiación térmica D,A,M

Pulso electrónico D,A,M

Información comprometida

Interceptación de señal D

Espionaje remoto D

Escucha secreta (espionaje telefónico) D

Robo de medios D

Robo de documentos D

Robo de equipos D

Recuperación de basura D

Recuperación de medios descartados D

Revelación de información D,A

Datos de fuentes no confiables D,A

Modificación de hardware con fines criminales D

Modificación de software con fines criminales D

Fallas técnicas Falla de equipo A

Funcionamiento deficiente de equipo A

Saturación de sistema D,A

Funcionamiento deficiente de software A

Falla en el mantenimiento de sistema A,D

Acciones no autorizadas

Uso no autorizado de equipo D

Copia fraudulenta de software D

Copia fraudulenta de datos D

Corrupción de datos D


Página 38 de 67

VERSIÓN 1.0




Tipo de amenaza Amenazas Origen

Procesamiento ilegal de datos D

Compromiso de funciones

Error en uso A

Abuso de privilegios D,A

Olvido de privilegios D

Denegación de acciones D

Brecha en disponibilidad de personal D,A,M

Amenaza informática humana

Hacker, Cracker D

Cibercrimen D

Terrorismo D

Espionaje industrial D

Infiltrados D

Tabla 12. Lista de amenazas más comunes

5.2 Lista de vulnerabilidades comunes A continuación, se describe una lista parcial de las vulnerabilidades más comunes:

Tipo Vulnerabilidad

Hardware

Falta o ausencia de mantenimiento

Ausencia de programa de reemplazo de partes

Susceptibilidad de polvo, humedad, barro

Sensibilidad a campo electromagnético

Ausencia de sistema eficiente de control de cambios

Susceptibilidad a cambios de temperatura

Bodegas desprotegidas

Ausencia de procedimiento de destrucción de medios

Copias no controladas

Software

Ausencia de procesos detallados de pruebas

Fallas conocidas en el software

Sesiones abiertas sin usuario presente

Reúso de medios sin procedimiento de borrado seguro

Ausencia de pistas de auditoría

Incorrecta asignación de privilegios

Distribución masiva de software

Interfaces de usuario complejas

Ausencia de documentación

Parámetros incorrectos de configuración

Fechas incorrectas

Ausencia de mecanismos para identificación y autenticación de usuarios

Tablas de claves desprotegidas

Servicios innecesarios habilitados

Gestión deficiente de claves

Software inmaduro


Página 39 de 67

VERSIÓN 1.0




Tipo Vulnerabilidad

Especificaciones incompletas, incorrectas o no documentadas para desarrolladores

Ausencia de proceso efectivo de control de cambios

Uso no controlado de software descargado

Ausencia de copias de respaldo

Ausencia de protecciones físicas en puertas y ventanas

Ausencia de reportes de gestión

Redes

Ausencia de prueba de envío o recepción de mensaje

Líneas de comunicación desprotegidas

Tráfico de datos sensibles no protegido

Cableado deficiente

Puntos únicos de falla

Ausencia de identificación de transmisor y receptor

Infraestructura de red insegura

Transmisión de claves sin protección

Inadecuada gestión de elementos de red

Conexiones a redes públicas desprotegidas

Personal

Ausencia de personal

Procedimientos de selección de personal deficientes

Entrenamiento en seguridad de la información deficiente o insuficiente

Ausencia de conciencia en seguridad de la información

Ausencia de mecanismos de monitoreo de personal

Ausencia de políticas de uso correcto de activos de información

Sedes

Uso deficiente de controles de acceso a sedes

Ubicación en una sede susceptible a inundación

Redes eléctricas inestables

Ausencia de protecciones físicas en sedes

Organización

Ausencia de procedimientos formales para registro y eliminación de usuarios

Ausencia de procedimientos formales para revisión de privilegios

Ausencia de cláusulas sobre seguridad de la información en contratos con terceros

Ausencia de procedimientos formales para supervisar el procesamiento de información

Ausencia de auditorías regulares de seguridad de la información

Ausencia de procedimientos efectivos para gestión de riesgos

Ausencia de procedimientos para revisión de registros de auditoría

Inadecuados tiempos de respuesta para servicios de mantenimiento

Acuerdo de niveles de servicio desactualizados

Ausencia de procedimientos para control de documentación

Ausencia de procedimientos para la revisión de la seguridad

Ausencia de procedimientos para clasificación de información

Ausencia de responsabilidades sobre la seguridad de la información

Planes de continuidad desactualizados

Ausencia de procedimientos para el control de paso a producción de software

Ausencia de cláusulas sobre la seguridad de la información en los contratos de funcionarios


Página 40 de 67

VERSIÓN 1.0




Tipo Vulnerabilidad

Políticas de seguridad de la información desactualizadas

Tabla 13. Lista de vulnerabilidades más comunes

5.3 Guía para la identificación de riesgos de seguridad de la información

IDENTIFICACIÓN PROCESO DEL NEGOCIO

Nombre de Proceso

Nombre del

Subproceso

Nombre de Persona Entrevistada

Cargo Persona

Entrevistada

Funcionario Crítico Alternos

CONTEXTO DEL PROCESO

¿Quiénes son los Clientes Internos y/o Externos de su proceso?

Interno

Externos

¿Quiénes son los Proveedores Internos y/o Externos de su proceso?

Interno

Externos

ASPECTOS DE SEGURIDAD


Página 41 de 67

VERSIÓN 1.0




¿Ha recibido campañas de concienciación en Seguridad de Información? ¿Cómo?

¿La información sensible está identificada y clasificada? ¿Cómo?

¿Es usted consiente de la responsabilidad con respecto al uso de la información sensible? Describa

¿Considera que la información sensible está altamente protegida? ¿Sabe si cuenta con algún tipo control o cifrado?

¿Considera que las contraseñas utilizadas para acceder a los recursos son fuertes? ¿Qué debe contener una contraseña segura?

¿Han sido objeto de amenazas como ingeniería social? ¿Interna/Externa?

SISTEMAS Y SERVICIOS DEL PROCESO

¿Cuáles son los Sistemas de Información que se usan en el Proceso?

¿Cuáles son los Servicios que se usan en el Proceso?

Existe una situación en la que un empleado o un externo pueda acceder a uno o más contenedores de información, accidental o intencionalmente, causando que su información sea:

No No Accidental

mente

Si Accidental

mente


Página 42 de 67

VERSIÓN 1.0




¿Revelada a personas no autorizadas?

¿Modificada para que no sea utilizable para los propósitos previstos?

¿No disponible para que no pueda ser accedida para los propósitos previstos?

¿Destruida permanentemente por lo que no puede ser utilizada para los propósitos previstos?

Alguna vez se ha presentado la No disponibilidad de las instalaciones físicas, debido a:

Si No Evento

Marchas o protestas

Desastres naturales (terremotos, inundaciones, incendios, etc.)

Ataque externo (Ataque terrorista)

¿Indique el porcentaje de dependencia de los sistemas de información o aplicaciones?

¿Indique el porcentaje de dependencia de los servicios tecnológicos?

¿Han existido errores que no fueron detectados de manera oportuna a través de los procedimientos establecidos? Si/No. En caso afirmativo describa

Determine si cualquiera de las siguientes situaciones puede ocurrir y, en caso afirmativo, determine si estas situaciones podrían causar uno o más de los siguientes resultados:

Divulgac

ión Si/No

Modificación

Si/No

Interrupción

Si/No

Perdida Si/No

¿Fallas en sistemas de información de origen conocido o desconocido?

¿Ejecución de código malicioso (virus, gusano, caballo de Troya o puerta trasera)?

¿Problemas con las telecomunicaciones?

¿Problemas en sistemas de información provistos por terceros?


Página 43 de 67

VERSIÓN 1.0




¿Existen servicios críticos Tercerizados? Si/No En caso de ser Afirmativo describa Cuáles?

EVENTOS PRESENTADOS EN EL PROCESO

Alguna vez se ha presentado la Interrupción de proveedores críticos, debido a:

Si/No Cual

Falla masiva de hardware en el centro de cómputo del proveedor.

Desastres naturales (Inundaciones, incendios, etc.), ataques terroristas que afecten el Centro de Computo Principal del proveedor

Caída de Sistemas o Servicios Críticos por ataques informáticos al Centro de Computo Principal proveedor.

Falla masiva de los canales provistos por los proveedores de telecomunicaciones

Capacidad instalada insuficiente para prestar los servicios tecnológicos tercerizados con los proveedores.

Finalización de contratos con los proveedores

Desastre Natural que imposibilite las operaciones de los proveedores

No realizar los pagos de la nómina de los contratistas a tiempo.

Alguna vez se ha presentado alguna de las siguientes situaciones:

Si/No Cual

Información Errónea

Cálculos errados por información imprecisa en los sistemas

Publicidad negativa en redes sociales

Ataque a las páginas WEB

Interrupción simultanea de todos los canales de servicio al cliente

Situaciones de emergencia en fines de semana en instalaciones de la entidad

Perdida o destrucción de información


Página 44 de 67

VERSIÓN 1.0




Interrupción de los procesos de negocio

Incumplimiento de obligaciones legales y regulatorias

Reportar información errada e inoportuna a entes de control

Imputación de cargos al representante legal

Destrucción de instalaciones críticas

Siniestros en cooperativas que afecten la ciudadanía

Fuga de información de los afiliados a las cooperativas (habeas data)

Secuestro o extorsión de funcionarios de la entidad

Fallecimiento simultáneo de funcionarios críticos


Página 45 de 67

VERSIÓN 1.0




5.4 Información de referencia - Alternativas evaluadas para establecer los impactos cuantitativos de los riesgos

Propuesta: Impacto Económico - Liquidez Esta propuesta consiste en medir el impacto económico de acuerdo a la liquidez mensual, teniendo en cuenta lo siguiente: Promedio liquidez mensual 2017: $ 6.614.000.000 Presupuesto gasto 2017 anual: $ 13.667.732.552 Liquidez después de gastos: $ 5.475.022.287

𝒚 = 𝑲 ∗ 𝒆𝟏,𝟓𝑿


Insignificante Costo financiero menor al 1,0% de la liquidez menos el presupuesto de gasto mensual.

Costo financiero de menos de $60,7 millones.

1

Menor Costo financiero entre el 1,1% y el 4,9% de la liquidez menos el presupuesto de gasto mensual.


5

Moderado Costo financiero entre el 5,0% y el 22,2% de la liquidez menos el presupuesto de gasto mensual.

Costo financiero de $272,5 millones y $1221.5 millones.

10

Mayor Costo financiero entre el 22,3% y el 99,9% de la liquidez menos el presupuesto de gasto mensual.

Costo financiero de $1221.6 millones y $5474,9 millones.

15

Catastrófico Costo financiero mayor al 100% de la liquidez menos el presupuesto de gasto mensual.

Costo financiero mayor de $5475,0 millones.

20

Tabla 14. Niveles del impacto económico (Liquidez)

Ilustración 13. Distribución del impacto económico (Liquidez)

$-

$1.000.000.000

$2.000.000.000

$3.000.000.000

$4.000.000.000

$5.000.000.000

$6.000.000.000

0 1 2 3 4 5 6

Niveles


Página 46 de 67

VERSIÓN 1.0




Propuesta: Impacto Económico - Presupuesto Esta propuesta consiste en medir el impacto económico de acuerdo al presupuesto de gasto anual, teniendo en cuenta lo siguiente: Presupuesto gasto 2017 anual: $ 13.667.732.552

𝒚 = 𝑲 ∗ 𝒆𝟏,𝟓𝑿


Insignificante Costo financiero menor al 1,0% del presupuesto de gasto anual.


1

Menor Costo financiero entre el 1,1% y el 4,9% del presupuesto de gasto anual.


5

Moderado Costo financiero entre el 5,0% y el 22,2% del presupuesto de gasto anual.


10

Mayor Costo financiero entre el 22,3% y el 99,9% del presupuesto de gasto anual.

Costo financiero de $3049,6 millones y $13667.6 millones.

15

Catastrófico Costo financiero mayor al 100% del presupuesto de gasto anual.

Costo financiero mayor de $13667,7 millones.

20

Tabla 15. Niveles del impacto económico (Presupuesto)

Ilustración 14. Distribución del impacto económico (Presupuesto)

$-

$2.000.000.000

$4.000.000.000

$6.000.000.000

$8.000.000.000

$10.000.000.000

$12.000.000.000

$14.000.000.000

$16.000.000.000

0 1 2 3 4 5 6

Niveles


Página 47 de 67

VERSIÓN 1.0




Propuesta: Impacto Económico - Patrimonio Esta propuesta consiste en medir el impacto económico de acuerdo al patrimonio, teniendo en cuenta lo siguiente: Total patrimonio: $ 535.100.000.000 Reserva seguro depósito: $ 337.169.000.000 Patrimonio sin reserva: $ 197.931.000.000

𝒚 = 𝑲 ∗ 𝒆𝟐𝑿


Insignificante Costo financiero menor al 0,24% del patrimonio sin la reserva.


1

Menor Costo financiero entre el 0,25% y el 1,82% del patrimonio sin la reserva.


5

Moderado Costo financiero entre el 1,83% y el 13,52% del patrimonio sin la reserva.


10

Mayor Costo financiero entre el 13,53 % y el 99,9% del patrimonio sin la reserva.


15

Catastrófico Costo financiero mayor al 100% del patrimonio sin la reserva.

Costo financiero mayor de $197931 millones.

20

Tabla 16. Niveles del impacto económico (Patrimonio)

Ilustración 15. Distribución del impacto económico (Patrimonio)

$-

$50.000.000.000

$100.000.000.000

$150.000.000.000

$200.000.000.000

$250.000.000.000

0 1 2 3 4 5 6

Niveles


Página 48 de 67

VERSIÓN 1.0




5.5 Categorías de riesgo - SARO

Tabla 17. Categorías riesgo SARO

5.6 Guía para identificar riesgos operativos

Categorías de Riesgo Definición

Fraude Interno Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un empleado o administrador de la entidad.

Fraude Externo Actos realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos de la entidad o incumplir normas o leyes

Prácticas laborales y seguridad del ambiente de trabajo

Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre el pago de reclamaciones por daños personales, o sobre casos relacionados con la diversidad / discriminación

Prácticas relacionadas con clientes, los productos y el negocio

Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional frente a clientes concretos, o de la naturaleza de un servicio que presta Fogacoop

Daños a los activos físicos

Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos

Interrupción del negocio por fallas en la tecnología de información

Pérdidas derivadas de incidencias en el negocio por fallas en los sistemas

Deficiencias en la ejecución de procesos, en el procesamiento de operaciones y en las relaciones con proveedores y terceros

Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores

Lavado de Activos y Financiación del Terrorismo

Introducir recursos provenientes de actividades relacionadas con lavado de activos y la financiación del terrorismo y el detectar y reportar las operaciones que se pretendan realizar o se hayan realizado.


Página 49 de 67

VERSIÓN 1.0




Preguntas para identificar riesgos operativos

1. Nombre del Proceso:

2. Nombre del Subproceso:

3. Objetivo del proceso:

4. Actividad, punto o instancia del proceso en que se podría presentar riesgos operativos:

5. Identifique el riesgo presentado en la situación (DESCRIPCIÓN DEL RIESGO).

6. Descripción detallada de una situación o evento que impida el cumplimiento del objetivo.

7. Agentes generadores de la situación de descrita (Recurso Humano -Tecnología - Procesos - Acontecimientos externos)

8. Activos tangibles o intangibles afectados por la situación.

9. Causas que contribuyen para generar la situación.

10. Clasificación del riesgo: (Fraude Interno - Fraude Externo - Relaciones laborales – Clientes - Daños a activos físicos - Fallas tecnológicas -Ejecución y administración de procesos).

11. Ha ocurrido la situación descrita.

12. Cuantas veces (frecuencia).

Preguntas para medir los riesgos operativos

13. ¿Con su experiencia en el proceso, cual es la probabilidad de ocurrencia?

Preguntas para controlar los riesgos operativos

14. ¿Existen tareas de control para prevenir o mitigar el riesgo?

15. ¿Se están aplicando en la actualidad?

16. ¿Son efectivas para prevenir o mitigar el riesgo?

17. ¿las tareas de control existentes están documentados en algún procedimiento?

18. Describa las tareas de control para prevenir o mitigar el riesgo:

19. Calificación Controles

Propósito Control


Página 50 de 67

VERSIÓN 1.0




GLOSARIO2 GESTION DE RIESGOS Riesgo. Efecto de la incertidumbre sobre los objetivos. NOTA 1 Un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos. NOTA 2 Los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad, y metas ambientales) y se pueden aplicar en niveles diferentes (estratégico, en toda la organización, en proyectos, productos y procesos). NOTA 3 A menudo el riesgo está caracterizado por la referencia a los eventos (véase el numeral 2.17) potenciales y las consecuencias (véase el numeral 2.18) o a una combinación de ellos. NOTA 4 Con frecuencia, el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluyendo los cambios en las circunstancias) y en la probabilidad (Likelihood) (véase el numeral 2.19) de que suceda. NOTA 5 Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o el conocimiento de un evento, su consecuencia o probabilidad.GTC 137 (ISO Guía 73:2009, definición 1.1). Gestión del riesgo. Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo (véase el numeral 2.1). GTC 137 (ISO Guía 73:2009, definición 2.1). Marco de referencia para la gestión del riesgo. Conjunto de componentes que brindan las bases y las disposiciones de la organización para diseñar, implementar, monitorear (véase el numeral 2.28), revisar y mejorar continuamente la gestión del riesgo (véase el numeral 2.2) a través de toda la organización. NOTA 1 Las bases incluyen la política, los objetivos, el comando y el compromiso para gestionar el riesgo (véase el numeral 2.1). NOTA 2 Las disposiciones de la organización incluyen planes, relaciones, rendición de cuentas (Accountability),recursos, procesos y actividades. NOTA 3 El marco de referencia para la gestión del riesgo está incluido en las políticas y prácticas estratégicas y operacionales globales de la organización. GTC 137 (ISO Guía 73:2009, definición 2.1.1). Política para la gestión del riesgo. Declaración de la dirección y las intenciones generales de una organización con respecto a la gestión del riesgo (véase el numeral 2.2). GTC 137 (ISO Guía 73:2009, definición 2.1.2).

2 Tomado de la Norma Técnica Colombiana NTC-ISO/IEC 27001 (2006-03-22)


Página 51 de 67

VERSIÓN 1.0




Actitud hacia el riesgo. Enfoque de la organización para evaluar y eventualmente buscar, retener, tomar o alejarse del riesgo (véase el numeral 2.1). GTC 137 (ISO Guía 73:2009, definición 3.7.1.1). Plan para la gestión del riesgo. Esquema dentro del marco de referencia para la gestión del riesgo (véase el numeral 2.3) que especifica el enfoque, los componentes y los recursos de la gestión que se van a aplicar a la gestión del riesgo (véase el numeral 2.1). NOTA 1 Los componentes de la gestión comúnmente incluyen procedimientos, prácticas, asignación de responsabilidades, secuencia y oportunidad de las actividades. NOTA 2 El plan para la gestión del riesgo se puede aplicar a productos, procesos y proyectos particulares, y a parte de la organización o su totalidad. GTC 137 (ISO Guía 73:2009, definición 2.1.3). Propietario del riesgo. Persona o entidad con la responsabilidad de rendir cuentas y la autoridad para gestionar un riesgo (véase el numeral 2.1). GTC 137 (ISO Guía 73:2009, definición 3.5.1.5). Proceso para la gestión del riesgo. Aplicación sistemática de las políticas, los procedimientos y las prácticas de gestión a las actividades de comunicación, consulta, establecimiento del contexto, y de identificación, análisis, evaluación, tratamiento, monitoreo (véase el numeral 2.28) y revisión del riesgo (véase el numeral 2.1). GTC 137 (ISO Guía 73:2009, definición 3.1). Establecimiento del contexto. Definición de los parámetros internos y externos que se han de tomar en consideración cuando se gestiona el riesgo, y establecimiento del alcance y los criterios del riesgo (véase el numeral 2.22) para la política para la gestión del riesgo (véase el numeral 2.4). GTC 137 (ISO Guía 73:2009, definición 3.3.1). Contexto externo. Ambiente externo en el cual la organización busca alcanzar sus objetivos. NOTA El contexto externo puede incluir: - el ambiente cultural, social, político, legal, reglamentario, financiero, tecnológico, económico, natural y competitivo, bien sea internacional, nacional, regional o local; - impulsores clave y tendencias que tienen impacto en los objetivos de la organización; y - relaciones con las partes involucradas (véase el numeral 2.13) y sus percepciones y valores. GTC 137 (ISO Guía 73:2009, definición 3.3.1.1). Contexto interno. Ambiente interno en el cual la organización busca alcanzar sus objetivos. NOTA El contexto interno puede incluir: - gobierno, estructura organizacional, funciones y responsabilidades; - políticas, objetivos y estrategias implementadas para lograrlos; - las capacidades, entendidas en términos de recursos y conocimiento (por ejemplo capital, tiempo, personas, procesos, sistemas y tecnologías);


Página 52 de 67

VERSIÓN 1.0




- sistemas de información, flujos de información y procesos para la toma de decisiones (tanto formales como informales); - relaciones con las partes involucradas internas y sus percepciones y valores; - la cultura de la organización; - normas, directrices y modelos adoptados por la organización; y - forma y extensión de las relaciones contractuales. GTC 137 (ISO Guía 73:2009, definición 3.3.1.2). Comunicación y consulta. Procesos continuos y reiterativos que una organización lleva a cabo para suministrar, compartir u obtener información e involucrarse en un diálogo con las partes involucradas (véase el numeral 2.13) con respecto a la gestión del riesgo (véase el numeral 2.1). NOTA 1 La información se puede relacionar con la existencia, la naturaleza, la forma, la probabilidad (Likelihood) (véase el numeral 2.19), el significado, la evaluación, la aceptabilidad y el tratamiento de la gestión del riesgo. NOTA 2 La consulta es un proceso de doble vía de la comunicación informada entre una organización y sus partes involucradas, acerca de algún tema, antes de tomar una decisión o determinar una dirección para dicho tema. La consulta es: - un proceso que tiene impacto en la decisión a través de la influencia más que del poder; y - una entrada para la toma de decisiones, no para la toma conjunta de decisiones. GTC 137 (ISO Guía 73:2009, definición 3.2.1). Parte involucrada. Persona u organización que puede afectar, verse afectada o percibirse a sí misma como afectada por una decisión o una actividad. NOTA Una persona que toma decisiones puede ser una parte involucrada. GTC 137 (ISO Guía 73:2009, definición 3.2.1.1). Valoración del riesgo. Proceso global de identificación del riesgo (véase el numeral 2.15), análisis del riesgo (véase el numeral 2.21) y evaluación del riesgo (véase el numeral 2.24). GTC 137 (ISO Guía 73:2009, definición 3.4.1) Identificación del riesgo. Proceso para encontrar, reconocer y describir el riesgo (véase el numeral 2.1).NOTA 1 La identificación del riesgo implica la identificación de las fuentes de riesgo (véase el numeral 2.16), los eventos (véase el numeral 2.17), sus causas y sus consecuencias (véase el numeral 2.18) potenciales. NOTA 2 La identificación del riesgo puede involucrar datos históricos, análisis teóricos, opiniones informadas y expertas, y las necesidades de las partes involucradas (véase el numeral 2.13). GTC 137 (ISO Guía 73:2009, definición 3.5.1). Fuente de riesgo. Elemento que solo o en combinación tiene el potencial intrínseco de originar un riesgo (véase el numeral 2.1). NOTA Una fuente de riesgo puede ser tangible o intangible. GTC 137 (ISO Guía 73:2009, definición 3.5.1.2).


Página 53 de 67

VERSIÓN 1.0




Evento. Presencia o cambio de un conjunto particular de circunstancias. NOTA 1 Un evento puede ser una o más ocurrencias y puede tener varias causas. NOTA 2 Un evento puede consistir en algo que no está sucediendo. NOTA 3 En ocasiones, se puede hacer referencia a un evento como un "incidente" o "accidente". NOTA 4 También se puede hacer referencia a un evento sin consecuencias (véase el numeral 2.18) como un "cuasi accidente", "incidente", "situación de peligro" o "conato de accidente". GTC 137 (ISO Guía 73:2009, definición 3.5.1.3) Consecuencia. Resultado de un evento (véase el numeral 2.17) que afecta a los objetivos. NOTA 1 Un evento puede originar un rango de consecuencias. NOTA 2 Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos en los objetivos. NOTA 3 Las consecuencias se pueden expresar cualitativa o cuantitativamente. NOTA 4 Las consecuencias iniciales pueden escalar a través de efectos secundarios. GTC 137 (ISO Guía 73:2009, definición 3.6.1.3) Probabilidad (Likelihood). Oportunidad de que algo suceda. NOTA 1 En la terminología de la gestión del riesgo, la palabra "probabilidad (Likelihood)" se utiliza para hacer referencia a la oportunidad de que algo suceda, esté o no definido, medido o determinado objetiva o subjetivamente, cualitativa o cuantitativamente, y descrito utilizando términos generales o matemáticos (como la probabilidad numérica (Probability) o la frecuencia en un periodo de tiempo determinado). NOTA 2 El término inglés "Likelihood (probabilidad)" no tiene un equivalente directo en algunos idiomas; en lugar de ello se utiliza el término equivalente de "Probability (probabilidad numérica Sin embargo en inglés "Probability" con frecuencia se interpreta más estrechamente como un término matemático. Por lo tanto, en la terminología de la gestión del riesgo, "Likelihood" se usa con la intensión de que tenga la misma interpretación amplia que el término "probabilidad" en muchos idiomas diferentes del inglés. GTC 137 (ISO Guía 73:2009, definición 3.6.1.1). Perfil del riesgo. Descripción de cualquier conjunto de riesgos (véase el numeral 2.1). NOTA El conjunto de riesgos puede contener aquellos que se relacionan con la organización en su totalidad, con parte de la organización o según otra definición. GTC 137 (ISO Guía 73:2009, definición 3.8.2.5). Análisis del riesgo. Proceso para comprender la naturaleza del riesgo (véase el numeral 2.1) y determinar el nivel de riesgo (véase el numeral 2.23). NOTA 1 El análisis del riesgo proporciona las bases para la evaluación del riesgo (véase el numeral 2.24) y las decisiones sobre el tratamiento del riesgo (véase el numeral 2.25). NOTA 2 El análisis del riesgo incluye la estimación del riesgo. GTC 137 (ISO Guía 73:2009, definición 3.6.1). Criterios del riesgo. Términos de referencia frente a los cuales se evalúa la importancia de un riesgo (véase el numeral 2.1).


Página 54 de 67

VERSIÓN 1.0




NOTA 1 Los criterios del riesgo se basan en los objetivos y el contexto externo (véase el numeral 2.10) e interno (véase el numeral 2.11) de la organización. NOTA 2 Los criterios del riesgo se pueden derivar de normas, leyes, políticas y otros requisitos. GTC 137 (ISO Guía 73:2009, definición 3.3.1.3). Nivel de riesgo. Magnitud de un riesgo (véase el numeral 2.1) o de una combinación de riesgos, expresada en términos de la combinación de las consecuencias (véase el numeral 2.18) y su probabilidad (véase el numeral 2.19). GTC 137 (ISO Guía 73:2009, definición 3.6.1.8). Evaluación del riesgo. Proceso de comparación de los resultados del análisis del riesgo (véase el numeral 2.21) con los criterios del riesgo (véase el numeral 2.22), para determinar si el riesgo (véase el numeral 2.1), su magnitud o ambos son aceptables o tolerables. NOTA La evaluación del riesgo ayuda en la decisión acerca del tratamiento del riesgo (véase el numeral 2.25). GTC 137 (ISO Guía 73:2009, definición 3.7.1). Tratamiento del riesgo. Proceso para modificar el riesgo (véase el numeral 2.1). NOTA 1 El tratamiento del riesgo puede implicar: - evitar el riesgo decidiendo no iniciar o continuar la actividad que lo originó; - tomar o incrementar el riesgo con el fin de perseguir una oportunidad; - retirar la fuente del riesgo (véase el numeral 2.16); - cambiar la probabilidad (véase el numeral 2.19); - cambiar las consecuencias (véase el numeral 2.18); - compartir el riesgo con una o varias de las partes (incluyendo los contratos y la financiación del riesgo); y - retener el riesgo a través de la decisión informada. NOTA 2 En ocasiones se hace referencia a los tratamientos del riesgo relacionados con consecuencias negativas como "mitigación del riesgo", "eliminación del riesgo", "prevención del riesgo" y "reducción del riesgo". NOTA 3 El tratamiento del riesgo puede crear riesgos nuevos o modificar los existentes. GTC 137 (ISO Guía 73:2009, definición 3.8.1). Control. Medida que modifica al riesgo (véase el numeral 2.1) NOTA 1 Los controles incluyen procesos, políticas, dispositivos, prácticas u otras acciones que modifican al riesgo. NOTA 2 Los controles no siempre pueden ejercer el efecto modificador previsto o asumido. GTC 137 (ISO Guía 73:2009, definición 3.8.1.1). Riesgo residual Riesgo (véase el numeral 2.1) remanente después del tratamiento del riesgo (véase el numeral 2.25). NOTA 1 El riesgo residual puede contener un riesgo no identificado. NOTA 2 El riesgo residual también se conoce como "riesgo retenido". GTC 137 (ISO Guía 73:2009, definición 3.8.1.6).


Página 55 de 67

VERSIÓN 1.0




Monitoreo. Verificación, supervisión, observación crítica o determinación continua del estado con el fin de identificar cambios con respecto al nivel de desempeño exigido o esperado. NOTA El monitoreo se puede aplicar al marco de referencia para la gestión del riesgo (véase el numeral 2.3), al proceso para la gestión del riesgo (véase el numeral 2.8), al riesgo (véase el numeral 2.1) o al control (véase el numeral 2.26). GTC 137 (ISO Guía 73:2009, definición 3.8.2.1). Revisión. Acción que se emprende para determinar la idoneidad, conveniencia y eficacia de la materia en cuestión para lograr los objetivos establecidos. NOTA La revisión se puede aplicar al marco de referencia para la gestión del riesgo (véase el numeral 2.3), al proceso para la gestión del riesgo (véase el numeral 2.8), al riesgo (véase el numeral 2.1) o al control (véase el numeral 2.26). GTC 137 (ISO Guía 73:2009, definición 3.8.2.2) Modelo de Seguridad y Privacidad de la Información - MSPI Activo: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas…) que tenga valor para la organización. (ISO/IEC 27000). Activo de Información: En relación con la privacidad de la información, se refiere al activo que contiene información pública que el sujeto obligado genere, obtenga, adquiera, transforme o controle en su calidad de tal. Archivo: Conjunto de documentos, sea cual fuere su fecha, forma y soporte material, acumulados en un proceso natural por una persona o entidad pública o privada, en el transcurso de su gestión, conservados respetando aquel orden para servir como testimonio e información a la persona o institución que los produce y a los ciudadanos, o como fuentes de la historia. También se puede entender como la institución que está al servicio de la gestión administrativa, la información, la investigación y la cultura. (Ley 594 de 2000, art 3) Amenazas: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización. (ISO/IEC 27000). Análisis de Riesgo: Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo. (ISO/IEC 27000).


Página 56 de 67

VERSIÓN 1.0




Auditoría: Proceso sistemático, independiente y documentado para obtener evidencias de auditoria y obviamente para determinar el grado en el que se cumplen los criterios de auditoria. (ISO/IEC 27000). Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales (Ley 1581 de 2012, art 3) Bases de Datos Personales: Conjunto organizado de datos personales que sea objeto de Tratamiento (Ley 1581 de 2012, art 3) Ciberseguridad: Capacidad del Estado para minimizar el nivel de riesgo al que están expuestos los ciudadanos, ante amenazas o incidentes de naturaleza cibernética. (CONPES 3701). Ciberespacio: Es el ambiente tanto físico como virtual compuesto por computadores, sistemas computacionales, programas computacionales (software), redes de telecomunicaciones, datos e información que es utilizado para la interacción entre usuarios. (Resolución CRC 2258 de 2009). Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. Control es también utilizado como sinónimo de salvaguarda o contramedida. En una definición más simple, es una medida que modifica el riesgo. Datos Abiertos: Son todos aquellos datos primarios o sin procesar, que se encuentran en formatos estándar e interoperables que facilitan su acceso y reutilización, los cuales están bajo la custodia de las entidades públicas o privadas que cumplen con funciones públicas y que son puestos a disposición de cualquier ciudadano, de forma libre y sin restricciones, con el fin de que terceros puedan reutilizarlos y crear servicios derivados de los mismos (Ley 1712 de 2014, art 6) Datos Personales: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. (Ley 1581 de 2012, art 3). Datos Personales Públicos: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. (Decreto 1377 de 2013, art 3) Datos Personales Privados: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular. (Ley 1581 de 2012, art 3 literal h)


Página 57 de 67

VERSIÓN 1.0




Datos Personales Mixtos: Para efectos de esta guía es la información que contiene datos personales públicos junto con datos privados o sensibles. Datos Personales Sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos. (Decreto 1377 de 2013, art 3) Declaración de aplicabilidad: Documento que enumera los controles aplicados por el Sistema de Gestión de Seguridad de la Información – SGSI, de la organización tras el resultado de los procesos de evaluación y tratamiento de riesgos y su justificación, así como la justificación de las exclusiones de controles del anexo A de ISO 27001. (ISO/IEC 27000). Derecho a la Intimidad: Derecho fundamental cuyo núcleo esencial lo constituye la existencia y goce de una órbita reservada en cada persona, exenta de la intervención del poder del Estado o de las intromisiones arbitrarias de la sociedad, que le permite a dicho individuo el pleno desarrollo de su vida personal, espiritual y cultural (Jurisprudencia Corte Constitucional). Encargado del Tratamiento de Datos: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. (Ley 1581 de 2012, art 3) Gestión de incidentes de seguridad de la información: Procesos para detectar, reportar, evaluar, responder, tratar y aprender de los incidentes de seguridad de la información. (ISO/IEC 27000). Información Pública Clasificada: Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado, siempre que se trate de las circunstancias legítimas y necesarias y los derechos particulares o privados consagrados en el artículo 18 de la Ley 1712 de 2014. (Ley 1712 de 2014, art 6) Información Pública Reservada: Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso a la ciudadanía por daño a intereses públicos y bajo cumplimiento de la totalidad de los requisitos consagrados en el artículo 19 de la Ley 1712 de 2014. (Ley 1712 de 2014, art 6)


Página 58 de 67

VERSIÓN 1.0




Ley de Habeas Data: Se refiere a la Ley Estatutaria 1266 de 2008. Ley de Transparencia y Acceso a la Información Pública: Se refiere a la Ley Estatutaria 1712 de 2014. Mecanismos de protección de datos personales: Lo constituyen las distintas alternativas con que cuentan las entidades destinatarias para ofrecer protección a los datos personales de los titulares tales como acceso controlado, anonimización o cifrado. Plan de continuidad del negocio: Plan orientado a permitir la continuación de las principales funciones misionales o del negocio en el caso de un evento imprevisto que las ponga en peligro. (ISO/IEC 27000). Plan de tratamiento de riesgos: Documento que define las acciones para gestionar los riesgos de seguridad de la información inaceptables e implantar los controles necesarios para proteger la misma. (ISO/IEC 27000). Privacidad: En el contexto de este documento, por privacidad se entiende el derecho que tienen todos los titulares de la información en relación con la información que involucre datos personales y la información clasificada que estos hayan entregado o esté en poder de la entidad en el marco de las funciones que a ella le compete realizar y que generan en las entidades destinatarias del Manual de GEL la correlativa obligación de proteger dicha información en observancia del marco legal vigente. Registro Nacional de Bases de Datos: Directorio público de las bases de datos sujetas a Tratamiento que operan en el país. (Ley 1581 de 2012, art 25) Responsabilidad Demostrada: Conducta desplegada por los Responsables o Encargados del tratamiento de datos personales bajo la cual a petición de la Superintendencia de Industria y Comercio deben estar en capacidad de demostrarle a dicho organismo de control que han implementado medidas apropiadas y efectivas para cumplir lo establecido en la Ley 1581 de 2012 y sus normas reglamentarias. Responsable del Tratamiento de Datos: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. (Ley 1581 de 2012, art 3). Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias. (ISO/IEC 27000). Seguridad de la información: Preservación de la confidencialidad, integridad, y disponibilidad de la información. (ISO/IEC 27000).


Página 59 de 67

VERSIÓN 1.0




Sistema de Gestión de Seguridad de la Información SGSI: Conjunto de elementos interrelacionados o interactuantes (estructura organizativa, políticas, planificación de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza una organización para establecer una política y unos objetivos de seguridad de la información y alcanzar dichos objetivos, basándose en un enfoque de gestión y de mejora continua. (ISO/IEC 27000). Titulares de la información: Personas naturales cuyos datos personales sean objeto de Tratamiento. (Ley 1581 de 2012, art 3) Tratamiento de Datos Personales: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. (Ley 1581 de 2012, art 3). Trazabilidad: Cualidad que permite que todas las acciones realizadas sobre la información o un sistema de tratamiento de la información sean asociadas de modo inequívoco a un individuo o entidad. (ISO/IEC 27000). Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas. (ISO/IEC 27000). Partes interesadas (Stakeholder): Persona u organización que puede afectar a, ser afectada por o percibirse a sí misma como afectada por una decisión o actividad. Sistema de Gestión de la Continuidad del Negocio - SGCN Actividad: Procesos o conjunto de procesos emprendido por la organización que desarrollan o soportan uno o más productos y servicios. Auditoría: Proceso sistemático, independiente y documentado para obtener evidencias de la auditoria y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoria. Continuidad de Negocios: capacidad de la organización para continuar desarrollando los productos o servicios en un nivel aceptable predefinidos, posterior a un incidente. Administración de la continuidad de negocios: Proceso holístico gerencial que identifica las amenazas potenciales en la organización y el impacto de dichas amenazas en las operaciones si se llegasen a dar. Persigue mejorar la resiliencia para establecer la


Página 60 de 67

VERSIÓN 1.0




capacidad de la empresa para construir la capacidad de una respuesta efectiva a la salvaguarda de los intereses de las partes involucradas, reputación, marca y actividades para crear valor. SGCN: Parte de la gestión general para el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora de la continuidad de negocios. Plan de continuidad de negocios: Procedimiento documentado que guía a la organización para responder, recuperar y restaurar a un nivel predefinido los niveles de la operación de la compañía tras una interrupción de la operación. Programa de continuidad de negocios: Gestión continua y procesos de gobierno corporativo soportados por la alta dirección y utilizando recursos de forma apropiada para implementar y mantener la gestión de la continuidad de negocios. Análisis de Impacto en el Negocio (BIA): Proceso de análisis de actividades y efecto que en un negocio podría tener sobre ellas la interrupción de procesos. Competencia: Habilidad para aplicar conocimiento y las habilidades para lograr resultados. Conformidad: Cumplimiento de un requerimiento Mejora Continua: Actividades recurrentes para desarrollar la mejora. Corrección: Acción para eliminar una no conformidad detectada. Acción Correctiva: Acción para eliminar la causa de una no conformidad y prevenir la recurrencia. Información Documentada: Información requerida para ser controlada y mantenerla por una organización y el medio el cual la contiene. Evento: Ocurrencia o cambio de un conjunto particular de circunstancias. Ejercicio: Procesos de entrenamiento para evaluar, practicar e implementar mejoras en una organización. Incidente: Situación que puede ser o podría dar lugar a una interrupción, pérdidas, emergencias o crisis. Infraestructura: Sistemas, equipos y servicios necesarios para la operación de una organización.


Página 61 de 67

VERSIÓN 1.0




Partes Interesadas: Personas u organizaciones que pueden resultar afectadas o afectar a ellos mismos o a un tercero por alguna decisión respecto a una actividad. Auditoría Interna: Auditoría conducida por o en nombre de la misma organización para revisar la administración del SGCN la cual debe formar parte de la organización y autodeclaración de conformidad. Invocación: Acto de declaración para que en la continuidad de negocios de la organización sea necesario poner en práctica un desarrollo continúo de productosy/o servicios claves para la misma organización. Sistema de Administración: Conjunto de elementos interrelacionados que interactúan para el establecimiento de políticas y objetivos, y que los procesos cumplan o logren dichos objetivos. Máximo corte aceptable (MAO): Tiempo que podría tomar para que los efectos adversos que se puedan dar como resultado de no proveer un producto/servicio o desarrollar una actividad, pueda llegar a ser inaceptable. Máximo período de interrupción tolerable (MTPD): Ver MAO Mínimo objetivo de continuidad de negocios (MBCO): Nivel mínimo de servicios y/o productos que es aceptable a que la organización logre los objetivos del negocio durante la interrupción. Monitoreo: Determinación del estado de un sistema, un proceso o una actividad. Acuerdos de ayuda mutua: Entendimiento entre dos o mas entidades para hacer o brindar asistencia a los demás. No conformidad: No cumplir con un requerimiento. Tercerizar: Forma de establecer que una entidad externa desarrolle parte de las funciones, procesos u operación de una organización. Evaluación de desempeño: Proceso para determinar los resultados de la medición. Política: Intenciones y dirección de una organización expresada formalmente por la alta dirección. Procedimiento: Vía específica para llevar una actividad o un proceso. Proceso: Conjunto de actividades interrelacionadas en las que se transforman entradas en salidas.


Página 62 de 67

VERSIÓN 1.0




Productos y Servicios: Beneficio que provee una organización para sus clientes, proveedores y partes interesadas. Actividades priorizadas: Actividades que deben ser priorizadas siguiente a un incidente con el fin de mitigar los impactos. Registro: Conjunto de resultados logrados o evidencia de actividades desarrolladas. RPO (Punto objetivo de recuperación): Punto en el cual la información utilizada por una actividad debe ser restaurada para colocar en funcionamiento o habilitar dicha actividad. RTO (Recovery Time Objetive): Periodo de tiempo que sigue al incidente y en el cual: i. El producto o servicio debe ser restaurado, o ii. La actividad debe ser restaurada, o iii. Los recursos deben estar recuperados. Requerimiento: necesidad o expectativa que es fijada, generalmente implica obligatoreidad. Recursos: Todos los activos, personas, habilidades, información, tecnología, premisas, proveedores, que una organización ha tenido disponible para su uso, cuando lo necesitó, alineado con la operación y el cumplimiento de los objetivos. Riesgo: Efecto de un evento sobre los objetivos. Apetito de Riesgo: Monto de riesgo que una organización acepta o retiene. Evaluación de Riesgo: Cubrimiento de los procesos de identificación, análisis y evaluació de riesgos. Administración de Riesgos: Actividades coordinadas para direccionar y controlar una organización con relación a los riesgos. Pruebas: Procedimiento para evaluar el SGCN Alta dirección: Persona o grupo de personas quienes dirigen y controlan una organización desde su alto nivel.


Página 63 de 67

VERSIÓN 1.0




Sistema de Administración de Riesgo Operativo SARO Las siguientes definiciones se tendrán en cuenta para los fines de la presente Circular: Riesgo Operativo (RO) Se entiende por Riesgo Operativo, la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores. Riesgo legal Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones. Riesgo reputacional Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales. Perfil de Riesgo Resultado consolidado de la medición permanente de los riesgos a los que se ve expuesta la entidad. Factores de riesgo Se entiende por factores de riesgo las fuentes generadoras de riesgos operativos que pueden o no generar pérdidas. Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos. Dichos factores se deben clasificar en internos o externos, según se indica a continuación. Factores Internos Recurso Humano Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad. Se entiende por vinculación directa, aquella basada en un contrato de trabajo en los términos de la legislación vigente. La vinculación indirecta hace referencia a aquellas personas que tienen con la entidad una relación jurídica de prestación de servicios diferente a aquella que se origina en un contrato de trabajo


Página 64 de 67

VERSIÓN 1.0




Procesos Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una necesidad. Tecnología Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y telecomunicaciones. Infraestructura Es el conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte. Externos Son situaciones asociadas a la fuerza de la naturaleza u ocasionadas por terceros, que escapan en cuanto a su causa y origen al control de la entidad. Pérdidas Cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los gastos derivados de su atención. Evento Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado. Eventos de pérdida Son aquellos incidentes que generan pérdidas por riesgo operativo a las entidades. Clasificación de los riesgos operativos Para los efectos del presente capitulo los riesgos operativos se clasifican de la siguiente manera: Fraude Interno Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un empleado o administrador de la entidad. Fraude Externo Actos, realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes.


Página 65 de 67

VERSIÓN 1.0




Relaciones laborales Actos que son incompatibles con la legislación laboral, con los acuerdos internos de trabajo y, en general, la legislación vigente sobre la materia. Clientes Fallas negligentes o involuntarias de las obligaciones frente a los clientes y que impiden satisfacer una obligación profesional frente a éstos. Daños a activos físicos Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad. Fallas tecnológicas Pérdidas derivadas de incidentes por fallas tecnológicas. Ejecución y administración de procesos Pérdidas derivadas de errores en la ejecución y administración de los procesos. Sistema de Administración de Riesgo Operativo (SARO) Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo.

Riesgo inherente Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles. Riesgo residual Nivel resultante del riesgo después de aplicar los controles. Plan de continuidad del negocio Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción. Plan de contingencia Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso. Manual de Riesgo Operativo Es el documento contentivo de todas las políticas, objetivos, estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO.


Página 66 de 67

VERSIÓN 1.0




La Unidad de Riesgo Operativo Se entiende por Unidad de Riesgo Operativo el área o cargo, designada por el Representante Legal de la entidad, que debe coordinar la puesta en marcha y seguimiento del SARO.


Página 67 de 67

VERSIÓN 1.0




HISTORIAL DE CAMBIOS

FECHA NUMERAL VERSIÓN CAMBIOS

Septiembre 2017 Mayo 2018

Todo 1.0

Se elabora y expide el manual Nota: este manual es el resultado de la consultoría desarrollada dentro del proyecto SARO-SGSI-MEGA Proveedor: Unión Temporal Grow - Security - Procesos

metodologÍa de gestiÓn integrada de riesgos

Documents