ANEXO 1

EJEMPLO APLICACIÓN DEL MODELO DE GESTIÓN DE RIESGOS DE SEGURIDAD DIGITAL

En Colombia, se creó una entidad del gobierno encargada de la recolección de los impuestos establecidos por el
Ministerio de Economía cuyo nombre es IMNAL (Impuestos Nacionales). La entidad dentro de sus procesos cuenta
con una plataforma tecnológica sobre la cual se realizan las siguientes actividades:

• Inscripción de los contribuyentes.

• Presentación de los Impuestos de Valor Agregado – IVA.
• Generación de Recibos y Pago de los impuestos.

IMNAL consciente que tiene que identificar y proteger su infraestructura digital, realizó el proceso de gestión de sus
riesgos digitales y se tomó como referencia el Modelo Nacional para la Gestión de Riesgos de Seguridad Digital, la
Guía de Orientación para la Gestión del Riesgo de Seguridad Digital en el Sector Público, Territoriales y Gobierno
Nacional, del MINTIC.

IMNAL, ya ha realizado la implementación del modelo de seguridad y privacidad de la información – MSPI que
corresponde a la estrategia de Gobierno en Línea en la República de Colombia y al leer y entender el Modelo de
Gestión de Riesgos de Seguridad Digital - MGRSD, identifica que éste modelo le es muy útil para su aplicación en la
gestión de riesgos de seguridad de la información y sobre todo en los aspectos que se refieren a Infraestructuras
Criticas Cibernéticas (ICC).

1
Por lo anterior se describe cada una de las fases que se exponen en la Guía de orientación para la Gestión del Riesgo
de Seguridad Digital en el Sector Público, Territoriales y Gobierno Nacional y su interacción con las guías de
Infraestructura críticas de acuerdo al sector que le corresponda por la misión de IMNAL.

PLANIFICACIÓN DE LA GESTIÓN DE RIESGOS DE LA SEGURIDAD DIGITAL (GRSD) DE IMNAL

Inicia el proceso de gestión de riesgo de seguridad digital, por lo tanto planifica la GRSD, como se enuncia a
continuación:

• Establecimiento del contexto: IMNAL, ha definido un contexto interno y externo y se ha tomado como base
el numeral 4.1.2. de la guía para la orientación de riesgos de seguridad digital Guía de orientación para la
Gestión del Riesgo de Seguridad Digital en el Sector Público, Territoriales y Gobierno Nacional, dicho contexto
se enuncia a continuación:

Dentro de su contexto interno IMNAL identificó los siguientes elementos:

a. IMNAL, tiene como misión asegurar que los contribuyentes presenten y paguen sus impuestos al valor
agregado IVA a través de la plataforma computacional que definió para tal efecto.
b. Como visión IMNAL busca ser reconocidos en el año 2018, como la Entidad del Gobierno Nacional que ha
logrado masificar el uso de la plataforma de transacciones en línea mas utilizada en Colombia.
c. Sus fortalezas son:
- Experiencia en la implementación de soluciones.
- Sistema de gestión de calidad bajo modelo NTC-GP1000.
- Personal calificado y con experiencia para desempeñar las funciones.
- Conocimiento en integración y administración de servicios digitales y de TI.

2
 - Buen clima organizacional.
- Infraestructura tecnológica que permite la prestación de soluciones a la medida.

d. Sus debilidades son:

- La conectividad con las entidades financieras depende de cada una de ellas y no directamente de IMNAL.
- La ausencia de una cultura informática por parte de los empresarios y ciudadanía en general, para el pago
de los impuestos por la red de Internet.
- Dependencia de terceros en la prestación de servicios de conectividad.
- Cobertura limitada en las zonas municipales y territoriales.

e. Sus oportunidades son:

- Acceso a los contribuyentes para facilitarles su presentación y pagos del IVA.
- Disminuir los niveles de evasión del pago del IVA.
- Facilidad para el desarrollo de la recuperación de cartera y cobro de intereses por demoras en los pagos
de los contribuyentes,

f. Sus amenazas son:

- Ciberdelincuencia en la página de la IMNAL.
- Desfiguración o “Defacement” de la página de la IMNAL.
- Suplantación de la página WEB de la IMNAL o de las entidades financieras donde se hacen los pagos.

3
Identificación de las partes interesadas: IMNAL al establecer el contexto interno y externo realiza simultáneamente
la identificación de las partes interesadas, tomando como referencia lo descrito en el numeral 4.1.3 de la guía para la
orientación de riesgos de seguridad digital del sector mixto y privado, así:

- Contribuyentes: Empresas Colombianas de cualquier tipo o Contribuyentes que como personas naturales
deben recaudar, presentar y pagar el IVA.
- Entidades Financieras: Toda las entidades habilitadas por la Super Intendencia de Bancos para realizar los
pagos correspondientes.
- Entes de control: Entidades y/o regulaciones que ejercen control sobre la actividad que lleva a cabo IMNAL.

Sobre la Identificación de procesos: IMNAL, ha realizado la identificación de los procesos, documentado para cada
uno de sus ellos las caracterizaciones, en las cuales ha descrito:
- Objetivo
- Alcance del proceso
- Responsables
- Proveedores
- Entradas
- Actividades
- Salidas
- Clientes
- Indicadores
- Registros

4
 - Recursos
- Requisitos normativos

Para esta actividad IMNAL ha tomado como referencia lo descrito en el numeral 4.1.4. de la guía para la orientación
de riesgos de seguridad digital del sector público, territoriales y gobierno nacional.

Sobre la definición de roles y responsabilidades:

De acuerdo al proceso de Recaudos, los roles y responsabilidades recaerán sobre:

• El Jefe de la Oficina de Riesgos de la entidad IMNAL.

• El Jefe de la Oficina de Recaudo de impuestos.
• El Jefe de Convenios con las Entidades Financieras.
• El Jefe de Tecnologías de la Información y las Comunicaciones
• Encargado de Seguridad de la Información o de Seguridad Digital de Entidad.

Sobre la asociación de la política:

IMNAL, cuenta con una política de Gestión de Riesgos pues por manejar recursos públicos la entidad está bajo la
revisión de las entidades como la Super Intendencia Financiera y otras entidades, así como adscrita a entidades como
la UIAF (Unidad de Información y Análisis Financiero), que le han predeterminado la necesidad de contar con sistemas

5
de gestión de riesgos como SARLAFT (Lavado de Activos), SARO (Riesgo Operativo), Riesgos de Seguridad de la
Información y Continuidad de Negocios, entre otros.

Por lo tanto IMNAL a procedido a modificar la politica de gestion de riego organizacional, incluyendo los riesgos de
seguridad digital como uno de los aspectos a evaluar, a su vez dando cumplimiento con lo establecido en la politica
de seguridad de la información ya definida en IMNAL

IMNAL ha definido los siguientes criterios de referencia, frente a los cuales valorará los riesgos de seguridad digital:

Definición de criterios de impacto

IMNAL ha definido los criterios de impacto en Confidencialidad, Integridad, Disponibilidad, Social, Económico y
Ambiental, expuestos a continuación:

Tabla 1. Criterios de impacto de seguridad de la información - IMNAL -

CRITERIOS DE IMPACTO DE SEGURIDAD DE LA INFORMACIÓN

Valoración Valor Integridad Disponibilidad Confidencialidad Social Económica Ambiental
asignada Asignado (I) (D) (C) (S) (E) (A)
Sin afectación Sin afectación Sin afectación de Afectación Afectación Sin Afectación
Insignificante 1 de la de la la del 0,1 % del 0,1 % medioambiental
integridad de disponibilidad confidencialidad de la del
la Información de la de la Información Población o presupuesto
Información menos de la
Entidad o
menos

6
 CRITERIOS DE IMPACTO DE SEGURIDAD DE LA INFORMACIÓN
Valoración Valor Integridad Disponibilidad Confidencialidad Social Económica Ambiental
asignada Asignado (I) (D) (C) (S) (E) (A)
Afectación Afectación muy Afectación muy Afectación Afectación
Menor 2 muy leve la leve la leve la del 0,2 % del 0,2 % Afectación muy
integridad de disponibilidad confidencialidad de la del leve del medio
la Información de la de la Información Población presupuesto ambiente que
Información atendidad de la requiere de 6
por la Entidad meses de
entidad recuperación
Moderado 3 Afectación Afectación leve Afectación leve Afectación Afectación
leve de la de la de la del 0,3 % del 0,3 % Afectación leve
integridad de disponibilidad confidencialidad de la del del M.A.
la de la de la Información Población presupuesto requiere de 1
información. información atendidad de la años de
por la Entidad recuperación.
entidad
Afectación Afectación Afectación grave Afectación Afectación
grave de la grave de la de la del 0,4 % del 0,4 % Afectación
integridad de disponibilidad confidencialidad de la del importante del
Mayor 4 la de la de la información. Población presupuesto M.A. que
información. información. atendidad de la requiere de 2
por la Entidad años de
entidad recuperación.
Afectación Afectación muy Afectación muy Afectación Afectación
Catastrófico 5 muy grave de grave de la grave del 0,5 % del 0,5 %

7
 CRITERIOS DE IMPACTO DE SEGURIDAD DE LA INFORMACIÓN
Valoración Valor Integridad Disponibilidad Confidencialidad Social Económica Ambiental
asignada Asignado (I) (D) (C) (S) (E) (A)
la integridad disponibilidad confidencialidad de la del Afectación muy
de la de la de la información. Población presupuesto grave del M.A.
información información. atendidad de la que requiere de
por la Entidad 3 años de
entidad recuperación

Definición de criterios de impacto Social

IMNAL , interpreta como impacto social, aquel derivado de no ofrecer el servicios a las partes interesadas a través del
recaudo de los impuestos de IVA, que se recaudan y se direccionan a inversión social a nivel de la salud y educación
de las clases menos favorecidas del país, reduciendo sus condiciones de bienestar y afectación de la vida de las
personas.

IMNAL toma los siguientes niveles para definir el impacto social en la Entidad: Insignificante, Menor, Moderado,
Mayor y Catastrófico, tomando como variable social el total de colombianos afectados por posibles fallas o retrasos
en la presentación y recaudo del IVA, basado en los nivles establecidos por la Función Pública.

Definición de criterios de impacto Económico

IMNAL interpreta como impacto económico aquel valorado en función de la magnitud de las pérdidas económicas en
relación con el porcentaje del presupuesto asignado a la entidad y toma los siguientes criterios para definir el impacto
económico en la Entidad: Insignificante, Menor, Moderado, Mayor y Catastrófico.

8
Definición de criterios de impacto Ambiental

IMNAL interpreta como impacto ambiental aquel valorado en función de los años que tardaría la recuperación del
medio ambiente, en caso que un riesgo de seguridad digital se pudiere materializar y a raíz de ello se genere dicha
disposición.

IMNAL, define criterios para el impacto ambiental en la Entidad: Insignificante, Menor, Moderado, Mayor y Catastrófico.

Definición de criterios de Probabilidad

IMNAL define escalas o criterios de medición para la probabilidad de 5 niveles como se muestra a continuación:

Tabla 2. Valoración de Probabilidad de Ocurrencia - IMNAL -

CRITERIOS DE VALORACION DE LA PROBABILIDAD DE OCURRENCIA

Valoración asignada Valor FRECUENCIA POSIBILIDAD
Asignado
Raro 1 La situación se ha presentado al La situación podría suceder al
menos cada 10 años menos cada 10 años
Improbable 2 La situación se ha presentado al La situación podría suceder al
menos una vez cada año menos una vez cada año
Posible 3 La situación se ha presentado al La situación podría suceder al
menos una vez cada semestre. menos una vez cada semestre
Probable 4 La situación se ha presentado al La situación podría suceder al
menos una vez al mes menos una vez al mes
Casi Seguro 5 La situación se ha presentado al La situación podría suceder al
menos una vez a la semana. menos una vez a la semana

9
Definición del Nivel o Zona de Riesgo

IMNAL tiene en cuenta las siguientes zonas de riesgo:

Tabla 3. Zona de riesgos de acuerdo a combinación de impacto y probabilidad - IMNAL -

Zona de Valor Acción

Riesgo Asignado Requerida

Requiere acciones inmediatas para evitar la materialización de

Extremo Mayor o igual a 15
los riesgos asociados a los activos de información

Requiere de acciones rápidas por parte de la Alta Dirección

Alto Mayor o igual a 9 y
para disminuir el riesgo de seguridad digital.
menor de 15
Requiere de medidas, prontas y adecuadas que permitan
disminuir el riesgo de seguridad digital a niveles inferiores del
Moderado Mayor o igual 4 y
actual.
menor de 9

El riesgo de seguridad digital se mitiga con actividades propias

Bajo Menor de 3
de la Entidad y por medio de acciones detectivas y correctivas.

10
Definición de Apetito de Riesgo o Zona de Riesgo Aceptable:

La Junta Directiva de IMNAL, define que el apetito de riesgo de la Entidad estará enmarcado en la zona de riesgos
bajos.

Identificación de activos de información

IMNAL respecto a la identificación de los activos, realiza una reunión con los líderes del proceso de recuado de
impuestos, para la identificación de los activos contemplando los siguientes aspectos:

Número del activo

Corresponde al número consecutivo de los activos. Ej. A1, A2. etc.

Nombre del activo

Corresponde al nombre que se le va a dar al activo. Ej. Firewall.

11
Subprocesos

Corresponde a cualquier subproceso de la entidad. Ej. Gestión TI.

Dueño del riesgo sobre el activo

Corresponde al área donde se encuentra el activo. Ej. Oficina de Tecnología de la Información.

Responsable del activo

Cargo de la persona responsable del activo. Ej. Profesional especializado de TI.

Clasificación del activo

Se determina la clasificación de acuerdo al tipo de activo de información y siguiendo la clasificación de los activos de
información de la Guía de Orientación para la aplicación de la GRSD, establecida en el numeral 4.2.1. se obtiene lo
siguiente:

Tabla 4. Activos de Información Clasificados - IMNAL

No. Nombre Activo Subprocesos - Dueño del Riesgo Responsable del Clasificación del Activo
Activo Procedimientos sobre el Activo Activo

A1 Recaudos IMNAL OTI Software

12
 Portal WEB para
pagos de
Impuestos.

Bases de datos de
Información de Jefe Oficina de
A2 Recaudos IMNAL Datos / Bases de Datos
Cartera y general Recaudos
de los
Contribuyentes.
Canal de
A3 Comunicaciones Recaudos IMNAL OTI Servicios
.

Contratos físicos Jefe de Convenios

A4 de convenios Recaudos IMNAL con Entidades Información
con Entidades Financieras
Financieras

Firewall o
A5 Dispositivo de Recaudos IMNAL OTI Hardware
Aseguramiento de
la Seguridad

13
 Perimetral en la
Red de la IMNAL

Determinar nivel de criticidad del activo

IMNAL, para determinar el nivel de criticidad del activo, con el mismo grupo de Recaudos, se respondieron los
siguientes interrogantes con las opciones SI o NO a los cuales se les asignará un valor donde “SI” equivale a 0,1 y
“NO” equivale a 0,0.

• ¿El activo pertenece a terceros?

• ¿El activo debe ser restringido a un número de usuarios?
• ¿El activo es muy crítico para las operaciones internas?
• ¿El activo es muy crítico para servicio a terceros?
• ¿En caso de ser utilizado o modificado por alguna persona o sistema sin la debida utilización, afectaría
negativamente los sistemas y/o procesos de manera:
Leve, importante o grave. Se asignan los siguientes valores así:
o Leve equivale a 0,2
o Importante equivale 0,3 y
o Grave equivale 0,5.

14
 • Al final la criticidad será la suma de los valores asignados a cada variable.
• El nivel de importancia del activo se da por unos intervalos que definen lo siguiente:
o Menos de 0,45 será de importancia Baja.
o Entre 0,45 y 0,75 será de importancia Media.
o Mayor a 0,75 será de importancia Alta.

Tabla 5. Nivel de Importancia de los Activos de Informacion - IMNAL

En caso de ser conocido, utilizado

¿El activo ¿El activo o modificado por alguna persona o
¿El activo es
¿El activo debe ser es muy sistema sin la debida autorización,
muy crítico Nivel de
Nombre pertenece restringido a crítico para impactaría negativamente a los
No. para las Criticidad importancia
Activo a un número el servicio sistemas y/o procesos de Z 5
Activo operaciones del activo
terceros? limitado de hacia Digital de manera:
internas?
usuarios? terceros?
Leve Importante Grave

A1 No 0 Si 0,1 Si 0,1 Si 0,1 0 0 X 0,5 0,80 Alta

15
 En caso de ser conocido, utilizado
¿El activo ¿El activo o modificado por alguna persona o
¿El activo es
¿El activo debe ser es muy sistema sin la debida autorización,
muy crítico Nivel de
Nombre pertenece restringido a crítico para impactaría negativamente a los
No. para las Criticidad importancia
Activo a un número el servicio sistemas y/o procesos de Z 5
Activo operaciones del activo
terceros? limitado de hacia Digital de manera:
internas?
usuarios? terceros?
Leve Importante Grave

Portal WEB para

pagos de
Impuestos.

Bases de datos de
Información de
A2 Cartera y general No 0 Si 0,1 Si 0,1 Si 0,1 0 0 X 0,5 0,80 Alta
de los
Contribuyentes.
Canal de
A3 No 0 Si 0,1 Si 0,1 Si 0,1 0 X 0,3 0 0,60 Media
Comunicaciones.

A4 Contratos físicos No 0 Si 0,1 No 0 No 0 0 X 0,3 0 0,40 Baja

de convenios

16
 En caso de ser conocido, utilizado
¿El activo ¿El activo o modificado por alguna persona o
¿El activo es
¿El activo debe ser es muy sistema sin la debida autorización,
muy crítico Nivel de
Nombre pertenece restringido a crítico para impactaría negativamente a los
No. para las Criticidad importancia
Activo a un número el servicio sistemas y/o procesos de Z 5
Activo operaciones del activo
terceros? limitado de hacia Digital de manera:
internas?
usuarios? terceros?
Leve Importante Grave

con Entidades
Financieras
Firewall o
Dispositivo de
Aseguramiento
A5 No Si 0,1 No 0 Si 0,1 X 0,3 0 0,50 Medio
de la Seguridad
Perimetral en la
Red de la IMNAL

Identificación de ICC

Una vez analizados los criterios anteriores y determinada la importancia del activo para el proceso, el grupo de
recaudos procede a identificar si cuenta con infraestructura crítica al evaluarse frente a los siguientes criterios.

• Social si afecta a 250000 personas

• Económica 464.619.736.13 diarios.

17
 • Ambiental 3 años.

Si la entidad cuenta con infraestructura crítica debe reportar al CCOC.

Analizados los criterios anteriores, IMNAL determina que cuenta con Infraestructura Critica Cibernética (ICC), pues
en caso de materializarse una falla en el Portal podría afectar el ingreso de impuestos por IVA, adicional a ello
generaría una serie de peticiones o quejas por parte de los contribuyentes, en caso que colapse el portal.

Clasificación de la información

IMNAL , clasifica su información de acuerdo a la ley de Transparencia y del Derecho de Acceso a la Información
Pública Nacional Ley 1712/2014 según el artículo # 6.

Tabla 6. Identificación de ICC y clasificación de la Información - IMNAL

ICC
Nivel de
Social Económico Clasificación de
No. Activo Nombre Activo Criticidad Ambiental
250000 $464'619.736.13 Se debe Reportar la información
del activo 3 Años
Personas Diarios

Portal WEB para

Debe Reportar al Información
A1 pagos de Alta X
CCOC Pública Clasificada
Impuestos.

18
 ICC
Nivel de
Social Económico Clasificación de
No. Activo Nombre Activo Criticidad Ambiental
250000 $464'619.736.13 Se debe Reportar la información
del activo 3 Años
Personas Diarios
Bases de datos de
Información de
Debe Reportar al Información
A2 Cartera y general Alta X X
CCOC Pública
de los
Contribuyentes.

Canal de No reportar al Información

A3 Media
Comunicaciones. CCOC Pública

Contratos físicos
No reportar al Información
A4 de convenios con Baja
CCOC Pública
Entidades
Financieras
Firewall o
Dispositivo de
Aseguramiento de No reportar al Información
A5 Medio
la Seguridad CCOC Pública Reservada

Perimetral en la
Red de la IMNAL

19
 Una vez identificados los ICC de este proceso en IMNAL, se debe considerar para los dos activos identificados como
A1 y A2 (que son ICC), el uso de las Guías de ICC para el Sector Gobierno, en la cual se va a encontrar una guía de
las amenazas, vulnerabilidades, riesgos y controles de los activos denominados ICC, así como los aspectos asociados
a las Tecnologías de Información y Tecnologías de Operación TI / TO.

Identificación de riesgos de Seguridad Digital (Incluye Riesgos de las ICC)

IMNAL, una vez identificados los activos críticos y clasificados, procede a identificar las amenazas y vulnerabilidades
de cada uno de los activos. En ese caso se sigue el numeral 4.2.2. de la Guía orientación para la GRSD en el Sector
Público. Durante el análisis se determinó que el activo A1 cuenta con 3 riesgos, el activo A2 con 3, el activo A3 con 2,
el activo A4 con 1 y el activo A5 con 2, como se enuncian a continuación:

Nota: Así mismo algunos de los activos de información se clasifican como TI o TO, de acuerdo a lo que sugiere
la Guía de ICC para el sector gobierno. En nuestro caso el canal de comunicaciones o el Firewall son TI
mientras que el Portal como tal se establece como TO. En todos los casos, se les realiza el análisis y
valoración de los riesgos de seguridad digital.

Tabla 7. Amenazas, Vulnerabilidades y Riesgos de los activos de información y las ICC - IMNAL

No. Clasificación #
NOMBRE DEL ACTIVO Amenaza Vulnerabilidades Riesgo
ACTIVO del activo Riesgo

Portal WEB para pagos de Administración de Ataques Externos (Hacking

A1 Software R1 Personal Externo
Impuestos. Seguridad Insuficiente no ético).

Portal WEB para pagos de Software Modificación de

A1 R2 Empleados de la Entidad Falta de Capacitación
Impuestos. Información No Autorizada

20
 No. Clasificación #
NOMBRE DEL ACTIVO Amenaza Vulnerabilidades Riesgo
ACTIVO del activo Riesgo
Portal WEB para pagos de Software Valor económico de
A1 R3 Ciberterrorismo Daño o mal funcionamiento
Impuestos. los datos

Bases de datos de
Datos / Bases Administración
Información de Cartera y Pérdida de la estructura de
A2 de Datos R4 Hackeo No Ético inadecuada de la
general de los la Base de Datos
Base de Datos
Contribuyentes.
Bases de datos de
Datos / Bases Configuración
Información de Cartera y
A2 de Datos R5 Corrupción de Datos incorrecta de la base Daño
general de los
de datos
Contribuyentes.
Bases de datos de
Información de Cartera y Datos / Bases
Falta de Monitoreo de
A2 de Datos R6 Sabotaje Acceso no autorizado
general de los los DBA

Contribuyentes.
Canal de Servicios Desgaste por Uso / Mantenimiento
A3 R7 Pérdida Total
Comunicaciones. Obsolecencia Insuficiente.
Aprovisionamiento o
Canal de Servicios Falla en suministro de
A3 R8 cobertura insuficiente Corte de servicios públicos
Comunicaciones. servicios públicos
de los servicios.

21
 No. Clasificación #
NOMBRE DEL ACTIVO Amenaza Vulnerabilidades Riesgo
ACTIVO del activo Riesgo
Contratos físicos de Documentos /
Valor económico de
A4 convenios con Entidades Información R9 Actos criminales Pérdida de Información
los datos
Financieras
Firewall o Dispositivo de
Modificación no autorizada
Aseguramiento de la Hardware Fallas en la
A5 R10 Ciberterrorismo de información o
Seguridad Perimetral en Configuración
configuración.
la Red de la IMNAL
Firewall o Dispositivo de
Condiciones
Aseguramiento de la Harware Ubicación física del Daño o mal
A5 R11 inadecuadas de
Seguridad Perimetral en centro de computo. funcionamiento.
temperatura y humedad.
la Red de la IMNAL

A esta instancia IMNAL, calcula la probabilidad de ocurrencia y el impacto, siguiendo el numeral 4.2.3 de la Guía de
orientación para la GRSD en el Sector Público, este último teniendo en cuenta el promedio dado a las 6 variables
(Social, Económico, Ambiental, Confidencialidad, Integridad, Disponibilidad) para determinar el nivel o zona en la que
se encuentra ubicado el riesgo inherente asociado a cada activo de información o crítico como se muestra a
continuación.

Tabla 8. Matriz de Riesgos Inherentes - IMNAL

22
 PROBABILIDAD NIVEL
No. Confidencia-
Riesgo DE Social Económico Ambiental Integridad Disponibilidad DE
Riesgo lidad
OCURRENCIA RIESGO
Ataques
Externos Extrema
R1 3-Posible 4-Mayor 4-Mayor 4-Mayor 4-Mayor 4-Mayor 4-Mayor
(Hacking no (12)
ético).
Modificación de
R2
Información No 2-Improbable 4-Mayor 4-Mayor 4-Mayor 4-Mayor Alta (8)
Autorizada

R3 Daño o mal
3-Posible 3- Moderado 2- Menor 2- Menor Alta (7)
funcionamiento
Pérdida de la
R4
estructura de la 4-Probable 2- Menor 2- Menor 2- Menor 2- Menor Alta (8)
Base de Datos

R5 1- 1- 1- 1- 1-
Daño 1-Raro 1-Insignificante Baja (1)
Insignificante Insignificante Insignificante Insignificante Insignificante

R6 Acceso no 1- 5- 5- 5- Extrema
5-Certeza 4-Mayor
autorizado Insignificante Catastrófico Catastrófico Catastrófico (20)

R7 Extrema
Pérdida Total 4-Probable 4-Mayor 4-Mayor 4-Mayor 4-Mayor 4-Mayor 4-Mayor
(16)
Corte de
R8
servicios 3-Posible 3- Moderado 3- Moderado 3- Moderado 3- Moderado 3- Moderado 3- Moderado Alta (9)
públicos

R9 Pérdida de
2-Improbable 2- Menor 2- Menor 2- Menor 2- Menor 2- Menor 2- Menor Baja (4)
Información

23
 PROBABILIDAD NIVEL
No. Confidencia-
Riesgo DE Social Económico Ambiental Integridad Disponibilidad DE
Riesgo lidad
OCURRENCIA RIESGO
Modificación no

R10 autorizada de 1- 1- 1- 1- 1-
1-Raro 1-Insignificante Baja (1)
información o Insignificante Insignificante Insignificante Insignificante Insignificante
configuración.

R11 Daño o mal 5- 5- 5- 5- 5-

1-Raro 5- Catastrófico Alta (5)
funcionamiento. Catastrófico Catastrófico Catastrófico Catastrófico Catastrófico

Una vez obtenidos estos valores se tienen los riesgos inherentes, IMNAL determina el mapa de calor donde se
identifica la posición de cada uno de los riesgos en matriz

5-Catastrófico R11

4-Mayor R2 R1 R7 R6

3-Moderado R3 R8
IMPACTO

2-Menor R9 R4

1-
R5 R10
Insignificante

1-Raro 2 Improbable 3-Posible 4-Probable 5-Certeza

PROBABILIDAD

24
Evaluación de controles existentes

IMNAL, una vez identificados los riesgos inherentes de los activos de información, se establecen los controles que
existen actualmente, para evaluarlos y determinar si son efectivos o no frente a la mitigación del riesgo asociado.

A continuación se muestran las características de los controles y su posible valor, para determinar la efectividad que
ayudaría a mitigar los riesgos asociados, de acuerdo al numeral 4.2.4. de la Guía de orientación para la GRSD en el
Sector Público:

Tabla 9. Descripción de las características de los controles - IMNAL

Características

Categoría o niveles del control 1 = Operativo: considera cada tarea u operación. Orientado a corto plazo.
2 = Táctico: considera cada unidad de la empresa (departamento) o cada conjunto de recursos por
separado. Orientado a mediano plazo.
3 = Estratégico: considera a la empresa en su totalidad como un sistema. Orientado a largo plazo.

Naturaleza del control 1 = Manual: control donde existe la presencia y la intervención de una persona; ejemplo: autorizaciones
a través de firmas.
2= Mixto: control donde existe la presencia y la intervención de una persona y una máquina; ejemplo:
control de video cámaras.

25
 3= Automático: utilizan herramientas tecnológicas; ejemplo: sistemas de información.

Documentación 1 = El control está documentado.

0 = El control no está documentado.

Complejidad 1= El control es complejo para ejecutar.

0 = El control no es complejo para ejecutar.

Tipo de control 3 = Preventivo.

2 = Detectivos.
1 = Correctivo.

Importancia sobre la mitigación 1 = Importante.

del riesgo 2 = No importante.

Responsable del control 1 = El control tiene asignado un responsable.

0 = El control no tiene asignado o definido un responsable.

Puede disminuir la probabilidad 1 = Si

0 = No.

Puede disminuir el impacto 1 = Si

0 = No.

Vamos a suponer que para cada riesgo evaluado de forma inherente considerado también los ICC, tienen los
siguientes controles asociados.

26
Tabla 10. Matriz de controles identificados asociados a cada riesgo - IMNAL

Activo No. Riesgo Riesgo Controles

C1. Certificado SSL
R1 Ataques Externos (Hacking no ético).
C2. Monitoreo de uso de la Red (Anti fraude)
Portal WEB para
C1. Roles y permisos definidos para accesos,
pagos de R2
Modificación de Información No Autorizada modificación y consulta en el portal.
Impuestos.
C1. Mantenimiento Correctivo del Portal.

R3 C2. Se cuenta con un portal de respaldo en

Daño o mal funcionamiento
caso que el primero falle o funcione con
errores.
Bases de datos de R4
Pérdida de la estructura de la Base de Datos Soporte y ANS con el proveedor de la BD
Información de
R5
Daño Soporte y ANS con el proveedor de la BD
Cartera y general
de los Roles y responsabilidades definidas para la
R6
Contribuyentes. Acceso no autorizado administración de la base de datos (DBA) y
para usuarios de consulta y modificación.
R7
Pérdida Total No hay control.
Canal de
El área de compras y suministros tiene los
Comunicaciones. R8
Corte de servicios públicos servicios públicos domiciliados a una cuenta
del banco.

27
 Contratos físicos
de convenios
R9 Archivo externo con digitalización de todos los
con Entidades Pérdida de Información
documentos que registran dichos convenios.
Financieras

Firewall o Administración delegada al grupo de

Dispositivo de R10 Modificación no autorizada de información o infraestructura de tecnología de la OTI, Uno

Aseguramiento configuración. de los ingenieros soporta al otro en caso de

ausencia.
de la Seguridad
Perimetral en la Mantenimiento preventivo de los equipos o
R11
Daño o mal funcionamiento.
Red de la IMNAL dispositivos de la Red de IMNAL.

Determinación del riesgo residual

Finalmente, IMNAL , para la obtención del riesgo residual, evaluará las características de los controles tal como se
determino en su definición y de acuerdo a lo que establece el numeral 4.2.4. de la Guía de Orientación para la GRSD
en el sector público, territoriales y gobierno nacional, de la siguiente forma:

RIESGO 1 Ataques Externos (Hacking no ético).

28
Descripción de los Criterios de evaluación Consideración de variables Evaluación de Evaluación de
controles control 1 control 2

Control 1. Certificado
Categoría del control Manual = 1 3 2
SSL
Mixto = 2
Automático = 3

Naturaleza del control Estratégico = 1 3 3

Control 2. Monitoreo de
Táctico = 2
uso de la Red (Anti
fraude) Operativo = 3

Documentación Sí existe = 1 1 1
No existe = 0

Complejidad Complejo para ejecutar = 1 0 1

No complejo = 0

Responsable del control Asignado = 1 1 1

No asignado = 0

Tipo de control Preventivo = 3 2 2

Detectivo = 2
Correctivo = 1

Importancia sobre la Si = 1 1 1
mitigación del riesgo
No = 0

Puede disminuir la Si = 1 1 1
Probabilidad
No = 0

29
 Puede disminuir el impacto Si = 1 0 0
No = 0

Total 12 12

De acuerdo a lo que establece el numeral 4.2.4. en el titulo de caracteristicas de controles, mas exactamente en la
Tabla 15 de la Guía de Orientación mencionada; dado el valor de efectividad promedio igual a 12, estos controles
para este riesgo resultan muy efectivos (mayor a 10), pero ninguno de los controles puede disminuir el impacto. Por
ende el riesgo 1, solamente se desplazará a la izquierda en dos cuadrantes de probabilidad.

RIESGO 2 Modificación de Información No Autorizada

Descripción de los Criterios de evaluación Consideración de variables Evaluación de

controles control 1

Control 1. Roles y
Categoría del control Manual = 1 1
permisos definidos
para accesos, Mixto = 2
modificación y consulta
en el portal. Automático = 3

Naturaleza del control Estratégico = 1 3

Táctico = 2
Operativo = 3

Documentación Sí existe = 1 1
No existe = 0

30
 Complejidad Complejo para ejecutar = 1 0
No complejo = 0

Responsable del control Asignado = 1 1

No asignado = 0

Tipo de control Preventivo = 3 3

Detectivo = 2
Correctivo = 1

Importancia sobre la Si = 1 0
mitigación del riesgo
No = 0

Puede disminuir la Si = 1 1
Probabilidad
No = 0

Puede disminuir el impacto Si = 1 0

No = 0

Total 10

De acuerdo a lo que establece el numeral 4.2.4. en la Tabla 15 de la Guía de orientación mencionada dado el valor
de la efectividad del control asociado igual a 10, este riesgo resulta efectivo (Entre 5 y 10), pero el control no puede
disminuir el impacto. Por ende el Riesgo 2, solamente se desplazará a la izquierda un solo cuadrante del nivel de
probabilidad.

31
 RIESGO 3 Daño o mal funcionamiento

Descripción de los Criterios de evaluación Consideración de variables Evaluación de Evaluación de

controles control 1 control 2

Control 1.
Categoría del control Manual = 1 1 2
Mantenimiento
Correctivo del Portal. Mixto = 2
Automático = 3

Control 2. Se cuenta Naturaleza del control Estratégico = 1 2 3

con un portal de
Táctico = 2
respaldo en caso que el
primero falle o funcione Operativo = 3
con errores.
Documentación Sí existe = 1 1 1
No existe = 0

Complejidad Complejo para ejecutar = 1 1 1

No complejo = 0

Responsable del control Asignado = 1 0 1

No asignado = 0

Tipo de control Preventivo = 3 1 1

Detectivo = 2
Correctivo = 1

Importancia sobre la Si = 1 1 1
mitigación del riesgo
No = 0

32
 Puede disminuir la Si = 1 1 0
Probabilidad
No = 0

Puede disminuir el impacto Si = 1 0 1

No = 0

Total 8 11

De acuerdo a lo que establece el numeral 4.2.4. en la Tabla 15 de la Guía de orientación mencionada dado el valor
de efectividad promedio igual a 9,5, estos controles para este riesgo resultan efectivos (Entre 5 y 10), y en este caso
uno de los controles puede disminuir el impacto y el otro probabilidad, esto significa que el Riesgo 3, se desplazará a
la izquierda un cuadrante de probabilidad y un cuadrante de impacto, dado que el promedio de calificación de estas
dos características es 0,5.

La evaluación de cada control identificado, se realiza de la misma manera para todos los riesgos. En el caso del
Riesgo 7, es importante anotar que al no contar con un control asociado, es necesario e imperante pensar en
implementar un control, independiente de en qué zona esté ubicado, particularmente este R7 se encuentra en Zona
de Riesgo Extrema.

Al final los riesgos residuales quedan ubicados en su mapa de calor de la siguiente manera:

33
 5-Catastrófico R11

4-Mayor R1 R2 R6 R7
IMPACTO

3-Moderado R8

2-Menor R3 R9 R4

1-
R5 R10
Insignificante

2-
1-Raro 3-Posible 4-Probable 5-Certeza
Improbable

PROBABILIDAD

34
 Tratamiento de los riesgos de seguridad digital

IMNAL, una vez evaluados los riesgos de seguridad digital, se definen los tratamientos de estos riesgos y se decide
el plan de tratamiento correspondiente de acuerdo a lo que la misma entidad determine, de acuerdo al numeral 4.2.5.
para el Tratamiento de los Riesgos de Seguridad Digital. A continuación se muestran 4 riesgos y su respectivo
tratamiento. Respecto a los dos activos de información que han sido reportados como ICC nos dirigimos a la Guía de
ICC para el Sector Gobierno y se consulta los controles que sugieren se pueden establecer para la definición del Plan
de Tratamiento.

Tabla 11.Tratamiento de los riesgos de seguridad digital- IMNAL

Activo Nivel de Fecha Fecha Fin

Plan de Descripción Área Responsable
Riesgo de Riesgo Riesgo Inicio de de
Tratamiento tratamiento Responsable Proceso
Información Residual Ejecución Ejecución

Se sugiere
implementar un
Portal WEB Ataques
proceso de análisis de
Reducir el riesgo, vulnerabilidades
para pagos Externos Zona de Riesgo Jefe de la
R1 evitar, compartir interno que permita a OTI 01-12-17 31-01-18
de (Hacking no Alta OTI
o transferir la OTI prepararse
Impuestos. ético).
frente a
vulnerabilidades o
ataques tipo SQL

35
 Activo Nivel de Fecha Fecha Fin
Plan de Descripción Área Responsable
Riesgo de Riesgo Riesgo Inicio de de
Tratamiento tratamiento Responsable Proceso
Información Residual Ejecución Ejecución

Injection y responder
ante ataques
cibernéticos de
cualquier índole.
Implementar un
registros automático
de eventos
previamente
Portal WEB
parametrizado, que
Modificación de Reducir el riesgo, OTI Jefe OTI
para pagos Zona de Riesgo establezca
R2 Información No evitar, compartir Oficina de Jefe de 01-02-18 30-06-18
de Alta comportamientos o
Autorizada o transferir Recaudos Recaudos
uso no autorizados del
Impuestos
portal y deje una
bitácora para tener el
soporte del manejo
mencionado.
Se sugiere mantener
Portal WEB
el nivel de efectividad
para pagos Daño o mal Zona de Riesgo de los controles a
R3 Asumir el Riesgo
de funcionamiento Baja través del monitoreo
adecuado de su
Impuestos
efectividad.

36
 Activo Nivel de Fecha Fecha Fin
Plan de Descripción Área Responsable
Riesgo de Riesgo Riesgo Inicio de de
Tratamiento tratamiento Responsable Proceso
Información Residual Ejecución Ejecución

Identificar un plan de
continuidad del portal
que permita en caso
de una situación

Canal de contingente recuperar

Reducir el riesgo, OTI Jefe OTI
Zona de Riesgo su operación en otro
R7 Comunicaci Pérdida Total evitar, compartir Oficina de Jefe de 01-02-18 30-06-18
Extrema ambiente o a través de
ones o transferir Recaudos Recaudos
un sitio alterno que
pueda asegurar el
acceso y la operación
de los contribuyentes
para el pago

Finalmente y de acuerdo al numeral 4.3.1. de la Guia de Orientación, se debe hacer seguimiento a estos planes de
tratamiento y así mismo reportar la gestión de riesgos de seguridad digital a las instancias que correspondan, en este
caso, se deberían reportar al ColCERT, CCOC, Min TIC, entre otros un reporte que contenga:

• Activos críticos.
• Riesgos con nivel crítico.
• Amenazas críticas.

37
 • Vulnerabilidades críticas.

Las infraestructuras críticas cibernéticas (ICC) identificadas y los riesgos relacionados, deben reportarse al CCOC,
dado que es la entidad encargada de administrar esta información.

38