PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA

INFORMACIÓN

ENERO 2021

Dirección: Av el Dorado, Calle 26 No 69-76 Torre 1 Piso 9

Código Postal: 111071
PBX: 3169001
Página WEB: www.sdmujer.gov.co
Presente su petición, queja, reclamo o sugerencia al correo electrónico:
[email protected]
 1. INTRODUCCIÓN

En el marco de la administración y gestión de los riesgos, la Secretaria Distrital de la Mujer

- SDMUJER está trabajando en establecer una política de gestión frente a los temas
relacionados con la Seguridad y Privacidad de la Información.

La información de la SDMUJER es fundamental para el cumplimiento de los objetivos

misionales y su relación con las ciudadanas, por lo tanto es prioridad el manejo y cuidado
de la misma, para evitar la posibilidad de la alteración, mal uso, pérdida y/o filtración, por
lo tanto, es necesario definir el Plan de Tratamiento de Riesgos de Información que permita
la identificación, análisis, valoración y tratamiento de riesgos relacionados con la seguridad
de la información institucional ya sea física o digital, en cada uno de sus procesos, con el fin
de garantizar la seguridad en términos de integridad, confiabilidad y disponibilidad.

2. OBJETIVO

Establecer el tratamiento de los riesgo Riesgos de Seguridad de Información como una guía
metodológica para la SDMUJER que permita a los lideres o liderezas del proceso gestionar
y administrar el riesgo para prevenir su materialización y asegurar la información y los
recursos tecnologicos, mediante la identificación, análisis, valoración de riesgos y el
establecimiento de acciones de tratamiento dirigidos a prevenir la ocurrencia o minimizar
el impacto de los riesgos de seguridad y privacidad de la información.

3. ALCANCE

El plan de tratamiento de riesgos de seguridad de la información será aplicado en la

SDMUJER de acuerdo con los lineamientos y metodología de identificación, calificación,
seguimiento, monitoreo, y evaluación del riesgo, establecido para el control y
mejoramiento continuo. Teniendo en cuenta aspectos como: el manejo de documentos en
medio físico, el proceso de almacenaje y recuperación, los sistemas de información con los
que cuenta la Entidad, los sistemas externos a los que esté obligada a reportar información,
la forma de almacenamiento de los datos digitales y los modelos de respaldo de
información.

Dirección: Av el Dorado, Calle 26 No 69-76 Torre 1 Piso 9

Código Postal: 111071
PBX: 3169001
Página WEB: www.sdmujer.gov.co
Presente su petición, queja, reclamo o sugerencia al correo electrónico:
[email protected]
 4. METODOLOGÍA DE GESTIÓN INTEGRADA DE RIESGOS DE SEGURIDAD Y
PRIVACIDAD DE LA INFORMACIÓN.

De acuerdo con el Manual de Gestión del Riesgo del Departamento Administrativo de la

Función pública y la Norma ISO 31000, se establecen tres pilares o principios de la Seguridad
de la Información: Confencialidad, Integridad y Disponibilidad.

El proceso para la gestión del riesgo debe estar adaptado a los procesos de la Entidad y
comprende las siguientes actividades que se presentan en la siguiete ilustración. Proceso
para la gestión del riesgo de la norma ISO 31000.

Ilustración I. Proceso para la gestión de riesgos

 Comunicación y consulta: Las partes involucradas tanto a nivel interno de la

Entidad como externo deben tener una comunicación eficaz durante todas las
etapas del proceso de gestión del riesgo y tener definidos los medios de
comunicación, con el fin de garantizar que los responsables del proceso y las partes
involucradas entiendan las bases sobre las cuales se toman decisiones (Icontec,
2011).

 Establecer el Contexto Se procede a identificar las características de los factores

internos y externo que influyen sobre la gestión del riesgo, esto se analizará a partir

Dirección: Av el Dorado, Calle 26 No 69-76 Torre 1 Piso 9

Código Postal: 111071
PBX: 3169001
Página WEB: www.sdmujer.gov.co
Presente su petición, queja, reclamo o sugerencia al correo electrónico:
[email protected]
 del uso del método DOFA – Fortalezas, Oportunidades, debilidades y Amenazas. El
punto de partida de la identificación de riesgos es realizar una identificación y
clasificación de activos de información de los procesos.

 Valoración del Riesgo: La definición de este término de acuerdo a la Norma ISO

31000, “valoración del riesgo es el proceso total de la identificación del riesgo,
análisis del riesgo y evaluación del riesgo”

 Identificación de los Riesgos “El propósito de la identificación del riesgo es la

identificación de lo que puede ocurrir o las situaciones que puedan presentarse que
afecten el logro de los objetivos del sistema o de la Entidad”. Comprende la
identificación de las causas, consecuencias, fuentes generadoras de riesgo que
puedan afectar el cumplimiento de los objetivos planteados para los procesos.

 Análisis de los Riesgos “El análisis de riesgos implica la consideración de las causas
y las fuentes de riesgo, sus consecuencias (impacto) y la probabilidad en que estas
consecuencias puedan ocurrir”

 Evaluación de los Riesgos La Norma ISO 31000 estable que la evaluación de la

gestión del riesgo debe realizarse con base en los resultados del análisis de riesgos.
La finalidad de la evaluación del riesgo es ayudar a la toma de decisiones,
determinando los riesgos a tratar. La evaluación del riesgo es la comparación de los
niveles de riesgo estimados con los criterios de evaluación y los criterios de
aceptación del riesgo.

 Tratamiento de Riesgos: “El tratamiento del riesgo involucra la selección de una o

más opciones para modificar los riesgos y la implementación de tales opciones. Una
vez implementado, el tratamiento suministra controles o los modifica” (Icontec,
2011).

 Monitoreo y Revisión: Como parte del proceso de gestión del riesgo, los riesgos y
los controles deberían ser monitoreados y revisados regularmente para comprobar
que:

o La hipótesis acerca de los riesgos sigue siendo válidas

o La hipótesis en la que está basada la valoración del riesgo, incluyendo el
contexto interior y exterior, siguen siendo válidas.
o Se van cumpliendo los resultados esperados

Dirección: Av el Dorado, Calle 26 No 69-76 Torre 1 Piso 9

Código Postal: 111071
PBX: 3169001
Página WEB: www.sdmujer.gov.co
Presente su petición, queja, reclamo o sugerencia al correo electrónico:
[email protected]
 4.1.3 Alineación o creación de la política de gestión de riesgo de seguridad
digital.

Es necesario que la entidad pública establezca una política de gestión de riesgo integral,
donde se incluya el compromiso en la gestión de los riesgos de seguridad digital en todos
sus niveles. Esta debe crearse como lo indica la Guía de administración del riesgo de
gestión del DAFP en el Paso 1, incluyendo la gestión de riesgos de seguridad digital. Esta
o La técnica de valoración del riesgo se aplica correctamente
actividad es responsabilidad de la Línea estratégica dispuesta por el MIPG.
o Los tratamientos del riesgo son efectivos
4.1.4 Definición de roles y responsabilidades

Además de las líneas de defensa y las responsabilidades designadas en la Guía para la

5. IDENTIFICACIÓN
Administración Y CLASIFICACIÓN
del Riesgo en la Gestión,DECorrupción
UN RIESGO DE SEGURIDAD
y Seguridad DIGITAL
Digital. Diseño de
Controles en Entidades Públicas del DAFP, es necesario indicar o profundizar en las
Seguido de esteque
responsabilidades plandeberá
de tratamiento de los riesgos
tener designadas de seguridaddedeSeguridad
el Responsable la información, la Sdmujer
Digital:
desarrollará una guia metodologica que contemple los lineamientos de Función Pública, donde
establecerade
Responsable losSeguridad
moderadores,
Digitallideres y liderezas del proceso, estableciendo a la Oficina
Asesora de Planeación como moderardor metodologico para los ejerciciso de identificación
Cada entidad
analisis pública debe
y seguimiento dedesignar
los riesgosuncon
responsable del aréa
el apoyo de Seguridad
de tecnologia que también
Digitalpara es
los riesgos
el responsable de la Seguridad de la Información, el cual debe pertenecer a un
realcionados con seguridad de la información; definiendo así, los responsables de laárea que
hagaaplicación
parte deadecuada
la Alta Dirección
y oportuna o del
Línea Estratégica
presente y tratamiento.
plan de las responsabilidades que deberá
cumplir respecto a la gestión del riesgo de seguridad digital serán las siguientes:

RESPONSABLE DE SEGURI DAD DI GI TAL

Definir el procedimiento para la Identificación y Valoración de Activos.
Adoptar o adecuar el procedimiento formal para la gestión de riesgos de
seguridad digital (Identificación, Análisis, Evaluación y Tratamiento).
Asesorar y acompañar a la primera línea de defensa en la realización de la
gestión de riesgos de seguridad digital y en la recomendación de controles
para mitigar los riesgos.
Apoyar en el seguimiento a los planes de tratamiento de riesgo definidos.
Informar a la línea estratégica sobre cualquier variación importante en los
niveles o valoraciones de los riesgos de seguridad digital.

Fuente: Ministerio de Tecnologías de la Información y las Comunicaciones

Este documento apoya al lider y responsable de la información o delegado para la etapa de

identificación y clasificación del riesgo cuando se trata de un “Riesgo Seguridad Digital”,
3 http://www.mintic.gov.co/gestionti/615/articles-5482_Modelo_de_Seguridad_Privacidad.pdf

alineado con el Instructivo para la Gestión del Riesgo (E-IN-005) – Pasos 4 y 5, en donde es
necesario tener en cuenta que estos riesgos serán tratados en sus etapas iniciales y finales
10
de acuerdo al mencionado instructivo y para los activos de información que en el Registro
de Activos de Información de la SDP (RAI) (A-LE- 283) hayan sido clasificados como de
criticidad “Alta” por sus responsables, según la valoración dada a su confidencialidad,
integridad y disponibilidad, razón por la cual se consideraría que existe un riesgo de la
información en alguno de éstos tres pilares.

5.1 Definición de recursos para la Gestión de riesgos de seguridad digital

Dirección: Av el Dorado, Calle 26 No 69-76 Torre 1 Piso 9

Código Postal: 111071
PBX: 3169001
Página WEB: www.sdmujer.gov.co
Presente su petición, queja, reclamo o sugerencia al correo electrónico:
[email protected]
La entidad pública debe disponer de los recursos suficientes para el desarrollo de la gestión
de riesgos de seguridad digital, (capital, tiempo, personal, procesos, sistemas y tecnologías),
con el fin de apoyar a los responsables en la implementación de controles y seguimiento de
los riesgos de seguridad digital.

La línea estratégica o alta dirección debe asignar entre otros, recursos tales como:

 Personal capacitado e idóneo para la gestión del riesgo de seguridad digital.

 Recursos económicos para la implementación de controles de mitigación de

riesgos

 Recursos para los aspectos de mejora continua, monitoreo y auditorías.

5.2 Identificación de activos de seguridad digital

Un activo es cualquier elemento que tenga valor para la organización, sin embargo, en el
contexto de seguridad digital son activos elementos tales como aplicaciones de la entidad
pública, servicios Web, redes, información física o digital, Tecnologías de la Información -
TI- o Tecnologías de la Operación -TO-) que utiliza la organización para su funcionamiento.

Es necesario que la entidad pública identifique los activos y documente un inventario de

activos, así podrá saber lo que se debe proteger para garantizar tanto su funcionamiento
interno (BackOffice) como su funcionamiento de cara al ciudadano (FrontOffice),
aumentando así su confianza en el uso del entorno digital para interactuar con el Estado.

La identificación y activos debe ser realizada por la Primera Línea de Defensa – Líderes de
Proceso, en cada proceso donde aplique la gestión del riesgo de seguridad digital, siendo
debidamente orientados por el responsable de seguridad digital o de seguridad de la
información de la entidad pública.

La siguiente tabla presenta una propuesta de tipología de activos con el fin de hacer la
clasificación mencionada.

Dirección: Av el Dorado, Calle 26 No 69-76 Torre 1 Piso 9

Código Postal: 111071
PBX: 3169001
Página WEB: www.sdmujer.gov.co
Presente su petición, queja, reclamo o sugerencia al correo electrónico:
[email protected]
 Paso 3. Clasificar los activos:
Cada activo debe tener una clasificación o pertenecer a un determinado grupo de activos
según su naturaleza cómo, por ejemplo: Información, Software, Hardware, Componentes de
Red entre otros.

La siguiente tabla presenta una propuesta de tipología de activos con el fin de hacer la
clasificación mencionada.

Tabla 4. Tipología de Activos:

Ti o de
De c i ci n
ac i o
Información almacenada en formatos físicos (papel, carpetas, CD, DVD) o en
formatos digitales o electrónicos (ficheros en bases de datos, correos
electrónicos, archivos o servidores), teniendo en cuenta lo anterior, se puede
distinguir como información: Contratos, acuerdos de confidencialidad, manuales
I nfo maci n de usuario, procedimientos operativos o de soporte, planes para la continuidad
del negocio, registros contables, estados financieros, archivos ofimáticos,
documentos y registros del sistema integrado de gestión, bases de datos con
información personal o con información relevante para algún proceso (bases de
datos de nóminas, estados financieros) entre otros.
Activo informático lógico como programas, herramientas ofimáticas o sistemas
Sof ae lógicos para la ejecución de las actividades

Equipos físicos de cómputo y de comunicaciones como, servidores, biométricos

Ha d a e 13
que por su criticidad son considerados activos de información
Servicio brindado por parte de la entidad para el apoyo de las actividades de los
procesos, tales como: Servicios WEB, intranet, CRM, ERP, Portales
Se icio organizacionales, Aplicaciones entre otros (Pueden estar compuestos por
hardware y software)
Se consideran intangibles aquellos activos inmateriales que otorgan a la entidad
I n angible una ventaja competitiva relevante, uno de ellos es la imagen corporativa,
reputación o el good will, entre otros
Medios necesarios para realizar la conexión de los elementos de hardware y
Com onen e
software en una red, por ejemplo, el cableado estructurado y tarjetas de red,
de ed routers, switches, entre otros
Aquellos roles que, por su conocimiento, experiencia y criticidad para el proceso,
Pe ona son considerados activos de información, por ejemplo: personal con experiencia
y capacitado para realizar una tarea específica en la ejecución de las actividades
Espacio o área asignada para alojar y salvaguardar los datos considerados como
I n alacione activos críticos para la empresa
Fuente: Ministerio de Tecnologías de la Información y las Comunicaciones

Ejemplo:
ACTI VO TI PO DE ACTI VO
Ilustración II. ClasificaciónInformación
Base de datos de nómina
de Activos
Aplicativo de Nómina Software

Cuentas de Cobro Información

Fuente: Ministerio de Tecnologías de la Información y las Comunicaciones
5.3 Criticidad de los Activos
Paso 4. Clasificar la información:
La criticidad de losRealizar
activos de información
la clasificación de la informaciónfue valorada
conforme delasacuerdo
lo indican a 2014,
leyes 1712 de la Guía para la Gestión
1581 de 2012, el Modelo de Seguridad y Privacidad en su Guía de Gestión de
y Clasificación de Activos de Información de Min TIC, referenciada en el Anexo 4 para
Activos, el dominio 8 del Anexo A de la norma I SO27001:2013 y demás
normatividad aplicable. Esto adicionalmente ayudará a dilucidar la importancia de los
Riesgos de Seguridadactivos de Digital,
información en midiéndose
el siguiente Paso 5. por los tres pilares de la seguridad de la

información “CONFIDENCIALIDAD”, “INTEGRIDAD”, “DISPONIBILIDAD” de la siguiente

Ejemplo:
manera: TI PO DE
ACTI VO Ley 1712 de 2014 Ley 1581 de 2012
ACTI VO
Base de datos de Información No Contiene datos
Información
nómina Reservada personales
Aplicativo de Nómina Software N/A N/A
Cuentas de Cobro Información Información Pública No contiene datos

14

Dirección: Av el Dorado, Calle 26 No 69-76 Torre 1 Piso 9

Código Postal: 111071
PBX: 3169001
Página WEB: www.sdmujer.gov.co
Presente su petición, queja, reclamo o sugerencia al correo electrónico:
[email protected]
Ilustración III. Plan de tratamiento de Riesgos de Seguridad y Privacidad de la Información

Tras la valoración del activo de información por cada uno de los tres pilares en el Formato
Registro De Activos De Información (RAI) (A-FO-209) se clasifica el Activo en el nivel de
criticidad “ALTA”, “MEDIA” ó “BAJA”), de acuerdo a las condiciones de la Guía para la
Gestión y Clasificación de Activos de Información de MinTIC de la siguiente manera:

El resultado de esta valoración se refleja finalmente en el documento SIG Registro de

Activos de Información (RAI) (A-LE-283), a partir del cual se seleccionan para tratamiento
de riesgos, todos los activos de información clasificados con nivel de criticidad “ALTA”

De acuerdo con lo lineamientos para la Gestión del Riesgo de seguridad digital en las
Entidades Públicas, se deberá especificar la amenaza de acuerdo a la siguiente tabla de
referencia:

Dirección: Av el Dorado, Calle 26 No 69-76 Torre 1 Piso 9

Código Postal: 111071
PBX: 3169001
Página WEB: www.sdmujer.gov.co
Presente su petición, queja, reclamo o sugerencia al correo electrónico:
[email protected]
 Ilustración IV. Niveles de Clasificacion de la Información

5.4 Identificar y analizar los riesgos inherentes de seguridad digital

Para el tratamiento de riesgos se seleccionan todos los activos de información clasificados

con nivel de criticidad “ALTA y se debe especificar la amenaza de acuerdo a la siguiente
tabla de referencia:

Dirección: Av el Dorado, Calle 26 No 69-76 Torre 1 Piso 9

Código Postal: 111071
PBX: 3169001
Página WEB: www.sdmujer.gov.co
Presente su petición, queja, reclamo o sugerencia al correo electrónico:
[email protected]
 Ilustración V. Tipos de riesgo y Amenazas

Tras el registro de una amenaza, se deberán especificar las vulnerabilidades, de acuerdo a

la siguiente tabla de referencia:

Ilustración VI. Vulnerabilidades

NOTA: La sola presencia de una vulnerabilidad no causa daños por sí misma, ya que
representa únicamente una debilidad de un activo o un control, para que la vulnerabilidad
pueda causar daño, es necesario que una amenaza pueda explotar esa debilidad. Una

Dirección: Av el Dorado, Calle 26 No 69-76 Torre 1 Piso 9

Código Postal: 111071
PBX: 3169001
Página WEB: www.sdmujer.gov.co
Presente su petición, queja, reclamo o sugerencia al correo electrónico:
[email protected]
vulnerabilidad que no tiene una amenaza puede no requerir la implementación de un
control.

A continuación, se presentan ejemplos de relación entre vulnerabilidades de acuerdo con

el tipo de activos y las amenazas.

Ilustración VII. Amenazas y Vulnerabilidades

Para cada tipo de activo o grupo de activos pueden existir una serie de riesgos, los cuales la
SDMUJER debe identificar, valorar y posteriormente tratar si el nivel de dicho riesgo lo
amerita.

Adicionalmente, se debe identificar el responsable del riesgo, es decir, “quien tiene que
rendir cuentas sobre el riesgo o quien tiene la autoridad para gestionar el riesgo” .

La identificación de riesgos, amenazas y vulnerabilidades puede ser realizada a través de

diferentes metodologías. Como ejemplo, se citan las siguientes:

 Lluvia de ideas: Mediante esta opción se busca animar a los participantes a que
indiquen qué situaciones adversas asociadas al manejo de la información digital y
los activos de información se pueden presentar o casos ocurridos que los
participantes conozcan que se hayan dado en la SDMUJER o en el sector. Deben
existir un orden de la sesión, un líder y personas que ayuden con la captura de las
memorias.

Dirección: Av el Dorado, Calle 26 No 69-76 Torre 1 Piso 9

Código Postal: 111071
PBX: 3169001
Página WEB: www.sdmujer.gov.co
Presente su petición, queja, reclamo o sugerencia al correo electrónico:
[email protected]
  Juicio de expertos: A través de este esquema se reúnen las personas con mayor
conocimiento sobre la materia de análisis e indican cuáles aspectos negativos o
riesgos de seguridad digital se pueden presentar. Para emplear esta técnica, se
requiere disponer de una agenda con un orden de temas, establecer reglas claras y
contar con la participación de un orientador o moderador, así como personas que
tomen notas de los principales conceptos expuestos. Al finalizar, se retoman los
principales riesgos identificados y se procede a hacer una valoración

 Análisis de escenarios: en este esquema también se busca que un grupo de

personas asociadas al proceso determinen situaciones potenciales que pueden
llegar a presentarse: explosión de un pozo, sobrecarga de un nodo, pérdida de
control de una unidad operada remotamente; y con base en estas posibilidades, se
determina qué puede llegar a suceder, desde la perspectiva digital, a los activos de
información y las consecuencias de la afectación.

 Otras técnicas que pueden ser empleadas son: entrevistas estructuradas,

encuestas o listas de chequeo.

Posterior a la identificación de los riesgos de seguridad digital con sus respectivas amenazas
y vulnerabilidades enunciadas en este documento, se deberá continuar con el Paso 3.
Valoración del Riesgo, de la “Guía para la Administración del Riesgo en la Gestión,
Corrupción y Seguridad Digital. Diseño de Controles en Entidades Públicas” del DAFP.

5.5 Identificación y evaluación de los controles existentes

Como lo indica la Guía de DAFP, arriba mencionada, una vez establecidos y valorados los
riesgos inherentes se procede a la identificación y evaluación de los controles existentes
para evitar trabajo o costos innecesarios.

Nota: Para determinar si existen uno o varios controles asociados a los riesgos inherentes
identificados se puede consultar el Anexo A de la Norma ISO/IEC 27001:2013 como un
insumo base y determinar si ya posee alguno de los controles orientados a seguridad digital
que están enunciados en dicho anexo.

5.6 Tratamiento de los riesgos de seguridad digital

Una vez se han identificado los riesgos, la SDMUJER debe definir el tratamiento para cada
uno de los riesgos analizados y evaluados. Este es un proceso cíclico, el cual involucra una
selección de opciones para modificarlos, por lo tanto, puede tener en cuenta las opciones
Dirección: Av el Dorado, Calle 26 No 69-76 Torre 1 Piso 9
Código Postal: 111071
PBX: 3169001
Página WEB: www.sdmujer.gov.co
Presente su petición, queja, reclamo o sugerencia al correo electrónico:
[email protected]
planteadas en la “Guía para la Administración del Riesgo en la Gestión, Corrupción y
Seguridad Digital. Diseño de Controles en Entidades Públicas” del DAFP:

o Evitar
o Aceptar
o Compartir
o Mitigar el riesgo

5.7 Monitoreo y revisión

La SDMUJER debe hacer un seguimiento a los planes de tratamiento para determinar su

efectividad, de acuerdo con lo definido a continuación:

 Realizar seguimiento y monitoreo al plan de acción en la etapa de implementación

y finalización de los planes de acción.

 Revisar periódicamente las actividades de control para determinar su relevancia

y actualizarlas de ser necesario.

 Realizar monitoreo de los riesgos y controles tecnológicos.

 Efectuar la evaluación del plan de acción y realizar nuevamente la valoración de

los riesgos de seguridad digital para verificar su efectividad.

 Verificar que los controles están diseñados e implementados de manera efectiva

y operen como se pretende para controlar los riesgos.

 Suministrar recomendaciones para mejorar la eficiencia y eficacia de los controles.

Nota: una vez que el plan de tratamiento se haya ejecutado en las fechas y con las
disposiciones de recursos previstas, la SDMUJER debe valorar nuevamente el riesgo y
verificar si el nivel disminuyó o no (es decir, si se desplazó de una zona mayor a una menor
en el mapa de calor) y luego, compararlo con el último nivel de riesgo residual.

En esta fase se deben evaluar periódicamente los riesgos residuales para determinar la
efectividad de los planes de tratamiento y de los controles propuestos, de acuerdo con lo
definido en la Política de Administración de Riesgos de la entidad pública. Así mismo,
también deberán tenerse en cuenta los incidentes de seguridad digital que hayan afectado
a la entidad y también las métricas o indicadores definidos para hacer seguimiento a las
Dirección: Av el Dorado, Calle 26 No 69-76 Torre 1 Piso 9
Código Postal: 111071
PBX: 3169001
Página WEB: www.sdmujer.gov.co
Presente su petición, queja, reclamo o sugerencia al correo electrónico:
[email protected]
medidas de seguridad implementadas. Todo lo anterior contribuye a la toma de decisiones
en el proceso de revisión de riesgo por parte de la línea estratégica (Alta dirección y Comité
Institucional de Coordinación de Control Interno) y las partes interesadas.

6. SEGUIMIENTO Y CONTROL

El seguimiento y monitoreo a la ejecución de las actividades establecidas para el

planes/proyectos del Plan de Tratamiento de Riesgos Seguridad y Privacidad de la
Información, se realizará a través del MIPG, se determinará la periodicidad en Cronograma
de Seguimiento a los Planes definidos en el Decreto 612 de 2018.

VERSIÓN FECHA DE DESCRIPCIÓN RESPONSABLE

APROBACIÓN
1 20/01/2021 Aprobación del Plan Tratamiento de María Carolina Ardila Garzón
riesgos de Seguridad y Privacidad Oficina Asesora de Planeación
de la Información

Dirección: Av el Dorado, Calle 26 No 69-76 Torre 1 Piso 9

Código Postal: 111071
PBX: 3169001
Página WEB: www.sdmujer.gov.co
Presente su petición, queja, reclamo o sugerencia al correo electrónico:
[email protected]