Plan de Tratamiento de Riesgos del SENA

Bogotá D.C. 2019

GC-F -005 V. 04
 Contenido

1 INTRODUCCIÓN ........................................................................................................................ 3
2 TÉRMINOS Y DEFINICIONES .................................................................................................... 4
3 MARCO TEÓRICO ..................................................................................................................... 5
3.1 Establecimiento del contexto interno ............................................................................... 5
3.2 Establecimiento del contexto del proceso ........................................................................ 6
3.3 Identificar amenazas ............................................................................................................ 6
3.4 Identificar causas o vulnerabilidades ................................................................................. 6
4 DEFINICIÓN DE OBJETIVOS ..................................................................................................... 8
4.1 GENERAL ................................................................................................................................ 8
4.2 OBJETIVOS ESPECÍFICOS DEL PLAN .................................................................................... 9
5 ALCANCE DEL PLAN DE TRATAMIENTO ................................................................................ 9
6 PLANES DE TRATAMIENTO PARA EL SENA ........................................................................... 9

GC-F -005 V. 04
 1 INTRODUCCIÓN

Los cibercriminales cada día inventan nuevas formas de afectar la seguridad de la información,
ataques de día cero y amenazas persistentes afectan no solo los datos, sino también generan efectos
negativos sobre las finanzas de una organización y la imagen de esta.

Es importante aclarar que el Gobierno Nacional dentro de su política de aprovechamiento de las

tecnologías de la información y las comunicaciones definen el obligatorio cumplimiento de la
Política de Gobierno Digital, en el marco del diagnóstico, planificación, implementación, gestión y
mejoramiento continuo, del Modelo de Seguridad y Privacidad de la Información – MSPI
desarrollado por el Ministerio de las TIC.

Por otra parte, Cisco Systems, Inc. indica que “Es muy probable que no se puedan reducir los ataques
cibernéticos, pero si se puedan reducir las vulnerabilidades existentes, haciendo un análisis
minucioso de todo el sistema informático de una organización y desarrollando los controles
necesarios”.

La firma Lloyd's of London calcula que para el 2019, los ataques cibernéticos costarán al sector
público y privado en todo el mundo unos 400.000 millones de dólares, según cita un análisis
elaborado por Swiss Re (Sigma, 2017), en el que advierte que “El riesgo cibernético ha tomado una
alta relevancia en la agenda de las entidades a medida que se han hecho más visibles las
consecuencias de una violación de seguridad”.

Con el proceso de identificación de los activos y riesgos del SENA se logra identificarlos, clasificarlos,
analizarlos, priorizarlos y determinar su valor en caso de pérdida de información, y conocer los
posibles riesgos que puedan afectar la seguridad y privacidad de la información con la que cuenta
la Entidad.

GC-F -005 V. 04
 2 TÉRMINOS Y DEFINICIONES

Activo: Cualquier cosa que tiene valor para la organización.

Activos de información: Es todo activo que contenga información, la cual posee un valor y es
necesaria para realizar los procesos del negocio, servicio y soporte. Se pueden clasificar de la
siguiente manera:

1. Personas: Incluyendo sus calificaciones, competencias y experiencia.

2. Intangibles: Ideas, conocimiento, conversaciones.
3. Electrónicos: Bases de datos, archivos, registros de auditoria, aplicaciones, herramientas de
desarrollo y utilidades.
4. Físicos: Documentos impresos, manuscritos y hardware.
5. Servicios: Servicios computacionales y de comunicaciones.

Disponibilidad: Propiedad de que la información sea accesible y utilizable por solicitud de una
entidad autorizada.

Falla: Daño o afectación de un dispositivo por un periodo determinado. Las fallas las podemos
clasificar dependiendo del tipo de evento que la ocasione en: fallas accidentales, intencionales o
naturales.

Información: Entendemos por INFORMACIÓN cualquier manifestación (ya sea visual, auditiva,
escrita, electrónica, óptica, magnética, táctil) de un conjunto de conocimientos. Por ejemplo:

1. Una noticia que escuchamos por la radio.

2. Una señal de tráfico que advierte un peligro.
3. Una fórmula que usamos en un problema.

Acción de tratamiento: Actividad planificada, temporal y única, diseñada y ejecutada para eliminar
o reducir las causas de los riesgos o disminuir el impacto de una eventual materialización de estos.

Control: Actividad de monitoreo ejecutada sistemáticamente y definida en el marco de actividades

establecidas en los procesos, determinada con el propósito de reducir la probabilidad o el impacto
de la materialización de los riesgos, dando seguridad razonable el cumplimiento de los objetivos

Causas: Fallas, debilidades, condiciones, restricciones o circunstancias ciertas o potenciales, que

pueden dar lugar al evento, pueden aumentar la exposición al riesgo o potenciar sus consecuencias.

Consecuencias: Efectos directos e indirectos sobre los recursos y objetivos del proceso si el riesgo
se materializa.

GC-F -005 V. 04
Evento: Incidente u ocurrencia interna o externa al proceso, que se da en un lugar o espacio de
tiempo particular, de forma súbita o accidental y que impacta el cumplimiento de los objetivos de
un proceso.

Indicador de riesgo: Es una herramienta de medición que permite monitorear, de manera

preventiva, el comportamiento de los riesgos. Indica cambios en el nivel o exposición a los mismos
y permite la identificación de tendencias en el comportamiento de estos, generando alarmas
tempranas que conducen a reforzar o enfocar la gestión para evitar su materialización.

Riesgo: Todo evento de ocurrencia incierta que de materializarse genera un impacto, positivo o
negativo, en el logro o cumplimiento de los objetivos de los procesos o proyectos. Se puede medir
en términos de la probabilidad de ocurrencia y el impacto de sus consecuencias.

Riesgo de Seguridad de la Información: Evento que afecta o amenaza la confidencialidad, integridad

y disponibilidad de la información y puede impactar las funciones el logro de los objetivos
organizacionales.

3 MARCO TEÓRICO
Como parte del marco teórico se determinan las características o aspectos esenciales del entorno
en el cual opera la Entidad. Se pueden considerar factores como:

• Políticos
• Sociales y culturales
• Legales y reglamentarios
• Tecnológicos
• Financieros
• Económicos

3.1 Establecimiento del contexto interno

Se determinan las características o aspectos esenciales del ambiente en el cual la Entidad busca
alcanzar sus objetivos. Se pueden considerar factores como:

• Estructura Organizacional
• Funciones y Responsabilidades
• Políticas, Objetivos y Estrategias implementadas
• Recursos y Conocimientos con que se cuenta (personas, procesos, sistemas, tecnología)
• Relaciones con las partes involucradas
• Cultura Organizacional

GC-F -005 V. 04
 3.2 Establecimiento del contexto del proceso
Objetivos del proceso descritos de acuerdo con la metodología (¿Qué se quiere lograr?, ¿Cómo se
hace? ¿Para qué?)

• Operatividad del proceso

• El alcance
• Procedimientos
• Roles y Responsabilidades
• Documentos que soportan el proceso
• Entradas y salidas
• Herramientas tecnológicas en las que se soporta el proceso
• Riesgos, medidas de mitigación existentes
• Interacciones con otros Procesos
• Resultados de auditorías internas y externas
• Resultados de autoevaluaciones y hallazgos de auditorías internas y externas

3.3 Identificar amenazas

Las amenazas pueden ser el resultado de actos deliberados o mal intencionados que afectan los
activos de los procesos. Las organizaciones enfrentan numerosas amenazas comunes tales como el
potencial de falla de un servidor o la pérdida del fluido eléctrico; pero también enfrentan otras
amenazas que son específicas para el SENA o son únicas consideradas desde el punto de vista de su
impacto potencial.

Para la identificación de las amenazas a las que pueden enfrentarse los procesos críticos del negocio
se realizan entrevistas con funcionarios del SENA, que suministrarán información sobre cuáles son
las amenazas con mayor impacto desde la perspectiva de continuidad del servicio o negocio, las que
podrían llegar a afectar la continuidad de los procesos y, por consiguiente, podrían causar una
pérdida financiera o afectación de la imagen de la Entidad.

3.4 Identificar causas o vulnerabilidades

En esta actividad se establece el conjunto de causas de posibles riesgos que posee cada activo
crítico, que, en caso de ser explotadas por una o varias amenazas, afectarían la continuidad del
proceso. Las vulnerabilidades, por su parte, son debilidades o ausencia de controles que un activo
perteneciente a un proceso pueda tener.

Algunas de las causas de riesgos consideradas son:

1. Ausencia de políticas
2. Configuraciones no seguras

GC-F -005 V. 04
 3. Errores de configuración
4. Errores de mantenimiento
5. Errores del administrador
6. Errores en código
7. Exposición a materiales peligrosos
8. Fallas de usuarios
9. Manuales de uso no documentados
10. Medidas de protección de acceso inadecuadas
11. Medidas de protección física inadecuadas
12. Procesos o procedimientos no documentados
13. Usuario desinformado
14. Tecnología inadecuada
15. Debilidad o inexistencia de controles

Por otra parte, para poder realizar una eficaz labor preventiva en relación con los riesgos de
seguridad de la información es fundamental realizar una precisa identificación de todos y cada uno
de los riesgos que existen y que en un momento dado pueden afectar la confidencialidad, la
integridad y la disponibilidad de los activos de información del SENA. Del análisis de riesgo se pueden
obtener las causas que provocan estos riesgos, las causas que los originan, las vulnerabilidades
existentes, los controles existentes y su efectividad, el riesgo inherente, y finalmente el riesgo
residual, que con base en este último se definen los planes de tratamiento que mitigan estos riesgos,
que por sus características sobre pasas el nivel de apetito al riesgo de la Entidad.

La finalidad de esta fase (plan de tratamiento) es descubrir, reconocer y registrar los riesgos. Este
proceso incluye la identificación de las causas y el origen de los riesgos, los sucesos o situaciones
que pueden tener un impacto en los objetivos de la organización.

El procedimiento para la gestión de riesgos contiene el reconocimiento de las causas y la

procedencia del riesgo que puedan afectar a los objetivos.

El método de identificación del riesgo se basa en: Mesas de trabajo con los dueños de cada activo,
listas de verificación y revisiones de datos históricos sobre activos y riesgos.

Los pasos para la evaluación del riesgo serán:

• Identificación de los riesgos

o Amenazas
o Vulnerabilidades
• Análisis del riesgo
• Valoración del riesgo
• Riesgo inherente

GC-F -005 V. 04
 • Riesgo residual
• Definición de los planes de tratamiento

Así mismo, es necesario tener en cuenta los siguientes ítems relacionados con el tema en particular:

ÍTEM NORMA DESCRIPCIÓN

Tecnología de la información. Técnicas de
1 NTC / ISO 27001:2013 seguridad. Sistemas de gestión de la
seguridad de la información (SGSI).
Se centra en las buenas prácticas para
2 NTC/ ISO/IEC 27002 gestión de la seguridad de la información,
utilización de la norma para apoyar la
implantación del SGSI en cualquier tipo de
organización.
3 Decreto 1078 de 2015 Por medio del cual se expide el Decreto
Único Reglamentario del Sector de
Tecnologías de la Información y las
Comunicaciones.
4 Decreto 1008 de 2018 Por el cual se establecen los lineamientos
generales de la política de Gobierno Digital y
se subroga el capítulo 1 del título 9 de la
parte 2 del libro 2 del Decreto 1078 de 2015,
Decreto Único Reglamentario del sector de
Tecnologías de la Información y las
Comunicaciones.
5 NTC/ISO 31000:2009 Gestión del Riesgo. Principios y directrices.

6 Guía para la administración del Guía para la administración y gestión de

riesgo y el diseño de controles en riesgos de gestión, corrupción y seguridad
entidades públicas VERSIÓN 4 del digital en entidades del Estado.
Departamento Administrativo de la
Función Pública

4 DEFINICIÓN DE OBJETIVOS

4.1 GENERAL
El objetivo de este documento es presentar los Planes de Tratamiento para los riesgos identificados
y valorados en el SENA.

GC-F -005 V. 04
Los planes de tratamiento aquí presentados deben ser aprobados por los responsables de los riesgos
y, además, se pueden proponer nuevos planes de tratamiento que mitiguen de manera adecuada
los riesgos identificados.

4.2 OBJETIVOS ESPECÍFICOS DEL PLAN

• Identificar los planes de tratamiento de riesgos para la mitigación de los riesgos
identificados en el SENA.
• Calcular el nivel de riesgo asociado.
• Establecer el plan de tratamiento de riesgos
• Realizar seguimiento y control a la eficacia del plan de tratamiento de riesgos

5 ALCANCE DEL PLAN DE TRATAMIENTO

El análisis de riesgo se realizó sobre los activos de información identificados en las mesas de trabajo
realizadas con los funcionarios del SENA y valorados con criticidad alta.

6 PLANES DE TRATAMIENTO PARA EL SENA

El presente plan contiene las actividades requeridas para mitigar los riesgos asociados a la
identificación del riesgo en el SENA:

Riesgo 1:
Consecutivo de Resoluciones
Nombre del Plan Plan de Continuidad del Negocio, Respaldo de la información del
de Tratamiento Consecutivo de Resoluciones
Proceso GESTIÓN DOCUMENTAL
La ausencia de espacio físico para garantizar la correcta gestión de los
consecutivos de resoluciones contará con un plan de continuidad del
negocio (o sus siglas en inglés BCP, por Business Continuity Plan) que es un
Descripción del plan logístico para la práctica de cómo la organización debe recuperar y
plan de restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de
tratamiento un tiempo predeterminado después de una interrupción no deseada o
desastre.
En lenguaje sencillo, BCP es el cómo una organización se prepara para
futuros incidentes que puedan poner en peligro a ésta y a su misión básica a

GC-F -005 V. 04
 Riesgo 1:
Consecutivo de Resoluciones
largo plazo. Las situaciones posibles incluyen desde incidentes locales
(como incendios, terremotos, inundaciones, tsunamis, etc.), incidentes de
carácter regional, nacional o internacional hasta incidentes
como pandemias, etc.
Riesgos Asociados
Pérdida de disponibilidad
Prioridad del plan
5
de tratamiento
Controles A.12.3.1 Copias de respaldo de la información
Asociados A.17.1.1 Planificación de la continuidad de la seguridad de la información
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Activid
Descripción Responsables Duración
ad
Adecuaciones Locativas del
espacio físico propio para
GESTIÓN
1 tener un almacenamiento de
DOCUMENTAL 6 meses
acuerdo con las normas
ambientales y disposiciones
técnicas requeridas
Actividades a
Colocar la Información en un
realizar
2 servidor y realizar las copias
SISTEMAS 1 año
adecuadas de seguridad en
cintas magnéticas
Guardar las copias de
seguridad fuera de la
3 Entidad, en donde su SISTEMAS 1 año
repositorio sea seguro y
confiable
Duración estimada
1 año
del plan
Recursos Personas: funcionarios y contratistas del SENA
necesarios para el
plan Tecnológico: Servidor, Cintas
Responsables del
Grupo Administración de Documentos
plan
Costos estimados $ 50.000.000 MCTE
APROBADO SI/NO SI

GC-F -005 V. 04
 Riesgo 2:
Inventarios Documentales de Archivos Central
Nombre del Plan Plan de Continuidad del Negocio, Respaldo de la información para los
de Tratamiento Inventarios Documentales de Archivos Central
Proceso GESTIÓN DOCUMENTAL
La ausencia del acceso ineficiente de la información del Archivos Central se
soluciona con un plan de continuidad del negocio (o sus siglas en inglés BCP,
por Business Continuity Plan) que es un plan logístico para la práctica de
cómo la organización debe recuperar y restaurar sus funciones críticas
parcial o totalmente interrumpidas dentro de un tiempo predeterminado
Descripción del
después de una interrupción no deseada o desastre.
plan de
En lenguaje sencillo, BCP es el cómo una organización se prepara para
tratamiento
futuros incidentes que puedan poner en peligro a ésta y a su misión básica a
largo plazo. Las situaciones posibles incluyen desde incidentes locales
(como incendios, terremotos, inundaciones, tsunamis, etc.), incidentes de
carácter regional, nacional o internacional hasta incidentes
como pandemias, etc.
Riesgos Asociados
Pérdida de disponibilidad
Prioridad del plan
5
de tratamiento
Controles A.12.3.1 Copias de respaldo de la información
Asociados A.17.1.1 Planificación de la continuidad de la seguridad de la información
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Activid
Descripción Responsables Duración
ad
Desarrollar un
procedimiento para
GESTIÓN
1 realizarla ejecución de las
DOCUMENTAL 3 meses
copias de respaldo y
actualización de inventarios
Actividades a documentales.
realizar Tener la información en un
2
servidor replicado dentro o SISTEMAS 1 año
fuera de la entidad
Guardar las copias (backups)
de seguridad fuera de la
3 entidad, en donde su SISTEMAS 1 año
repositorio sea seguro y
confiable
Duración estimada
1 año
del plan
Personas: funcionarios y contratistas del SENA

GC-F -005 V. 04
 Riesgo 2:
Inventarios Documentales de Archivos Central
Recursos Tecnológico: Servidor, Cintas
necesarios para el
plan
Responsables del
Grupo Administración de Documentos
plan
Costos estimados $ 20.000.000 MCTE

APROBADO SI/NO SI

Riesgo 3:
Programa de Gestión Documental
Nombre del Plan Plan de Continuidad del Negocio, Respaldo de la información, Programa
de Tratamiento Gestión Documental
Proceso GESTIÓN DOCUMENTAL
Pérdida de disponibilidad por denegación de los servicios, lo cual se soluciona
con un plan de continuidad del negocio (o sus siglas en inglés BCP,
por Business Continuity Plan) que es un plan logístico para la práctica de
cómo la organización debe recuperar y restaurar sus funciones críticas
parcial o totalmente interrumpidas dentro de un tiempo predeterminado
Descripción del
después de una interrupción no deseada o desastre.
plan de
En lenguaje sencillo, BCP es el cómo una organización se prepara para
tratamiento
futuros incidentes que puedan poner en peligro a ésta y a su misión básica a
largo plazo. Las situaciones posibles incluyen desde incidentes locales
(como incendios, terremotos, inundaciones, tsunamis, etc.), incidentes de
carácter regional, nacional o internacional hasta incidentes
como pandemias, etc.
Riesgos Asociados
Pérdida de disponibilidad
Prioridad del plan
5
de tratamiento
Controles A.12.3.1 Copias de respaldo de la información
Asociados A.17.1.1 Planificación de la continuidad de la seguridad de la información
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Activid
Descripción Responsables Duración
ad
Actividades a
Desarrollar un GESTIÓN
realizar 1
procedimiento para verificar DOCUMENTAL 3 meses
los

GC-F -005 V. 04
 controles que pueden
ocasionar la perdida de
información documental.
Tener la información en un
2
servidor replicado dentro o SISTEMAS 1 año
fuera de la Entidad
Guardar las copias de
seguridad fuera de la
3 Entidad, en donde su SISTEMAS 1 año
repositorio sea seguro y
confiable
Revisión de cómo se está
aplicando el MIPG, la
orientación publica y el
DIRECCIÓN DE
4 Manual integrado de 1 año
PLANEACIÓN
planeación y gestión
(función pública) Decreto
1499 de 2017.
Duración estimada
1 año
del plan
Recursos Personas: funcionarios y contratistas del SENA
necesarios para el Tecnológico: Servidor, Cintas
plan
Responsables del
Grupo Administración de Documentos
plan
Costos estimados $ 20.000.000 MCTE

APROBADO SI/NO SI

Riesgo 4:
Registro de Préstamo y Consulta de Documentos
Nombre del Plan Plan de Continuidad del Negocio, Respaldo de la información para el
de Tratamiento Registro de Préstamo y Consulta de Documentos
Proceso GESTIÓN DOCUMENTAL
Pérdida de información física debido a la alta rotación de personal por lo cual
se aplica un plan de continuidad del negocio (o sus siglas en inglés BCP,
por Business Continuity Plan) que es un plan logístico para la práctica de
Descripción del cómo la organización debe recuperar y restaurar sus funciones críticas
plan de parcial o totalmente interrumpidas dentro de un tiempo predeterminado
tratamiento después de una interrupción no deseada o desastre.
En lenguaje sencillo, BCP es el cómo una organización se prepara para
futuros incidentes que puedan poner en peligro a ésta y a su misión básica a
largo plazo. Las situaciones posibles incluyen desde incidentes locales

GC-F -005 V. 04
 Riesgo 4:
Registro de Préstamo y Consulta de Documentos
(como incendios, terremotos, inundaciones, tsunamis, etc.), incidentes de
carácter regional, nacional o internacional hasta incidentes
como pandemias, etc.
Riesgos Asociados Pérdida de disponibilidad
Prioridad del plan
5
de tratamiento
Controles A.12.3.1 Copias de respaldo de la información
Asociados A.17.1.1 Planificación de la continuidad de la seguridad de la información
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Activid
Descripción Responsables Duración
ad
Desarrollar un
procedimiento de GESTIÓN
1
verificación de controles que DOCUMENTAL 3 meses
puede minimizar la pérdida
de los documentos físicos.
Tener la información en un
2
Actividades a servidor replicado dentro o SISTEMAS 1 año
realizar fuera de la Entidad
Guardar las copias de
seguridad fuera de la
3 Entidad, en donde su SISTEMAS 1 año
repositorio sea seguro y
confiable
GESTIÓN
Revisión del Procedimiento
4 DOCUMENTAL 3 meses
de consulta y préstamo.
Duración estimada
1 año
del plan
Recursos Personas: funcionarios y contratistas del SENA
necesarios para el Tecnológico: Servidor, Cintas
plan
Responsables del
Grupo Administración de Documentos
plan
Costos estimados $ 20.000.000 MCTE

APROBADO SI/NO SI

GC-F -005 V. 04
 Riesgo 5:
Informe del Congreso
Nombre del Plan Plan de Continuidad del Negocio, Respaldo de la información del Informe
de Tratamiento del Congreso
Proceso DIRECCIONAMIENTO ESTRATÉGICO
Se cuenta con indisponibilidad de la información por ausencia de respaldos
por tal motivo se aplica un plan de continuidad del negocio (o sus siglas
en inglés BCP, por Business Continuity Plan) que es un plan logístico para la
práctica de cómo la organización debe recuperar y restaurar sus funciones
críticas parcial o totalmente interrumpidas dentro de un tiempo
Descripción del
predeterminado después de una interrupción no deseada o desastre.
plan de
En lenguaje sencillo, BCP es el cómo una organización se prepara para
tratamiento
futuros incidentes que puedan poner en peligro a ésta y a su misión básica a
largo plazo. Las situaciones posibles incluyen desde incidentes locales
(como incendios, terremotos, inundaciones, tsunamis, etc.), incidentes de
carácter regional, nacional o internacional hasta incidentes
como pandemias, etc.
Riesgos Asociados Pérdida de disponibilidad
Prioridad del plan
5
de tratamiento
Controles A.12.3.1 Copias de respaldo de la información
Asociados A.17.1.1 Planificación de la continuidad de la seguridad de la información
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Activid
Descripción Responsables Duración
ad
Tener la información en un
1
servidor replicado dentro o SISTEMAS 1 año
fuera de la Entidad
Guardar las copias de
Actividades a
seguridad fuera de la
realizar
2 Entidad, en donde su SISTEMAS 1 año
repositorio sea seguro y
confiable
Se debe revisar el
3 procedimiento a seguir del SISTEMAS 1 año
mantenimiento preventivo
Duración estimada
1 año
del plan
Recursos Personas: funcionarios y contratistas del SENA
necesarios para el Tecnológico: Servidor, Cintas
plan
Responsables del
Grupo de Gestión de la Información y evaluación de resultados
plan

GC-F -005 V. 04
 Riesgo 5:
Informe del Congreso
Costos estimados $ 15.000.000 MCTE

APROBADO SI/NO SI

Riesgo 6:
Informe de Gestión Anual
Nombre del Plan Plan de Continuidad del Negocio y Respaldo de la información del Informe
de Tratamiento de Gestión anual
Proceso DIRECCIONAMIENTO ESTRATÉGICO
Se evidencia Indisponibilidad de la información por ausencia de respaldos,
debe desarrollarse un plan de continuidad del negocio (o sus siglas
en inglés BCP, por Business Continuity Plan), es un plan logístico para la
práctica de cómo una organización debe recuperar y restaurar sus funciones
críticas parcial o totalmente interrumpidas dentro de un tiempo
predeterminado después de una interrupción no deseada o desastre. En
Descripción del los Estados Unidos, las entidades gubernamentales se refieren al proceso
plan de como planificación de continuación de operaciones (en inglés Continuity Of
tratamiento Operations Planning, o sus siglas COOP).
En lenguaje sencillo, BCP es el cómo una organización se prepara para
futuros incidentes que puedan poner en peligro a ésta y a su misión básica a
largo plazo. Las situaciones posibles incluyen desde incidentes locales
(como incendios, terremotos, inundaciones, tsunamis, etc.), incidentes de
carácter regional, nacional o internacional hasta incidentes
como pandemias, etc.
Riesgos Asociados Pérdida de disponibilidad
Prioridad del plan
5
de tratamiento
Controles A.12.3.1 Copias de respaldo de la información
Asociados A.17.1.1 Planificación de la continuidad de la seguridad de la información
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Activid
Descripción Responsables Duración
ad
Tener la información en un
1
servidor replicado dentro o SISTEMAS 1 año
Actividades a fuera de la Entidad
realizar Guardar las copias de
seguridad fuera de la
2 Entidad, en donde su SISTEMAS 1 año
repositorio sea seguro y
confiable.

GC-F -005 V. 04
 Riesgo 6:
Informe de Gestión Anual
Mejorar el procedimiento de
Verificación de la realización
3 SISTEMAS 1 año
del mantenimiento
preventivo
Duración estimada
1 año
del plan
Recursos Personas: funcionarios y contratistas del SENA
necesarios para el Tecnológico: Servidor, Cintas
plan
Responsables del
Grupo de Gestión de la Información y evaluación de resultados
plan
Costos estimados $ 15.000.000 MCTE
APROBADO SI/NO SI

Riesgo 7:
Simulador de Instructores
Nombre del Plan
Toma de conciencia, educación y formación
de Tratamiento
Proceso DIRECCIONAMIENTO ESTRATÉGICO
Todos los funcionarios y contratistas que tengan actividades o funciones con
Descripción del
el simulador de instructores deberán recibir la educación y la formación en
plan de
toma de conciencia apropiada para la utilización correcta de la herramienta
tratamiento
de software.
Riesgos Asociados Pérdida de Confidencialidad
Prioridad del plan
5
de tratamiento
Controles A.7.2.1 Responsabilidad de la Dirección
Asociados A.7.2.2 Toma de conciencia educación y formación
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Activid
Descripción Responsables Duración
ad
1 Curso de capacitación sobre DIRECCIÓN DE
1 año
el simulador de instructores PLANEACIÓN
Actividades a Charlas, cartillas y
realizar comunicaciones sobre el uso DIRECCIÓN DE
2 1 año
adecuado del simulador de PLANEACIÓN
instructores
Comprobación de los DIRECCIÓN DE
3 1 año
procedimientos, guías y/o PLANEACIÓN

GC-F -005 V. 04
 Riesgo 7:
Simulador de Instructores
protocolos para el ingreso de
información a la plataforma
de simulador de instructores
Duración estimada
1 año
del plan
Recursos Personas: funcionarios y contratistas del SENA
necesarios para el Campañas institucionales, material de comunicación, cursos, cartillas.
plan
Responsables del
Grupo de planeación Operativa
plan
Costos estimados $ 7.000.000 MCTE

APROBADO SI/NO SI

Riesgo 8:
Consolidación de Resoluciones
Nombre del Plan
Toma de conciencia, educación y formación
de Tratamiento
Proceso DIRECCIONAMIENTO ESTRATÉGICO
Todos los funcionarios y contratistas que tengan como actividades o
Descripción del
funciones la consolidación de resoluciones deberán recibir la educación y la
plan de
formación en toma de conciencia apropiada para la utilización correcta de la
tratamiento
herramienta de software.
Riesgos Asociados Pérdida de Confidencialidad
Prioridad del plan
5
de tratamiento
A.7.2.1 Responsabilidad de la Dirección
Controles
A.7.2.2 Toma de conciencia educación y formación
Asociados
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Activid
Descripción Responsables Duración
ad
Curso de capacitación sobre
1 DIRECCIÓN DE
la consolidación de 1 año
Actividades a PLANEACIÓN
resoluciones.
realizar
Charlas, cartillas y
comunicaciones sobre la DIRECCIÓN DE
2 1 año
consolidación de PLANEACIÓN
resoluciones.

GC-F -005 V. 04
 Riesgo 8:
Consolidación de Resoluciones
Comprobación de los
procedimientos, guías y/o
DIRECCIÓN DE
3 protocolos para realizar la 1 año
PLANEACIÓN
consolidación de
resoluciones.
Duración estimada
1 año
DEL PLAN
Recursos Personas: funcionarios y contratistas del SENA
necesarios PARA Campañas institucionales, material de comunicación, cursos, cartillas.
EL PLAN
Responsables del
Grupo de planeación Operativa
plan
Costos estimados $ 7.000.000 MCTE
APROBADO SI/NO SI

Riesgo 9:
Plataforma Compromiso
Nombre del Plan
Control de Acceso a Plataforma Compromiso
de Tratamiento
Proceso DIRECCIONAMIENTO ESTRATÉGICO
Descripción del
Establecer, documentar y revisar el control de acceso a la Plataforma
plan de
Compromiso.
tratamiento
Riesgos Asociados Pérdida de Integridad
Prioridad del plan
5
de tratamiento
A.9.1.1.2 Acceso a Redes y Servicios de Red
Controles A.9.2.1.2 Cancelación del registro de usuarios.
Asociados A.9.1.1.2 Gestión de derechos de acceso privilegiado.
A.9.1.1.2 Retiro o ajuste de los derechos de acceso
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Activid
Descripción Responsables Duración
ad
Se deben aplicar los ítems
Actividades a expuestos en la Política de
realizar 1 Control de Acceso del SENA
SISTEMAS 1 año
y alinearlos a la plataforma
compromiso, de ser
necesario se debe

GC-F -005 V. 04
 Riesgo 9:
Plataforma Compromiso
desarrollar procedimientos
o guías para establecer el
cumplimiento en el control
de acceso de la plataforma
Compromiso.
Se deberá revisar que solo se
esté permitiendo el acceso
de los usuarios a la red y a los
2 SISTEMAS 1 año
servicios de red para los que
hayan sido autorizados
específicamente.
Se debe implementar un 1 año
proceso formal de registro y
de cancelación de registros
3 SISTEMAS
de usuarios y de esta forma
posibilitar los derechos de
acceso.
Los administradores de la 1 año
plataforma Compromiso
deberán revisar
4 SISTEMAS
periódicamente los
derechos de acceso de los
usuarios.
Duración estimada
1 año
DEL PLAN
Recursos Personas: funcionarios y contratistas del SENA
necesarios PARA Tecnológico: PCs y servidores
EL PLAN
Responsables del Grupo planeación estratégica y mejoramiento organizacional. Grupo
plan Sistemas

APROBADO SI/NO SI

Riesgo 10:
Seguimiento de procesos contractuales
Nombre del Plan
Procedimientos de operaciones y responsabilidades
de Tratamiento
Proceso GESTIÓN CONTRACTUAL
Descripción del
Se deben controlar los cambios de los procedimientos, lineamientos,
plan de
documentos, guías, etc., de forma tal que se aseguren las operaciones.
tratamiento

GC-F -005 V. 04
 Riesgo 10:
Seguimiento de procesos contractuales
Riesgos Asociados Pérdida de Confidencialidad
Prioridad del plan
5
de tratamiento
Controles A.12.1.1 Procedimientos de operación documentados.
Asociados A.12.1.2 Gestión de Cambios
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Activid
Descripción Responsables Duración
ad
Todo cambio desarrollado
1 GESTIÓN
se debe controlar y 6 meses
Actividades a CONTRACTUAL
documentar.
realizar
El control de cambios debe
aplicarse a todos los GESTIÓN
2 6 meses
documentos del SENA que CONTRACTUAL
lo requieran.
Duración estimada
1 año
del plan
Recursos Personas: funcionarios y contratistas del SENA
necesarios para el Tecnológico: Pcs
plan
Responsables del
Grupo gestión contractual
plan

APROBADO SI/NO SI

Riesgo 11:
Reporte Deudores Morosos del Estado
Nombre del Plan
Control de Acceso a Reporte Deudores Morosos del Estado
de Tratamiento
Proceso GESTIÓN RECURSOS FINANCIEROS
Descripción del Establecer, documentar y revisar el control de acceso al reporte Deudores
plan de Morosos del Estado el cual permita prevenir la modificación no autorizada
tratamiento de la información.
Riesgos Asociados Pérdida de Integridad
Prioridad del plan
5
de tratamiento
A.9.1.1.2 Acceso a Redes y Servicios de Red
Controles
A.9.1.1.2 Gestión de derechos de acceso privilegiado.
Asociados
A.9.1.1.2 Retiro o ajuste de los derechos de acceso

GC-F -005 V. 04
 Riesgo 11:
Reporte Deudores Morosos del Estado
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Activid
Descripción Responsables Duración
ad
Se deben aplicar los ítems
expuestos en la Política de GESTIÓN
Control de Acceso del SENA RECURSOS
y alinearlos al reporte de FINANCIEROS
deudores morosos del
1 1 Año
estado. De ser necesario se
debe desarrollar SISTEMAS
procedimientos o guías para
establecer el cumplimiento
Actividades a en el control de acceso.
realizar Se deberá revisar que solo se
GESTIÓN
esté permitiendo el acceso a
RECURSOS
los usuarios a la red y a los
2 FINANCIEROS 1 Año
servicios de red para los que
sean autorizados
SISTEMAS
específicamente.
Se debe implementar un
GESTIÓN
proceso formal de registro y
RECURSOS
de cancelación de registros
3 FINANCIEROS 1 Año
de usuarios y de esta forma
posibilitar los derechos de
SISTEMAS
acceso.
Duración estimada
1 año
del plan
Recursos Personas: funcionarios y contratistas del SENA
necesarios para el Tecnológico: Pcs
plan
Responsables del
DIRECCIÓN ADMINISTRATIVA Y FINANCIERA
plan

APROBADO SI/NO SI

Riesgo 12:
Planos Récord de las edificaciones construidas por el SENA
Nombre del Plan Plan de Continuidad del Negocio y Respaldo de la información de los Planos
de Tratamiento Récord de las edificaciones construidas por el SENA
Proceso GESTIÓN DE INFRAESTRUCTURA Y LOGÍSTICA

GC-F -005 V. 04
 Riesgo 12:
Planos Récord de las edificaciones construidas por el SENA
Se evidencia Indisponibilidad de la información por tener almacenamiento
físico no adecuado, es necesario desarrollar un plan de continuidad del
negocio (o sus siglas en inglés BCP, por Business Continuity Plan), es un plan
logístico para la práctica de cómo una organización debe recuperar y
restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de
un tiempo predeterminado después de una interrupción no deseada o
Descripción del desastre. En los Estados Unidos, las entidades gubernamentales se refieren
plan de al proceso como planificación de continuación de operaciones (en
tratamiento inglés Continuity Of Operations Planning, o sus siglas COOP).
En lenguaje sencillo, BCP es el cómo una organización se prepara para
futuros incidentes que puedan poner en peligro a ésta y a su misión básica a
largo plazo. Las situaciones posibles incluyen desde incidentes locales
(como incendios, terremotos, inundaciones, tsunamis, etc.), incidentes de
carácter regional, nacional o internacional hasta incidentes
como pandemias, etc.
Riesgos Asociados Pérdida de Confidencialidad
Prioridad del plan
5
de tratamiento
A.12.3.1 Copias de respaldo de la información
Controles
A.17.1.1 Planificación de la continuidad de la seguridad de la información
Asociados
A.11 Seguridad física y del entorno
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Activid
Descripción Responsables Duración
ad
GESTIÓN DE
INFRAESTRUCT
Tener la información en un URA Y
1 servidor replicado dentro o LOGÍSTICA 1 Año
fuera de la Entidad
Actividades a
realizar SISTEMAS
GESTIÓN DE
Guardar las copias de INFRAESTRUCT
seguridad fuera de la URA Y
2 Entidad, en donde su LOGÍSTICA. 1 Año
repositorio sea seguro y
confiable.
SISTEMAS
Duración estimada
1 año
del plan
Personas: funcionarios y contratistas del SENA

GC-F -005 V. 04
 Riesgo 12:
Planos Récord de las edificaciones construidas por el SENA
Recursos Tecnológico: Servidor, Cintas
necesarios para el
plan
Responsables del
DIRECCIÓN ADMINISTRATIVA FINANCIERA
plan

Costos estimados $50.000.000 MCTE

APROBADO SI/NO SI

Riesgo 13:
Publicación de oferta en la página web y en Medios de Comunicación
Nombre del Plan Control de Acceso a Publicación de oferta en la página web y en Medios de
de Tratamiento Comunicación
Proceso GESTIÓN DE FORMACIÓN PROFESIONAL INTEGRAL
Descripción del Establecer, documentar y revisar el control de acceso de las Publicaciones de
plan de oferta en la página web y en Medios de Comunicación los cuales permitan
tratamiento prevenir la modificación no autorizada de la información.
Riesgos Asociados Pérdida de Integridad
Prioridad del plan
5
de tratamiento
A.9.1.1.2 Acceso a Redes y Servicios de Red
Controles
A.9.1.1.2 Gestión de derechos de acceso privilegiado.
Asociados
A.9.1.1.2 Retiro o ajuste de los derechos de acceso
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Activid
Descripción Responsables Duración
ad
Se deben aplicar los ítems
expuestos en la Política de
Control de Acceso del SENA
y alinearlos a las GESTIÓN DE
Publicaciones de oferta en la FORMACIÓN
Actividades a
página web y en Medios de PROFESIONAL
realizar
1 Comunicación, de ser INTEGRAL 1 Año
necesario se debe
desarrollar procedimientos
o guías para establecer el SISTEMAS
cumplimiento en el control
de acceso a las
publicaciones.

GC-F -005 V. 04
 Riesgo 13:
Publicación de oferta en la página web y en Medios de Comunicación
GESTIÓN DE
Se deberá revisar que solo se
FORMACIÓN
esté permitiendo el acceso a
PROFESIONAL
los usuarios a la red y a los
2 INTEGRAL 1 Año
servicios de red para los que
hayan sido autorizados
específicamente.
SISTEMAS
GESTIÓN DE
Se debe implementar un
FORMACIÓN
proceso formal de registro y
PROFESIONAL
de cancelación de registros
3 INTEGRAL 1 Año
de usuarios y de esta forma
posibilitar los derechos de
acceso.
SISTEMAS
Duración estimada
1 año
del plan
Recursos Personas: funcionarios y contratistas del SENA
necesarios para el Tecnológico: Pcs
plan
Responsables del
Director de Formación Profesional Integral.
plan

APROBADO SI/NO SI

Riesgo 14:
Formato listado de asistencia beneficiarios por acción de formación.
Nombre del Plan Control de Acceso a Publicación de Formato listado de asistencia
de Tratamiento beneficiarios por acción de formación.
Proceso GESTIÓN DE LA INNOVACIÓN Y DE LA COMPETITIVIDAD
Descripción del Establecer, documentar y revisar el control de acceso de los Formatos
plan de listado de asistencia beneficiarios por acción de formación permitiendo
tratamiento prevenir la modificación no autorizada de la información.
Riesgos Asociados Pérdida de Integridad
Prioridad del plan
5
de tratamiento
A.9.1.1.2 Acceso a Redes y Servicios de Red
Controles
A.9.1.1.2 Gestión de derechos de acceso privilegiado.
Asociados
A.9.1.1.2 Retiro o ajuste de los derechos de acceso
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS

GC-F -005 V. 04
 Riesgo 14:
Formato listado de asistencia beneficiarios por acción de formación.
Activid
Descripción Responsables Duración
ad
Se deben aplicar los ítems
expuestos en la Política de
Control de Acceso del SENA
GRUPO DE
y alinearlos a los Formatos
FORMACIÓN
listado de asistencia
CONTINUA
beneficiarios por acción de
1 ESPECIALIZADA 1 Año
formación, de ser necesario
se debe desarrollar
procedimientos o guías para
SISTEMAS
establecer el cumplimiento
en el control de acceso a las
Actividades a publicaciones.
realizar GRUPO DE
Se deberá revisar que solo se
FORMACIÓN
esté permitiendo el acceso a
CONTINUA
los usuarios a la red y a los
2 ESPECIALIZADA 1 Año
servicios de red para los que
sean autorizados
específicamente.
SISTEMAS
GRUPO DE
Se debe implementar un
FORMACIÓN
proceso formal de registro y
CONTINUA
de cancelación de registros
3 ESPECIALIZADA 1 Año
de usuarios y de esta forma
posibilitar los derechos de
acceso.
SISTEMAS
Duración estimada
1 año
del plan
Recursos Personas: funcionarios y contratistas del SENA
necesarios para el Tecnológico: Pcs
plan
Responsables del
Grupo de Formación Continua Especializada
plan
APROBADO SI/NO SI

GC-F -005 V. 04
 Riesgo 15:
Formato Informe Mensual Presupuesto Ejecutado Consolidado.
Nombre del Plan Control de Acceso al Formato Informe Mensual Presupuesto Ejecutado
de Tratamiento Consolidado
Proceso GESTIÓN DE LA INNOVACIÓN Y DE LA COMPETITIVIDAD
Descripción del Establecer, documentar y revisar el control de acceso y restricciones del
plan de Formato Informe Mensual Presupuesto Ejecutado Consolidado,
tratamiento permitiendo prevenir la modificación no autorizada de la información.
Riesgos Asociados Pérdida de Confidencialidad
Prioridad del plan
5
de tratamiento
A.9.1.1.2 Acceso a Redes y Servicios de Red
Controles
A.9.1.1.2 Gestión de derechos de acceso privilegiado.
Asociados
A.9.1.1.2 Retiro o ajuste de los derechos de acceso
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Activid
Descripción Responsables Duración
ad
Se deben aplicar los ítems
expuestos en la Política de
Control de Acceso del SENA
GRUPO DE
y alinearlos a Formato
FORMACIÓN
Informe Mensual
CONTINUA
Presupuesto Ejecutado
1 ESPECIALIZADA 1 Año
Consolidado, de ser
necesario se debe
desarrollar procedimientos
SISTEMAS
o guías para establecer el
cumplimiento en el control
Actividades a de acceso correspondiente.
realizar GRUPO DE
Se deberá revisar que solo se
FORMACIÓN
esté permitiendo el acceso a
CONTINUA
los usuarios a la red y a los
2 ESPECIALIZADA 1 Año
servicios de red para los que
sean autorizados
específicamente.
SISTEMAS
GRUPO DE
Se debe implementar un
FORMACIÓN
proceso formal de registro y
CONTINUA
de cancelación de registros
3 ESPECIALIZADA 1 Año
de usuarios y de esta forma
posibilitar los derechos de
acceso.
SISTEMAS

GC-F -005 V. 04
 Riesgo 15:
Formato Informe Mensual Presupuesto Ejecutado Consolidado.
Duración estimada
1 año
del plan
Recursos Personas: funcionarios y contratistas del SENA
necesarios para el Tecnológico: Pcs
plan
Responsables del
Grupo de Formación Continua Especializada
plan

APROBADO SI/NO SI

Riesgo 16:
Formato Acta de Transferencia de Conocimiento y Tecnología del SENA
Nombre del Plan Control de Acceso al Formato Acta de Transferencia de Conocimiento y
de Tratamiento Tecnología del SENA
Proceso GESTIÓN DE LA INNOVACIÓN Y DE LA COMPETITIVIDAD
Descripción del Establecer, documentar y revisar el control de acceso y restricciones del
plan de Formato Acta de Transferencia de Conocimiento y Tecnología del SENA,
tratamiento permitiendo prevenir la modificación no autorizada de la información.
Riesgos Asociados Pérdida de Confidencialidad
Prioridad del plan
5
de tratamiento
A.9.1.1.2 Acceso a Redes y Servicios de Red
Controles
A.9.1.1.2 Gestión de derechos de acceso privilegiado.
Asociados
A.9.1.1.2 Retiro o ajuste de los derechos de acceso
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Activid
Descripción Responsables Duración
ad
Se deben aplicar los ítems
expuestos en la Política de
Control de Acceso del SENA
GRUPO DE
y alinearlos al Formato Acta
FORMACIÓN
Actividades a de Transferencia de
CONTINUA
realizar Conocimiento y Tecnología
1 ESPECIALIZADA 1 Año
del SENA de ser necesario se
debe desarrollar
procedimientos o guías para
SISTEMAS
establecer el cumplimiento
en el control de acceso
correspondiente.

GC-F -005 V. 04
 Riesgo 16:
Formato Acta de Transferencia de Conocimiento y Tecnología del SENA
GRUPO DE
Se deberá revisar que solo se
FORMACIÓN
esté permitiendo el acceso a
CONTINUA
los usuarios a la red y a los
2 ESPECIALIZADA 1 Año
servicios de red para los que
sean autorizados
específicamente.
SISTEMAS
GRUPO DE
Se debe implementar un
FORMACIÓN
proceso formal de registro y
CONTINUA
de cancelación de registros
3 ESPECIALIZADA 1 Año
de usuarios y de esta forma
posibilitar los derechos de
acceso
SISTEMAS
Duración estimada
1 año
del plan
Recursos Personas: funcionarios y contratistas del SENA
necesarios para el Tecnológico: Pcs
plan
Responsables del
Grupo de Formación Continua Especializada
plan

APROBADO SI/NO SI

Riesgo 17:
Sistema de Información Sofia Plus
Nombre del Plan Plan de Continuidad del Negocio y Respaldo de la información del Sistema
de Tratamiento de Información Sofia Plus
Proceso GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN
Se afecta la Disponibilidad de SOFIA PLUS debido al Manejo indebido en los
procedimientos en el traslado, cambio o modernización de la infraestructura
Tecnológica.
Por tal motivo se debe hacer un plan de continuidad del negocio (o sus siglas
Descripción del en inglés BCP, por Business Continuity Plan) es un plan logístico para la
plan de práctica de cómo una organización debe recuperar y restaurar sus funciones
tratamiento críticas parcial o totalmente interrumpidas dentro de un tiempo
predeterminado después de una interrupción no deseada o desastre. En
los Estados Unidos, las entidades gubernamentales se refieren al proceso
como planificación de continuación de operaciones (en inglés Continuity Of
Operations Planning, o sus siglas COOP).
Riesgos Asociados Pérdida de Disponibilidad

GC-F -005 V. 04
 Riesgo 17:
Sistema de Información Sofia Plus
Prioridad del plan
5
de tratamiento
A.12.3.1 Copias de respaldo de la información
Controles
A.17.1.1 Planificación de la continuidad de la seguridad de la información
Asociados
A.11 Seguridad física y del entorno
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Activid
Descripción Responsables Duración
ad
Tener la información en un
1 servidor replicado dentro o SISTEMAS 1 Año
fuera de la Entidad
Guardar las copias de
seguridad fuera de la
2 Entidad, en donde su SISTEMAS 1 Año
Actividades a repositorio sea seguro y
realizar confiable.
Establecer los
procedimientos o
lineamientos de forma tal
que se pueda prevenir la
3 SISTEMAS 1 Año
pérdida, daño, robo o
compromiso de activos, y la
interrupción de las
operaciones de la Entidad.
Duración estimada
1 año
del plan
Recursos Personas: funcionarios y contratistas del SENA
necesarios para el Tecnológico: Pcs y Servidores
plan
Responsables del
Oficina de sistemas
plan
Costos estimados $50.000.000 MCTE

APROBADO SI/NO SI

Riesgo 18:
Sistema de Información Kactus
Nombre del Plan
Control de Acceso al Sistema de Información Kactus
de Tratamiento
Proceso GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

GC-F -005 V. 04
 Riesgo 18:
Sistema de Información Kactus
Descripción del Establecer, documentar y revisar el control de acceso y restricciones del
plan de Sistema de Información Kactus, permitiendo prevenir la modificación no
tratamiento autorizada de la información.
Riesgos Asociados Pérdida de Confidencialidad
Prioridad del plan
5
de tratamiento
A.9.1.1.2 Acceso a Redes y Servicios de Red
Controles
A.9.1.1.2 Gestión de derechos de acceso privilegiado.
Asociados
A.9.1.1.2 Retiro o ajuste de los derechos de acceso
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Activid
Descripción Responsables Duración
ad
Se deben aplicar los ítems
expuestos en la Política de
Control de Acceso del SENA
y alinearlos Sistema de
Información Kactus, de ser
1 SISTEMAS 1 Año
necesario se debe
desarrollar procedimientos
o guías para establecer el
cumplimiento en el control
Actividades a de acceso correspondiente.
realizar Se deberá revisar que solo se
esté permitiendo el acceso a
los usuarios a la red y a los
2 SISTEMAS 1 Año
servicios de red para los que
sean autorizados
específicamente.
Se debe implementar un
proceso formal de registro y
de cancelación de registros
3 1 Año
de usuarios y de esta forma SISTEMAS
posibilitar los derechos de
acceso.
Duración estimada
1 año
del plan
Recursos Personas: funcionarios y contratistas del SENA
necesarios para el Tecnológico: Pcs
plan
Responsables del
Oficina de sistemas
plan

GC-F -005 V. 04
 Riesgo 18:
Sistema de Información Kactus

APROBADO SI/NO SI

Riesgo 19:
Registro de las Necesidades de Mejora o Nuevos Desarrollos
Nombre del Plan Control de Acceso del Registro de las Necesidades de Mejora o Nuevos
de Tratamiento Desarrollos
Proceso GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN
Descripción del Establecer, documentar y revisar el control de acceso y restricciones del
plan de Registro de las Necesidades de Mejora o Nuevos Desarrollos, permitiendo
tratamiento prevenir la modificación no autorizada de la información.
Riesgos Asociados Pérdida de Confidencialidad
Prioridad del plan
5
de tratamiento
A.9.1.1.2 Acceso a Redes y Servicios de Red
Controles
A.9.1.1.2 Gestión de derechos de acceso privilegiado.
Asociados
A.9.1.1.2 Retiro o ajuste de los derechos de acceso
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Activid
Descripción Responsables Duración
ad
Se deben aplicar los ítems
expuestos en la Política de
Control de Acceso del SENA
y aplicarlos al Registro de las
Necesidades de Mejora o
1 Nuevos Desarrollos, de ser SISTEMAS
necesario se debe 1 Año
desarrollar procedimientos
Actividades a o guías para establecer el
realizar cumplimiento en el control
de acceso correspondiente.
Se deberá revisar que solo se
esté permitiendo el acceso a
los usuarios a la red y a los
2 SISTEMAS 1 Año
servicios de red para los que
sean autorizados
específicamente.
Se debe implementar un
3 proceso formal de registro y SISTEMAS 1 Año
de cancelación de registros

GC-F -005 V. 04
 Riesgo 19:
Registro de las Necesidades de Mejora o Nuevos Desarrollos
de usuarios y de esta forma
posibilitar los derechos de
acceso.
Duración estimada
1 año
del plan
Recursos Personas: funcionarios y contratistas del SENA
necesarios para el Tecnológico: Pcs
plan
Responsables del
Oficina de sistemas
plan

APROBADO SI/NO SI

Riesgo 20:
Formato Especificación de Requerimientos
Nombre del Plan
Control de Acceso del Formato Especificación de Requerimientos
de Tratamiento
Proceso GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN
Descripción del Establecer, documentar y revisar el control de acceso y restricciones al
plan de Formato Especificación de Requerimientos, permitiendo prevenir la
tratamiento modificación no autorizada de la información.
Riesgos Asociados Pérdida de Confidencialidad
Prioridad del plan
5
de tratamiento
A.9.1.1.2 Acceso a Redes y Servicios de Red
Controles
A.9.1.1.2 Gestión de derechos de acceso privilegiado.
Asociados
A.9.1.1.2 Retiro o ajuste de los derechos de acceso
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Activid
Descripción Responsables Duración
ad
Se deben aplicar los ítems
expuestos en la Política de
Control de Acceso del SENA
Actividades a
y aplicarlos al Formato
realizar
1 Especificación de SISTEMAS
Requerimientos, de ser 1 Año
necesario se debe
desarrollar procedimientos
o guías para establecer el

GC-F -005 V. 04
 Riesgo 20:
Formato Especificación de Requerimientos
cumplimiento en el control
de acceso correspondiente.
Se deberá revisar que solo se
esté permitiendo el acceso a
los usuarios a la red y a los
2 SISTEMAS 1 Año
servicios de red para los que
sean autorizados
específicamente.
Se debe implementar un
proceso formal de registro y
de cancelación de registros
3 SISTEMAS 1 Año
de usuarios y de esta forma
posibilitar los derechos de
acceso.
Duración estimada
1 año
del plan
Recursos Personas: funcionarios y contratistas del SENA
necesarios para el Tecnológico: Pcs
plan
Responsables del
Oficina de sistemas
plan

APROBADO SI/NO SI

Riesgo 21:
Formato plantilla de pruebas funcional y/o técnica
Nombre del Plan
Control de Acceso del Formato plantilla de pruebas funcional y/o técnica
de Tratamiento
Proceso GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN
Descripción del Establecer, documentar y revisar el control de acceso y restricciones al
plan de Formato plantilla de pruebas funcional y/o técnica, permitiendo prevenir la
tratamiento modificación no autorizada de la información.
Riesgos Asociados Pérdida de Confidencialidad
Prioridad del plan
5
de tratamiento
A.9.1.1.2 Acceso a Redes y Servicios de Red
Controles
A.9.1.1.2 Gestión de derechos de acceso privilegiado.
Asociados
A.9.1.1.2 Retiro o ajuste de los derechos de acceso
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS

GC-F -005 V. 04
 Riesgo 21:
Formato plantilla de pruebas funcional y/o técnica
Activid
Descripción Responsables Duración
ad
Se deben aplicar los ítems
expuestos en la Política de
Control de Acceso del SENA
y aplicarlos al Formato
plantilla de pruebas
1 funcional y/o técnica, de ser SISTEMAS
necesario se debe 1 Año
desarrollar procedimientos
o guías para establecer el
cumplimiento en el control
Actividades a
de acceso correspondiente.
realizar
Se deberá revisar que solo se
esté permitiendo el acceso a
los usuarios a la red y a los
2 SISTEMAS 1 Año
servicios de red para los que
sean autorizados
específicamente.
Se debe implementar un
proceso formal de registro y
de cancelación de registros
3 1 Año
de usuarios y de esta forma SISTEMAS
posibilitar los derechos de
acceso.
Duración estimada
1 año
del plan
Recursos Personas: funcionarios y contratistas del SENA
necesarios para el Tecnológico: Pcs
plan
Responsables del
Oficina de sistemas
plan

APROBADO SI/NO SI

Riesgo 22:
Catálogo de Sistemas de Información
Nombre del Plan
Control de Acceso al Catálogo de Sistemas de Información
de Tratamiento
Proceso GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

GC-F -005 V. 04
Descripción del Establecer, documentar y revisar el control de acceso y restricciones al
plan de Catálogo de Sistemas de Información, permitiendo prevenir la modificación
tratamiento no autorizada de la información.
Riesgos Asociados Pérdida de Confidencialidad
Prioridad del plan
5
de tratamiento
A.9.1.1.2 Acceso a Redes y Servicios de Red
Controles
A.9.1.1.2 Gestión de derechos de acceso privilegiado.
Asociados
A.9.1.1.2 Retiro o ajuste de los derechos de acceso
METODOLOGÍAS
ISO 31000, ISO 22301, ISO 27001.
UTILIZADAS
Actividades a Activid
Descripción Responsables Duración
realizar ad
Se deben aplicar los ítems
expuestos en la Política de
Control de Acceso del SENA
y aplicarlos Catálogo de
Sistemas de Información, de
1 SISTEMAS
ser necesario se debe
1 Año
desarrollar procedimientos
o guías para establecer el
cumplimiento en el control
de acceso correspondiente.
Se deberá revisar que solo se
esté permitiendo el acceso a
los usuarios a la red y a los
2 SISTEMAS 1 Año
servicios de red para los que
sean autorizados
específicamente.
Se debe implementar un
proceso formal de registro y
de cancelación de registros
3 SISTEMAS 1 Año
de usuarios y de esta forma
posibilitar los derechos de
acceso.
Duración estimada
1 año
del plan
Recursos Personas: funcionarios y contratistas del SENA
necesarios para el Tecnológico: Pcs
plan
Responsables del
Oficina de sistemas
plan

APROBADO SI/NO SI

GC-F -005 V. 04
NOTA: Se deben revisar y monitorear periódicamente los activos, riesgos, impactos, amenazas,
vulnerabilidades y probabilidades en busca de posibles cambios, que exijan la valoración iterativa
de los riesgos de seguridad de la información del SENA. Los riesgos son dinámicos por ende pueden
cambiar su criticidad, por tal motivo se deberán definir esquemas de seguimiento y medición al
sistema de gestión de riesgos de la seguridad de la información de la Entidad que permitan
contextualizar una toma de decisiones de manera oportuna.

GC-F -005 V. 04