Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior

ACUERDO 17 DE 2014 

(Mayo 6)

“Por el cual se establecen componentes para el sistema de gestión de seguridad de la información, SGSI”.

La junta directiva,

en ejercicio de sus facultades legales y estatutarias en especial de las que le confiere la Ley 1002 de diciembre 30 de 2005, el numeral 1º del artículo 9º del Decreto 1050 del 6 de abril de 2006, y

CONSIDERANDO:

Que la Ley 1002 del 30 de diciembre de 2005, transformó al Icetex en una entidad financiera de naturaleza especial, con personería jurídica, autonomía administrativa y patrimonio propio, vinculada al Ministerio de Educación Nacional, cuyas operaciones financieras son vigiladas, inspeccionadas y controladas por la Superintendencia Financiera;

Que el numeral 4º del artículo 9º del Decreto 1050 de 2006 faculta a la junta directiva del Icetex, expedir conforme a la ley y a los estatutos del Icetex, los actos administrativos que se requieran para el cumplimiento de las funciones y de las operaciones autorizadas al Icetex como entidad financiera de naturaleza especial;

Que la junta directiva del Icetex, adoptó mediante el Acuerdo 10 del 4 de marzo de 2011, el manual de seguridad de información del Icetex, cuyo objeto es establecer las políticas en seguridad de la información, con el fin de regular la seguridad de la información al interior de la entidad, al cual se le incorporó el capítulo de ley de protección de datos mediante Acuerdo 36 del 15 de octubre de 2013;

Que mediante Memorando ODR-GRC-2510-14-005 del 21 de abril de 2014, la oficina de riesgo de la entidad, propuso a la junta directiva, componentes para establecer el sistema de gestión de seguridad de la información;

Que el comité de seguridad de la información revisó y aprobó el alcance, los objetivos del sistema de gestión de seguridad de la información, SGSI, así como las metodologías para la gestión de riesgos de seguridad de la información y de inventario y clasificación de activos de información según consta en el Acta 1 del 11 de abril de 2014;

Que en sesión del 30 de abril de 2014, la junta directiva aprobó el alcance, los objetivos del sistema de gestión de seguridad de la información, SGSI, así como las metodologías para la gestión de riesgos de seguridad de la información y de inventario y clasificación de activos de información.

En virtud de lo anterior,

ACUERDA:

ART. 1º—Objetivo del sistema de gestión de seguridad de la información en el Icetex. El objetivo del sistema de gestión de seguridad de la información es desarrollar un entorno orientado a preservar la confidencialidad, integridad y disponibilidad de los activos de información, con el fin de afianzar las relaciones con todos los actores en apoyo al cumplimiento de los objetivos misionales.

ART. 2º—Alcance del sistema de gestión de seguridad de la información en el Icetex. El sistema de gestión de seguridad de la información se implementará de forma completa al producto de crédito. Una vez se tenga la implementación del sistema de gestión de seguridad de la información de los procesos que atañen al producto de crédito, se replicará en los demás procesos del Icetex.

ART. 3º—Metodología para gestión de riesgos de seguridad de la información. Las etapas para desarrollar la metodología de gestión de riesgos de seguridad de la información son:

Identificación del riesgo. En esta etapa se lleva a cabo la identificación de amenazas y vulnerabilidades, en donde las amenazas corresponden a fuentes de riesgos externos y no controlables por la entidad, las vulnerabilidades hacen referencia a las flaquezas o debilidades inherentes a los procesos del instituto. Con la amenaza y la vulnerabilidad se establece el riesgo.

Cálculo del riesgo inherente. Para el cálculo del riesgo inherente se tienen en cuenta (2) aspectos: el primero es la frecuencia, la cual considera la probabilidad de ocurrencia de cada uno de los riesgos identificados; el segundo de ellos es el nivel de impacto que a su vez considera tres variables como son el nivel de impacto reputacional, de proceso y legal.

Identificación y calificación de controles. En esta etapa se identifican los controles existentes que mitigan los riesgos definidos inicialmente y posteriormente se procede a calificar cada uno de estos controles de acuerdo con los siguientes criterios:

Oficialidad. En este criterio se evalúa si el control existente se encuentra documentado, aprobado, divulgado y genera evidencia.

Aplicación. En este criterio se evalúa si el control es aplicado siempre, es aplicado a discreción o nunca se aplica.

Efectividad. En este criterio se evalúa si el control es efectivo, requiere mejoras o no es efectivo.

Cálculo del riesgo residual. En esta etapa se realiza el cálculo del riesgo residual considerando la calificación de los controles existentes y si corresponden con acciones preventivas o correctivas, en concordancia con la metodología de riesgo operativo y tal como se observa en la siguiente tabla:

Rangos de calificaciones de controlesCuadrantes a disminuir en la probabilidadCuadrantes a disminuir en el impacto
Controles detectivos, preventivosControles correctivos
Entre 0 - 5000
Entre 51 – 7511
Entre 76 - 10022

Mapa térmico. En este numeral se hace referencia al mapa térmico que será usado durante la aplicación de la metodología, en este se consideran los criterios de impacto y frecuencia, a su vez definen el nivel de riesgo residual que la entidad está dispuesta a asumir y tratar. El máximo nivel de riesgo que la entidad debe aceptar es el calificado como “tolerable”. Para los niveles de riesgos graves o críticos, se deberán establecer planes de acción con el fin de reducir la frecuencia o impacto de los riesgos a través de nuevos controles o mejoras sobre los controles existentes. Los riesgos clasificados como aceptables y tolerables deben ser evaluados periódicamente, con el objetivo de monitorear los controles que mitigan e identificar posibles cambios en el nivel de riesgo.

ART. 4º—Metodología para el inventario y clasificación de activos de información. Las etapas para desarrollar la metodología de inventario y clasificación de activos de información son:

Identificación de activos. En esta etapa se identificarán los activos de información correspondientes a cada proceso y por cada activo de información identificado debe detallarse la información relacionada con la finalidad del activo, el tipo de activo, su ubicación, identificación del propietario, responsable y custodio del activo.

Valoración. En esta etapa se realizará la valoración de los activos frente a los tres pilares de la seguridad de la información como son: confidencialidad, integridad y disponibilidad; para cada uno de estos criterios se realizará una serie de preguntas cerradas que tienen como objetivo proporcionar la valoración final que será usada para la clasificación de los activos de la información. El cálculo para la valoración final se representa en la siguiente fórmula:

Valoración final = Valoración de disponibilidad (20%) + Valoración de integridad (20%) + Valoración de confidencialidad (60%).

Clasificación. Esta etapa tendrá como punto de partida la información generada en la fase de valoración, con el objetivo de proceder a clasificar los activos de información considerando la siguiente tabla:

Rango de valoraciónClasificación
70 - 100%Reservada
20 - 69%Uso interno
01 - 19%Pública

ART. 5º—Vigencia y derogatorias. El presente acuerdo rige a partir de la fecha de su publicación, complementa el Acuerdo 10 del 4 de marzo de 2011 y deroga las disposiciones que le sean contrarias.

Publíquese, comuníquese y cúmplase.

Dado en Bogotá, D.C., a 6 de mayo de 2014.