Objtivo y procso Controls Sguiminto Rsidual Admon dl Accions Rsponsabl Ralizar la vrificación y/o valuación a los procsos, procdimintos, actividads, actuacions, plans d acción y d mjoraminto; promovr la cultura d autocontrol y actuar como canal d comunicación frnt a los rqurimintos Auditoría y Control d los Ents d Control, con l fin d garantizar l cumpliminto d las disposicions lgals intrnas rlacionadas con l Sistma d Control Intrno y la ralización d las políticas y objtivos trazados por la alta dircción d la RAYCO11 RAYCO12 RAYCO13 RAYCO14 RAYCO15 Falta d objtividad y/o imparcialidad y/o vracidad n los informs d auditorías y/o Conflictos d intrés por part dl sguimintos por causa d conflictos d intrés por auditor. part dl auditor. Falta d vracidad n los informs d auditorías y/o Entrga d información falsa o sguimintos por causa d ntrga d información adultrada por part dl auditado. falsa o adultrada por part dl auditado. Omisión n la ralización d las auditorias o la falta d objtividad y/o imparcialidad y/o vracidad n las mismas por causa d manipulación d la información por part d los auditors ant prsión o amnazas intrnas o xtrnas. Manipulación d la información por part d los auditors ant prsión o amnazas intrnas o xtrnas. Falta d objtividad y/o imparcialidad y/o vracidad n los informs d auditorías y/o Entrga d dadivas por part d sguimintos por causa d ntrga d dadivas por los auditados a los auditors. part d los auditados a los auditors. Prsntación o transmisión d informs d ly Altración u ocultaminto d inconsistnts o no vracs por causa d altración información ant dcisions u ocultaminto d información ant dcisions concrtadas ntr la assoría d concrtadas ntr la Assoría d Control Intrno, control intrno, las dirctivas d la las Dirctivas d la Entidad u otras áras. ntidad u otras áras. CTRAYCO002 CTRAYCO016 CTRAYCO007 Rvisión y Aprobación dl cumpliminto d las actividads d la Assoría d Control Intrno Aplicación dl Código d Ética d la Entidad Rvisión y aprobacion d informs d auditoria intrna SCI CTRAYCO017 Aplicación d técnicas d auditoria CTRAYCO018 CTRAYCO016 Dsignación dl Assor d Control Intrno por la Prsidncia d la Rpública Aplicación dl Código d Ética d la Entidad CTRAYCO016 Aplicación dl Código d Ética d la Entidad CTRAYCO018 Dsignación dl Assor d Control Intrno por la Prsidncia d la Rpública Rducir No aplica No aplica Brindar solucions a los clints, n la prparación, formulación y structuración oportuna y confiabl d proyctos. Evaluar los proyctos d manra confiabl y oportuna, d acurdo con los rqurimintos dl clint. Estructuración d Proyctos Evaluación d Proyctos RESPR10 REVPR02 REVPR03 REVPR04 Dbido a dficincias n la structuración técnica y/o financira d los proyctos por causa d manipulación d los disños y/o prsupustos n favorciminto d un trcro por part d contratistas. Prsncia d inconsistncias n los rsultados dl procso d valuación, por causa dl favorciminto d trcros por part d los valuadors. Viabilización d proyctos qu no cumpln con los rquisitos, documntación y/o condicions stablcidas, por causa dl suministro d documntación falsa por part d proponnts y/o mprnddors. Viabilización d proyctos qu no cumpln con los rquisitos, documntación y condicions stablcidas por causa d la altración d la información por part d Manipulación d los disños y/o prsupustos n favorciminto d un trcro por part d contratistas. Causa dl favorciminto d trcros por part d los valuadors. Causa dl suministro d documntación falsa por part d proponnts y/o mprnddors. La altración d la información por part d CTRESPR019 CTRESPR020 CTRESPR001 Procsos d Intrvntoria xtrna Rvisions intrnas d prsupustos y disños Rvisión informs d avanc CTREVPR002 Rvisión d rsultados y variabls d valuación individual CTREVPR015 CTREVPR013 CTREVPR014 CTREVPR006 CTREVPR006 CTREVPR013 CTREVPR012 CTREVPR007 CTREVPR009 CTREVPR014 Capacitación a las unidads gstoras d mprndiminto Rvisión d la información dl plan d ngocios o proycto por l valuador Visita a los proyctos viabls por intrvntoría Rvisión d la documntación d inscripción suministrada por los proponnts o mprnddors Rvisión d la documntación d inscripción suministrada por los proponnts o mprnddors Rducir No aplica No aplica Rvisión d la información dl plan d ngocios o proycto por l valuador Mcanismos d sguridad d la plataforma d valuación Controls d accso a la información n la plataforma d Fondo Emprndr Sguiminto y vrificación d las actividads d soport y mantniminto a la plataforma d Evaluación d Fondo Emprndr. Visita a los proyctos viabls por intrvntoría Rducir No aplica No aplica Anxo 1A: Mapa d Rigos d Fraud y Corrupción página 1 d 7
Objtivo y procso Controls Sguiminto Rsidual Admon dl Accions Rsponsabl RGCONT08 Favorciminto d un ofrnt n procsos d La manipulación d la información slcción por causa d la manipulación d la concrnint al procso d información concrnint al procso d valuación valuación y la complicidad ntr y la complicidad ntr l prsonal dl Comité l prsonal dl comité valuador y Evaluador y ofrnts o ofrnts o CTRGCONT035 CTRGCONT037 Rvisión d los documntos gnrados dntro dl procso por l Grnt d Unidad d Procsos d Slcción Rstricción frnt a comunicación ntr l Comité Evaluador con los ofrnts intrsados Asignación dl Comité Evaluador n todos los procsos. S asigna más d un profsional dl Ára d Procsos d Slcción Acompañaminto por nts d control a los procsos d slcción d gran compljidad, qu así lo rquiran. Mdidas d sguridad para la manipulación y salvaguarda d documntos dl procso d slcción RGCONT11 Daño total o parcial d la documntación rlacionada con procsos d slcción, por causa d robo o dstrucción d la misma. Robo o dstrucción d la misma. CTRGCONT007 Rcpción, rvisión y digitalización d las ofrtas rcibidas dntro d los procsos d slcción n curso. Mdidas d sguridad para la manipulación y salvaguarda d documntos dl procso d slcción Apoyar a la Entidad n las actividads ncsarias n las tapas Prcontractual, Contractual y Postcontractual a nivl jurídico y técnico para l dsarrollo d los procsos. Gstión d Contratación RGCONT12 RGCONT29 RGCONT30 RGCONT32 RGCONT34 Equivocación n la acptación d la ofrta, por Conducta dolosa dl comité causa d conducta dolosa dl Comité Evaluador y/o valuador y/o un trcro o por un trcro o por circunstancias sobrvnidas circunstancias sobrvnidas (inhabilidad o incompatibilidad). (inhabilidad o incompatibilidad). Daño total o parcial d la documntación rlacionada con procsos d slcción, por causa d robo o dstrucción d la misma. Contratación d bins o srvicios a prcios supriors dl mrcado por causa d la incorrcta stimación dl prsupusto n favorciminto d un Ralización d adndas o modificacions a las rglas d participación rstringindo la participación d ofrnts a causa d colusión d prsonal d la Entidad y un trcro n favorciminto propio o d un Robo o dstrucción d la misma. La incorrcta stimación dl prsupusto n favorciminto d un Favorciminto d un ofrnt n procsos d La divulgación o manipulación d slcción por causa d la divulgación o información n complicidad ntr manipulación d información n complicidad ntr l comité valuador, prsonal dl l Comité Evaluador, prsonal dl ára solicitant ára solicitant y/u ofrnts o y/u ofrnts o Colusión d prsonal d la ntidad y un trcro n favorciminto propio o d un CTRGCONT035 CTRGCONT037 CTRGCONT007 CTRGCONT060 CTRGCONT057 CTRGCONT055 CTRGCONT035 CTRGCONT037 CTRGCONT006 Asignación dl Comité Evaluador n todos los procsos. S asigna más d un profsional dl Ára d Procsos d Slcción Rvisión d los documntos gnrados dntro dl procso por l Grnt d Unidad d Procsos d Slcción Mdidas d sguridad para la manipulación y salvaguarda d documntos dl procso d slcción Acompañaminto por nts d control a los procsos d slcción d gran compljidad, qu así lo rquiran. Rstricción frnt a comunicación ntr l Comité Evaluador con los ofrnts intrsados Rcpción, rvisión y digitalización d las ofrtas rcibidas dntro d los procsos d slcción n curso. Custodia d los documntos rlacionados con procsos d slcción. SISEP (Sistma d Estandarización d Prcios d Mrcado) Vrificación d rsultados aritméticos y concptuals Mdidas d sguridad para la manipulación y salvaguarda d documntos dl procso d slcción Asignación dl Comité Evaluador n todos los procsos. S asigna más d un profsional dl Ára d Procsos d Slcción Rvisión d los documntos gnrados dntro dl procso por l Grnt d Unidad d Procsos d Slcción Rstricción frnt a comunicación ntr l Comité Evaluador con los ofrnts intrsados Acompañaminto por nts d control a los procsos d slcción d gran compljidad, qu así lo rquiran. Rvisión, análisis, motivación y laboración d adndas a procsos d slcción Acompañaminto por nts d control a los procsos d slcción d gran compljidad, qu así lo rquiran. Asignación dl Comité Evaluador n todos los procsos. S asigna más d un profsional dl Ára d Procsos d Slcción RGCONT39 RGPPE27 Ralización d novdads al contrato qu no s Colusión ntr suprvisor, ajustan a la ralidad técnica y fáctica dl mismo por intrvntor y/o contratistas n causa d colusión ntr Suprvisor, intrvntor y/o favorciminto propio o d un contratistas n favorciminto propio o d un Rcpción d bins o srvicios qu incumpln con La acptación d stas las spcificacions stablcidas n l contrato por condicions por part dl causa d la acptación d stas condicions por intrvntor y suprvisor n part dl intrvntor y suprvisor n favorciminto propio y/o d un favorciminto propio y/o d un CTRGCONT051 Vrificación d la justificación y los documntos qu soportan las novdads contractuals Rducir CTRGPPE016 CTRGPPE005 CTRGPPE007 CTRGPPE019 Intrvntoría a la jcución d los proyctos Visitas d campo d la suprvisión Comité Oprativo o Comité d sguiminto Auditoría intrna, visitas alatorias n campo Implmntar l squma d monitoro d proyctos a través d firmas xtrnas Grncia d Planación y Gstión d s % avanc n la ralizacion d las visitas Anxo 1A: Mapa d Rigos d Fraud y Corrupción página 2 d 7
Objtivo y procso Controls Sguiminto Rsidual Admon dl Accions Rsponsabl RGREC11 Ralización d transaccions con trcros bajo condicions por fura dl mrcado, por causa d accions dirigidas a bnficio d alguna(s) d las prsonas d la Entidad vinculadas con la ngociación d los títulos o d Accions dirigidas a bnficio d alguna(s) d las prsonas d la ntidad vinculadas con la ngociación d los títulos o d CTRGREC011 CTRGREC145 CTRGREC007 CTRGREC144 CTRGREC145 Vrificación d cirr d compra y rinvrsion d titulos. Auditoría xtrna al procso d invrsions Vrificación por part d la Subgrncia Financira d las opracions d invrsión dl portafolio d Fonad y Proyctos Póliza d Infidlidad d s Financiros Aplicación dl código d ética Aplicación dl código d ética Auditoría xtrna al procso d invrsions RGREC12 Dbido a las omisions o inconsistncias n la La altración d la información, ngociación y rgistro d opracions d invrsión documntación, o rgistros por por causa d la altración d la información, part d los profsionals d las documntación, o rgistros por part d los áras d ngociación d profsionals d las áras d Ngociación d invrsions y/o d pagaduría. Invrsions y/o d Pagaduría. CTRGREC022 CTRGREC004 CTRGRIE024 CTRGREC018 CTRGREC008 CTRGREC011 Vrificación d los cálculos dl título con l arrojado por l sistma transaccional Conto d opracions d invrsión Monitoro a la valoración d invrsions Sguiminto a la opración ralizada por l ára d Ngociación Vrificación d las instruccions y condicions d las opracions d invrsión Vrificación d cirr d compra y rinvrsion d titulos. CTRGRIE035 Monitoro a los rports d composicion dl portafolio d invrsions (formato 351) RGREC50 Hurto d rcursos, por causa dl fraud lctrónico Causa dl fraud lctrónico por por part d part d CTRGREC156 CTRGREC023 CTRGREC157 Asignación d prfils transaccionals para portals mprsarials (control dual) Clav d accso aplicativo DECEVAL Controls d sguridad d las Entidads Financiras Planar, gstionar, optimizar y controlar los rcursos conómicos d la Entidad y los d sus clints. Gstión d Rcursos Económicos Establcr las políticas, Gstión dl Sistma objtivos y stratgias para Organizacional dirigir y controlar a FONADE. RGREC54 RGREC58 RGREC61 RGREC63 RGREC65 RGREC66 RGREC70 RGREC69 RGSOR17 Establciminto d límits y cupos qu favorzcan La altración d cifras, datos o la a trcros por causa d la altración d cifras, manipulación d los cálculos n datos o la manipulación d los cálculos n los los modlos por part d los modlos por part d los profsionals dl ára d profsionals dl ára d Planación y Gstión d s. planación y gstión d risgos. Gnración y aplicación d informs d mdición y sguiminto d utilización y disponibilidad d cupos inxactos, por causa d la altración d la configuración d cupos n l aplicativo mdiant l scalaminto o apropiación d privilgios d usuarios. Dbido a omisions o inconsistncias n la información financira, por causa d la modificación o liminación d la misma mdiant l accso no autorizado a los aplicativos y bass d datos utilizadas n las áras Pagaduría y Ngociación d Invrsions, por part d Inoportunidad n l pago d obligacions a causa d la acción intncional d un mplado d mantnr saldos d cuntas bancarias para favorcr a un trcro vinculado a la ntidad financira. Ralización d pagos por mayor o difrnt valor a causa dl traslado d rcursos a cuntas difrnts a las dl bnficiario mdiant acción intncional d un mplado n favorciminto propio y/o d un Ralización d pagos qu no son originados n gastos dbidamnt lgalizados a causa dl traslado d rcursos a cuntas difrnts a las dl bnficiario mdiant acción intncional d un mplado n favorciminto propio y/o d un Causa dl traslado d rcursos a cuntas difrnts a las dl bnficiario mdiant acción intncional d un mplado n favorciminto propio y/o d un CTRGRIE022 Análisis y rvisión d propusta d cupos y límits CTRGREC119 CTRGRIE001 CTRGREC010 CTRGREC011 CTRGREC015 CTRGREC018 CTRGREC030 CTRGREC162 CTRGREC156 Control d los cupos d Invrsión Prfil d administrador d cupos d invrsión n aplicativo d Administración d Invrsions Vrificación d títulos activos Vrificación d cirr d compra y rinvrsion d titulos. Sguiminto diario a los vncimintos n l portafolio d Fonad y Convnios Sguiminto a la opración ralizada por l ára d Ngociación Sguiminto al tramit d los dsmbolsos Aplicación dl código d ética Aplicación dl código d ética Pago automático d los dsmbolsos Asignación d prfils transaccionals para portals mprsarials (control dual) CTRGREC156 Asignación d prfils transaccionals para portals mprsarials (control dual) Dbido a prsntación d informacion contabls, financira, prsupustal y tributaria inconsistnt o Prsntar indicadors d gstión altrada por causa d prsntar indicadors d optimos por la alta grncia CTRGREC172 Rvisar las variacions d cada cunta para vrificar la razonabilidad gstión optimos por la Alta Grncia Ralización d dsmbolsos inxistnts por causa d acción intncional d un colaborador d la Entidad n favorciminto propio y/o d un Divulgación d información no vraz sobr los productos y srvicios, gstión o actividads d FONADE, por causa dl manjo intncional d la información institucional por trcros n favorciminto d sus intrss. La altración d la configuración d cupos n l aplicativo mdiant l scalaminto o apropiación d privilgios d usuarios. La modificación o liminación d la misma mdiant l accso no autorizado a los aplicativos y bass d datos utilizadas n las áras pagaduría y ngociación d invrsions, por part d La acción intncional d un mplado d mantnr saldos d cuntas bancarias para favorcr a un trcro vinculado a la ntidad financira. Causa dl traslado d rcursos a cuntas difrnts a las dl bnficiario mdiant acción intncional d un mplado n favorciminto propio y/o d un Acción intncional d un colaborador d la ntidad n favorciminto propio y/o d un Causa dl manjo intncional d la información institucional por trcros n favorciminto d sus intrss. CTRGREC129 CTRGREC164 CTRGREC031 CTRGSOR006 CTRGSOR005 CTRGSOR007 Vrificación d los soports y la contabilización d las facturas o documntos quivalnts Vrificación d planilla d ntrga frnt a dsmbolsos Vrificación, tramit y aprobación prsupustal d los dsmbolsos Rqurimintos d aclaración d información a los mdios d comunicación Sguiminto a la información publicada n los mdios d comunicación Dirctrics d la imagn Corporativa Anxo 1A: Mapa d Rigos d Fraud y Corrupción página 3 d 7
Objtivo y procso Controls Sguiminto Rsidual Admon dl Accions Rsponsabl Ralizar l monitoro, mdición y sguiminto a los risgos (Financiros, Oprativos, Lgals, tc.) a los qu stá xpusta FONADE y vlar por l cumpliminto d las políticas, mtodologías y Gstión d s procsos stablcidos por la Alta Grncia, la Junta Dirctiva, así como la normatividad xtrna, ncaminados a implmntar una fctiva administración dl risgo. RGRIE22 Rprocsaminto d información dbido a la corrupción d la misma por causa d la acción intncional d un colaborador d la La acción intncional d un colaborador d la ntidad. CTRGINF154 Dfinición d drchos d accso (prfil d autorización) d usuarios a los sistmas d información Sincronización d Rlojs d lmntos d la infrastructura tcnológica. RGINF02 CTRGINF001 Vrificación d los activos fijos Hurto d bins y/o activos d las instalacions, RGINF02 Causa dl ingrso d prsonas no por causa dl ingrso d prsonas no autorizadas a CTRGINF087 Cámaras d sguridad n los pisos autorizadas a la ntidad. la RGINF02 CTRGINF088 Control d ingrso a visitants RGINF08 Pérdida d la misma, por causa d accso no autorizado d trcros a la infrastructura tcnológica d la Accso no autorizado d trcros a la infrastructura tcnológica d la ntidad. CTRGINF055 CTRGINF069 CTRGINF061 CTRGINF083 Drchos d accso y mnús asignados con bas n "qu ncsita" Dobl control / Custodia caja d sguridad d Clavs Establcr mcanismos d rcupración d la Bas d Datos Autnticar idntificación d usuarios n l sistma Dshabilitación d purtos n l switch Rducir Evaluar la Implmntación d otras mdidas d control d accso fisico a las instalacions d Fonad Subgrnc ia Administra tiva % avanc n la ralizacion d la actividad CTRGINF032 Asignación d código único d idntificación a usuarios n l sistma n ambint d prubas Gstionar y controlar los rcursos físicos, documntals y d tcnologías d la información colaboradors las hrramintas ncsarias para l cumpliminto dl objto misional d la Gstión d Infrastructura RGINF26 RGINF35 RGINF37 RGINF43 Publicación d información rrada, incomplta o inconsistnt n la página wb d FONADE, por causa d la xtracción, manipulación o altración d la misma por Pérdida o falta d intgridad d la misma, por causa d la jcución d código malicioso. Pérdida d los mismos, por causa dl hurto d los lmntos por part d los colaboradors d la La xtracción, manipulación o altración d la misma por La jcución d código malicioso. Rprocsaminto y rstauración d información almacnada n la plataforma tcnológica, dbido a Causa dl accso no autorizado la altración o liminación d la misma, por causa por part d los usuarios. dl accso no autorizado por part d los usuarios. Causa dl hurto d los lmntos por part d los colaboradors d la ntidad. CTRGINF118 CTRGINF057 CTRGINF061 CTRGINF118 CTRGINF058 CTRGINF070 CTRGINF116 CTRGINF056 CTRGINF055 CTRGINF011 CTRGINF010 Configuración y Autnticación a la rd Wi-FI Controls automáticos implmntados n los aplicativos Sgmntación d rds Establcr mcanismos d rcupración d la Bas d Datos Autnticar idntificación d usuarios n l sistma Configuración y Autnticación a la rd Wi-FI Autnticar idntificación d usuarios n l sistma Utilización d un antivirus institucional y actualización automática y n lína d la consola d antivirus. Rstriccions d instalación Mtodología stándar para l dsarrollo / mantniminto d sistmas Actualización instalación d parchs d sguridad para la infrastructura tcnológica. Disponibilidad d backups d datos y softwar ants d cambios Bloquo d purtos USB Controls d validación d datos Autnticar idntificación d usuarios n l sistma Drchos d accso y mnús asignados con bas n "qu ncsita" Rposición d activos por part d colaboradors Pólizas contra todo risgos (daños matrials combinados, corrint débil y sustracción d mubls y nsrs). Anxo 1A: Mapa d Rigos d Fraud y Corrupción página 4 d 7
Objtivo y procso Controls Sguiminto Rsidual Admon dl Accions Rsponsabl Gstionar y controlar los rcursos físicos, documntals y d tcnologías d la información colaboradors las hrramintas ncsarias para l cumpliminto dl objto misional d la Gstión d Infrastructura RGINF50 RGINF55 RGINF57 RGINF60 Autorización y xpdición d tiquts a colaboradors o trcros para fins difrnts a las Fraud d un colaborador n actividads institucionals, por causa d fraud d favorciminto propio o d un un colaborador n favorciminto propio o d un Autorización y xpdición d tiquts a colaboradors o trcros para fins difrnts a las Fraud d prsonal xtrno para actividads institucionals, por causa d fraud d bnficio propio o d un prsonal xtrno para bnficio propio o d un Publicación d información confidncial por causa La acción malintncionada d un d la acción malintncionada d un trcro intrmo trcro intrmo o xtrno. o xtrno. Corrupción d la misma por causa d la acción La acción intncional d un intncional d un trcro mdiant la utilización d trcro mdiant la utilización d aplicacions malwar u otro tipo d código aplicacions malwar u otro tipo malicioso. d código malicioso. CTRGINF095 CTRGINF122 CTRGINF099 CTRGINF095 CTRGINF094 CTRGINF128 CTRGINF128 CTRGINF144 CTRGINF052 Vrificación d la autorización para l viajro Copia d corro d xpdición dl tiqut a suprvisor dl viajro Conciliación mnsual d jcución d tiquts Vrificación d la autorización para l viajro Cuadro control montos y prsupusto por convnios y cntros d costos. Rstriccions d instalación Sincronización d Rlojs d lmntos d la infrastructura tcnológica. Actualización instalación d parchs d sguridad para la infrastructura tcnológica. Utilización d un antivirus institucional y actualización automática y n lína d la consola d antivirus. Control d accso a la rd d datos por prsonas xtrnas a FONADE. Rstriccions d instalación Actualización instalación d parchs d sguridad para la infrastructura tcnológica. Utilización d un antivirus institucional y actualización automática y n lína d la consola d antivirus. Sincronización d Rlojs d lmntos d la infrastructura tcnológica. Control d accso a la rd d datos por prsonas xtrnas a FONADE. Snsibilización n sguridad d la información, sguridad informatica y plan d continuidad d ngocio para los colaboradors d FONADE. Sparar ambints d dsarrollo, prubas y producción RGINF61 RGINF63 Pérdida o altración d la misma por causa d accions inadcuadas por part d provdors o Dbido a fallas n l funcionaminto, conxión y/o mnor rndiminto d los mismos por causa d la acción intncional d colaboradors d la Entidad mdiant accso no autorizado. Accions inadcuadas por part d provdors o La acción intncional d colaboradors d la ntidad mdiant accso no autorizado. CTRGINF075 CTRGINF143 CTRGINF141 CTRGINF056 CTRGINF117 Sguiminto a los contratos d bins y srvicios rlacionados con infrastructura física y tcnológica. Procdiminto d rstauración d la información almacnada n mdios magnéticos. Procdimintos d control d cambios n la infrastructura tcnológica y mantniminto d aplicativos n producción. Actualización instalación d parchs d sguridad para la infrastructura tcnológica. Controls d validación d datos Gstión d usuarios Anxo 1A: Mapa d Rigos d Fraud y Corrupción página 5 d 7
Objtivo y procso Controls Sguiminto Rsidual Admon dl Accions Rsponsabl Gstionar y controlar los rcursos físicos, documntals y d tcnologías d la información colaboradors las hrramintas ncsarias para l cumpliminto dl objto misional d la Gstión d Infrastructura RGINF64 RGINF65 RGINF66 RGINF68 RGINF71 RGINF72 RGINF73 Dbido a fallas n l funcionaminto, conxión y/o mnor rndiminto d los mismos por causa d la suplantación d privilgios d administrador por part d colaboradors d la Dngación n l srvicio d los mismos por causa d la acción d trcros mdiant l accso no autorizado a la rd. Dngación n l srvicio d los mismos por causa dl abuso d privilgios por part d los administradors d TI, prsonal d soport y dsarrolladors. Falta d disponibilidad d rds o aplicacions por Causa dl hurto d los quipos dl causa dl hurto d los quipos dl cntro d cntro d cómputo y/o dl rack cómputo y/o dl rack d comunicacions por part d comunicacions por part d d trcros y/o colaboradors. trcros y/o colaboradors. Omisión o dficincias n la información prsntada o publicada por FONADE por causa d la corrupción o pérdida d la misma mdiant ataqus d código malicioso. Hurto d dispositivos d hardwar dl cntro d cómputo por causa dl accso no autorizado por part d mplados al mismo. La suplantación d privilgios d administrador por part d colaboradors d la ntidad. La acción d trcros mdiant l accso no autorizado a la rd. Causa dl abuso d privilgios por part d los administradors d ti, prsonal d soport y dsarrolladors. La corrupción o pérdida d la misma mdiant ataqus d código malicioso. Causa dl accso no autorizado por part d mplados al mismo. Ralización d opracions no autorizadas por la La corrupción d información d Entidad por causa d la corrupción d información las bass d datos mdiant l d las bass d datos mdiant l accso no accso no autorizado por part d autorizado por part d colaboradors. colaboradors. CTRGINF135 CTRGINF128 CTRGINF117 CTRGINF135 CTRGINF136 CTRGINF134 CTRGINF102 CTRGINF131 CTRGINF108 CTRGINF144 CTRGINF010 CTRGINF102 CTRGINF137 CTRGINF151 CTRGINF144 CTRGINF135 Sgrgación d funcions n l ára d Tcnología d Información. Control d accso a la rd d datos por prsonas xtrnas a FONADE. Sgmntación d rds Actualización instalación d parchs d sguridad para la infrastructura tcnológica. Gstión d usuarios Sgrgación d funcions n l ára d Tcnología d Información. Sguridad física para los cntros d cablado d FONADE Control d traslado d activos d información dntro y fura d la Entidad Control d accso fisico al Cntro d Cómputo Aplicación d controls técnicos y lgals sobr la xtracción, robo o pérdida d stacions d trabajo asignadas a los usuarios o d componnts d las mismas. Cntro d computo altrno Utilización d un antivirus institucional y actualización automática y n lína d la consola d antivirus. Dfinición d drchos d accso (prfil d autorización) d usuarios a los sistmas d información Rstriccions d instalación Snsibilización n sguridad d la información, sguridad informatica y plan d continuidad d ngocio para los colaboradors d FONADE. Pólizas contra todo risgos (daños matrials combinados, corrint débil y sustracción d mubls y nsrs). Control d accso fisico al Cntro d Cómputo Monitoro d la BD por l Administrador d la Bas d Datos Monitoro plataforma tcnológica por l cntro d datos Sincronización d Rlojs d lmntos d la infrastructura tcnológica. Dfinición d drchos d accso (prfil d autorización) d usuarios a los sistmas d información Snsibilización n sguridad d la información, sguridad informatica y plan d continuidad d ngocio para los colaboradors d FONADE. Sgrgación d funcions n l ára d Tcnología d Información. Anxo 1A: Mapa d Rigos d Fraud y Corrupción página 6 d 7
Objtivo y procso Controls Sguiminto Rsidual Admon dl Accions Rsponsabl Gstionar y controlar los rcursos físicos, documntals y d tcnologías d la información colaboradors las hrramintas ncsarias para l cumpliminto dl objto misional d la Gstión d Infrastructura RGINF74 RGINF84 RGINF86 RGINF87 RGINF88 RGINF89 Ralización d opracions no autorizadas por la La corrupción d información d Entidad por causa d la corrupción d información las bass d datos mdiant l d las bass d datos mdiant l accso no accso no autorizado por autorizado por Pérdida y/o divulgación d información confidncial por causa dl aprovchaminto d vulnrabilidads técnicas d hrramintas tcnológicas institucionals por part d Divulgación d información confidncial rlacionada con stos por causa d la acción intncional d colaboradors d la Entidad mdiant l accso no autorizado. Divulgación d información confidncial rlacionada con stos por causa d la acción intncional d trcros mdiant l accso no autorizado a la rd corporativa. Hurto d bins y/o activos d información a causa dl ingrso d prsonas no autorizadas a las áras catalogadas como sguras n FONADE. Causa dl aprovchaminto d vulnrabilidads técnicas d hrramintas tcnológicas institucionals por part d La acción intncional d colaboradors d la ntidad mdiant l accso no autorizado. La acción intncional d trcros mdiant l accso no autorizado a la rd corporativa. Omisión o dficincias n la información La corrupción o pérdida d la prsntada o publicada por FONADE por causa d misma mdiant l accso no la corrupción o pérdida d la misma mdiant l autorizado por part d accso no autorizado por part d mplados a los mplados a los sistmas d sistmas d información. información. Causa dl ingrso d prsonas no autorizadas a las áras catalogadas como sguras n fonad. CTRGREC144 CTRGINF108 CTRGINF076 CTRGRIE045 CTRGRIE046 CTRGINF154 CTRGRIE046 CTRGRIE043 CTRGINF152 CTRGRIE043 CTRGINF010 CTRGINF088 Dfinición d drchos d accso (prfil d autorización) d usuarios a los sistmas d información Sincronización d Rlojs d lmntos d la infrastructura tcnológica. Sgmntación d rds Póliza d Infidlidad d s Financiros Cntro d computo altrno Srvicios d rspaldo y alta disponibilidad. Monitoro d Sguridad d la Información Snsibilización n sguridad d la información para los colaboradors d FONADE. Rstriccions d instalación Sincronización d Rlojs d lmntos d la infrastructura tcnológica. Snsibilización n sguridad d la información para los colaboradors d FONADE. Dfinición d drchos d accso (prfil d autorización) d usuarios a los sistmas d información Aplicación d politica d pantalla bloquada Control d accso a la rd d datos por prsonas xtrnas a FONADE. Sgmntación d rds Aplicación d politica d pantalla bloquada Dfinición d drchos d accso (prfil d autorización) d usuarios a los sistmas d información Pólizas contra todo risgos (daños matrials combinados, corrint débil y sustracción d mubls y nsrs). Control d ingrso a visitants Evaluar los proyctos d manra confiabl y Evaluación d oportuna, d acurdo con los Proyctos rqurimintos dl clint. REVPR07 Prsncia d inconsistncias n los rsultados dl Errors o falta d aplicación d procso d valuación, por causa d rrors o falta parámtros y critrios por part d aplicación d parámtros y critrios por part d los valuadors. d los valuadors. CTREVPR003 CTREVPR002 CTREVPR001 Rvisión Inform consolidado d valuación Rvisión d rsultados y variabls d valuación individual Capacitación a los valuadors Anxo 1A: Mapa d Rigos d Fraud y Corrupción página 7 d 7