Upload File

metodología de gestión de activos de información · clasificación de activos de información...

  • Home
  • Documents
  • Metodología de gestión de activos de información · Clasificación de activos de información Conf. (1) Integ. (2) Disp. RELEVANCIA Información Publica INTEGRIDAD (2) Critica
31
Metodología de gestión de activos de información

Upload: others

Post on 21-Oct-2020

3 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • Metodología de gestión de activos de información

  • 21 Documento maestro

    Metodológica de pruebas de efectividad

    Política general MSPIv1

    Procedimientos de Seguridad y

    Privacidad de la Información.

    Roles y responsabilidades de

    seguridad y privacidad de la

    información

    Gestión De Activos Gestión Documental

    Gestión del riesgo

    Controles de Seguridad

    Indicadores de Gestión SI

    Continuidad de TI Análisis de Impacto de Negocios (BIA)

    Seguridad en la nube

    Evidencia digital

    Plan de comunicación,

    sensibilización y capacitación

    Auditoría Evaluación desempeño

    Mejora continúa

    Lineamientos: Terminales de áreas

    financieras entidades públicas

    Aseguramiento del protocolo IPv6

    Transición de IPV4 a IPv6 para Colombia Gestión de incidentes

    Modelo de Seguridad y Privacidad de la Información - MSPI

  • Objetivos

    Entregar los lineamientos básicos que deben s e r u t i l i z ado s po r l o s responsables de la seguridad de la información, para poner en marcha gestión de activos de información que son manejados por la entidad.

  • Protege activos

    Software

    Físicos

    Servicios

    Personas

    Información

    Procesos

    Activos de información ¿Cualesson?

  • Metodología a seguir

    Inventario de activos

    Propiedad de los activos

    Clasificación de la información

    Gestionar los Activos

  • Campos del Inventario

    Proceso de

    NegocioServicio ID_Activo Nombre Activo de Información Descripción Ubicación Tipo de Activo

    Gestión de incidentes

    Hosting /Colocation A01

    Gst.N3_Rsp_Active directory y Base de Datos_STABARB Active directory y Base de Datos AD01 ACTIVE DIRECTORY HP PROLIANT DL360

    Active Directory N1 HDC alojado en el servidor AD01 HP PROLIANT DL360 y su base de datos. Este activo es crítico porque es un servicio de active directory compartido por varios clientes

    ZONA 1 RACK 9 Rack R1-09-Z1 FILA 1 - ZONA1 UR 40 Hardware

    Gestión de incidentes Transversal A02

    Gst.Rsp_Adm_SRV_TSV_Actas de Reuniones Físicas Actas de "Acuerdos formales con los clientes" XXX Centro Edif 19 00 Piso 6Información

    Gestión de incidentes Transversal A03

    Gst.Nvl3_BD_Administrador de BD_Tsv DC Administrador de BD

    Administrador de BD compuesta por un tercero SETI y a través de José Miguel Hernández por parte de XXX

    CUNI - Aseguramiento - P02 CENTRO - Aseguramiento - P06

    Persona

    Gestión de incidentes Transversal A04

    Gst.N3_NOC_Switch de Distribución CUNI BOCUCI4948 DCN01 , DCN02 Backbone Datos - SWITCH

    CISCO Systems Catalys 4948, Equipos de comunicaciónes administrados por el grupo Backbone, Sistema redundante que concentra las comunicaciónes de BOCUCI (192.168.174.1 y 192.168.174.121)

    SALON DATACENTER FILA F RACK 3 Posición 20; SALON DATACENTER FILA G RACK 3 Posición 20

    Redes

    Proceso de negocio al cual p e r t e n e c e e l a c t i v o d e información

    Servicio: Corresponde a los diferentes servicios que ofrece la entidad a sus clientes

    Ro tu l o c on que s e identifica el activo. Es el serial del activo de información dado por el fabricante

    C o r r e s p o n d e a l a ubicación exacta del activo de información d e n t r o d e l a s ins ta lac iones de la entidad

    Hardware|Software|Información|Persona|Redes|procesos del negocio|Lugar|Servicio

  • Clasificación de activos de información

    Conf. (1) Integ. (2) Disp. RELEVANCIA

    Información Publica Critica

    De 0 a 1 Horas Baja

    Pública Reservada Baja

    De 4 a 8 Horas Baja

    Publica Clasificada Critica

    De 8 a 24 Horas Alta

    No Clasificada

    Alta De 0 a 1 Horas Baja

    Reservada Normal De 2 a 4 Horas Baja

    CONFIDENCIALIDAD (1)

    Clasificación Explicación

    Pública Reservada

    Información disponible sólo para un proceso de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo de índole legal, operativa, de pérdida de imagen o económica. 

    Publica Clasificada

    Información disponible para todos los procesos de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo para los procesos de la misma.  Esta información es propia de la entidad o de terceros y puede ser utilizada por todos los funcionarios de la entidad para realizar labores propias de los procesos, pero no puede ser conocida por terceros sin autorización del propietario. 

    Información Publica

    Información que puede ser entregada o publicada sin restricciones a cualquier persona dentro y fuera de la entidad, sin que esto implique daños a terceros ni a las actividades y procesos de la entidad. 

    No Clasificada

    IActivos de Información que deben ser incluidos en el inventario y que aún no han sido clasificados. 

    INTEGRIDAD (2)Clasificación Explicación Peso

    BajaSe puede reemplazar fácilmente y ofrecer la misma calidad / datos de carácter no personal.

    1

    NormalSi tras el daño se puede reemplazar y ofrecer una calidad semejante con una molestia razonable.

    2

    AltaSi la calidad necesaria se puede reconstruir de forma difícil y costosa.

    3

    CriticaSi no puede volver a obtenerse una calidad semejante a la original.

    4

    Ley 1712 del 2014

  • Campos del Inventario

    Conf. (1) Integ. (2) Disp.(3) RELEVANCIA

    Información Publica Critica

    De 0 a 1 Horas Baja

    Pública Reservada Alta

    De 4 a 8 Horas Baja

    Publica Clasificada Normal

    De 8 a 24 Horas Baja

    No Clasificada Alta

    De 0 a 1 Horas Baja

    Pública Reservada Normal

    De 2 a 4 Horas Baja

    DISPONIBILIDAD (3)Clasificación Explicación Peso

    De 0 a 1 Horas

    Se puede estar sin el activo en funcionamiento máximo 1 horas al cabo de las cuales se comienzan a materializar riesgos financieros y operativos.

    5

    De 1 a 2 Horas

    Se puede estar sin el activo en funcionamiento máximo 2 horas 4

    De 2 a 4 Horas

    Se puede estar sin el activo en funcionamiento máximo 4 horas 3

    De 4 a 8 Horas

    Se puede estar sin el activo en funcionamiento máximo 8 horas 2

    De 8 a 24 Horas

    Se puede estar sin el activo en funcionamiento máximo 1 día 1

    Mayor 24 H

    Se puede estar sin el activo en funcionamiento más de un día al cabo de la cual se comienzan a materializar riesgos financieros y operativos.

    0

    Relevancia del Activo de Información Relevancia Rango Descripción

    Baja Entre 1 y 4

    El activo puede afectar una tarea aislada del proceso u operación. Las pérdidas o afectación serían menores.

    Media Entre 5 y 9

    El activo puede afectar parcialmente un proceso u operación. Las pérdidas o afectación pueden ser moderadas.

    Alta Entre 10 y 13

    Uno o varios procesos pueden ser seriamente afectados. Las pérdidas o afectación pueden ser importantes.

  • Campos del Inventario

    Propietario Persona Propietario Cargo Cliente Custodio Observaciones Estado Fecha

    Validación Propietario

    Ricardo Otálora PROFESIONAL II Varios Clientes entre ellos POSITIVARicardo Otálora

    Active Directory compartido por varios clientes

         

    Lider de Grupo Postventa Gerente de Servicios CLIENTE Serv DC

    Gerente de Servicio

    \Sa01\DCO\AISC\Networking Actualizado26/06/2012Aprobado

    José Miguel Martinez AUXILIAR XIV XXX

    José Miguel Martinez Sin observaciones      

    Luis Hernán Castro PROFESIONAL V XXX

    Luis Hernán Castro Sin observaciones      

    Seguridad Física - Edgar Zapata AUXILIAR XIV

    XXX - Servicios de DC Cliente Ext.

    Edgar Zapata Sin observaciones      

    Corresponde al cliente al cual la entidad le presta servicios

    Corresponde al responsable de Infraestructura que respalda a ese activo de información

    D e t e r m i n a e l t i p o d e m o d i f i c a c i ó n r e a l i z a d a (Actualizado o Eliminado)

    Fecha de modif icación o eliminación

    Aprobación o rechazo frente a la información consignada en la matriz

  • Gestión de riesgos de seguridad de la información

  • Agenda

    •  Objetivos •  Metodología Gestión de Riesgos SI •  Propuesta formato Matriz Riesgos SI •  Plan de tratamiento de riesgos SI •  Monitoreo y seguimiento

  • Objetivo Orientar a las entidades del distrito en:

    1.  Metodología de gestión de riesgos de seguridad de la

    información

    2.  Modelo de matriz

  • Metodología gestión riesgos SI

    Fuente: ISO/IEC 27005

  • Metodología gestión riesgos SI 1. Establecimiento del contexto

    Proveedores

    Socios / Inversionistas Órganos de control Departamentos administrativos Órganos rectores de los sectores

    Sistemas de gestión

    Usuarios

    Ciudadanos

    ¿En dónde está ubicada?

    ¿Alguna actividad importante a resaltar?

    ¿Tiene otr

    os sistem

    as de

    gestión im

    plementa

    dos?

    ¿Están ce

    rtificados

    ?

    ¿Qué aliados estratégicos tiene? (convenios)

    ¿Qué se tiene de infraestructura tecnológica crítica?

    ¿Cuáles servicios tecnológicos ofrece?

    ¿Inmuebles? ¿Recursos físicos?

    Misión Visión

    Objetivos estratégicos Procesos

    Procedimientos Talento Humano

    Roles y responsabilidades …

  • Metodología gestión riesgos SI

    2. Valoración del riesgo

    Nivel exposición activos de información Identificar causales de riesgo

    Identificar el impacto de los riesgos

    Determinar la probabilidad de ocurrencia del riesgo

    Evaluación de riesgos de Seguridad de la Información

  • Metodología gestión riesgos SI

    2.1 Análisis de riesgo

  • Metodología gestión riesgos SI

    2.1 Análisis de riesgo

  • Metodología gestión riesgos SI

    2.1.1 Identificación de riesgos en seguridad de la información

    Identificación activos de información

    Valoración activos de información

    Identificación causas de riesgos (Amenazas Vulnerabilidades)

    Identificación riesgos en Seguridad de la Información

    Identificación de dueño o propietario del riesgo

  • Metodología gestión riesgos SI

    2.1.2 Estimación del riesgo

  • Metodología gestión riesgos SI

    Impacto Cambio adverso en el nivel de los objetivos del negocio logrado. [ISO/IEC 27000:2016].

  • Metodología gestión riesgos SI Propuesta niveles y descripción impacto

    Descriptor NIVEL FINANCIERO CONTINUIDAD OPERATIVA

    La pérdida de ingresos directa y los costos u otros gastos financieros indirectos que se generarían para la Organización.

    Tiempo en que se ve afectada la operación de los procesos de la Organización.

    Insignificante 1 En caso de presentarse, la Organización no tendría c o n s e c u e n c i a s e c o n ó m i c a s q u e i m p a c t e n e l funcionamiento, por tanto se asumirán las perdidas.

    En caso de presentarse, el proceso de la Organización no se vería afectado en su continuidad.

    Menor 2 En caso de presentarse, la Organización tendría bajas consecuencias económicas. En caso de presentarse, el proceso de la Organización se vería afectado en su continuidad de manera mínima.

    Moderado 3 En caso de presentarse, la Organización tendría medianas consecuencias económicas. En caso de presentarse, el proceso de la Organización se vería afectado en su continuidad de manera moderada.

    Mayor 4 En caso de presentarse, la Organización tendría altas consecuencias económicas.

    Si el hecho llegara a presentarse, el proceso de la Organización se vería afectado en su continuidad de manera considerable interrumpiendo periódicamente el proceso y otros.

    Catastrófico 5 En caso de presentarse, la Organización tendría nefastas consecuencias económicas. En caso de presentarse, el proceso de la Organización se vería afectado en su continuidad de manera total.

  • Metodología gestión riesgos SI

    2.1.2 Estimación del riesgo

  • Metodología gestión riesgos SI

    Probabilidad Frecuencia o Factibilidad de ocurrencia del Riesgo. [ISO/IEC 27000:2016].

  • Metodología gestión riesgos SI

    Propuesta niveles y descripción de probabilidad

    NIVEL DE PROBABILIDAD DESCRIPCIÓN

    1 Raro El r iesgo ocurre rara vez en la Organización.

    2 Improbable El riesgo ocurre en ocasiones especificas en la Organización.

    3 Posible El riesgo ocurre con cierta periodicidad en la Organización.

    4 Probable El riesgo ocurre frecuentemente en la Organización.

    5 Casi Seguro El riesgo ocurre inminentemente en la Organización.

  • Metodología gestión riesgos SI

    Impacto Probabilidad Riesgo

  • Metodología gestión riesgos SI

    PROBABILIDAD IMPACTO

    INSIGNIFCANTE (1) MENOR (2) MODERADO (3) MAYOR (4) CATASTRÓFICO (5)

    RARO (1) B B M A A

    IMPROBABLE (2) B B M A E

    POSIBLE (3) B M A E E

    PROBABLE (4) M A A E E

    CASI SEGURO (5) A A E E E

    B: Zona de riesgo Baja: Asumir el riesgo M: Zona de riesgo Medio: Asumir, Reducir el riesgo A: Zona de riesgo Alta: Reducir, Evitar, Compartir el riesgo E: Zona de riesgo Extremo: Reducir, Evitar, Compartir el riesgo

    2.2 Evaluación del riesgo

  • Metodología gestión riesgos SI Niveles de riesgo:

    NIVELES DE RIESGO RESPUESTA A LOS RIESGOS DESCRIPCIÓN

    BAJO Asumirelriesgo El nivel de riesgo es Admisible y se encuentra controlado en la Organización. Los riesgos en este nivel se deben revisar periódicamente.

    MEDIO Asumirelriesgo

    El nivel de riesgo es Tolerable de acuerdo a los criterios de aceptación de la Organización. Los riesgos en este nivel deben ser monitoreados para identificar oportunamente los cambios en su valoración que pueden afectar los procesos de la Organización.

    ALTO Mitigar el riesgo, Evitar, Compartir El nivel del riesgo es Inaceptable, por lo que es necesario implementar controles en la Organización para mitigar, evitar o compartir el riesgo y llevar a niveles aceptables. Puede afectar un proceso crítico de la Organizaión

    EXTREMO Mitigarelriesgo,Evitar,Compartir

    El nivel del riesgo es Inadmisible, por lo que es necesario implementar controles en la Organización para mitigar, evitar o compartir el riesgo y llevar a niveles aceptables. Este tipo de riesgos puede afectar a varios procesos críticos o toda la Organización.

  • Plan de tratamiento de riesgos Niveles de tratamiento sugeridos

    NIVELES DE RIESGO RESPUESTA A LOS RIESGOS

    ALTO Mitigar el riesgo, Evitar, Compartir

    EXTREMO Mitigar el riesgo, Evitar, Compartir

  • Metodología gestión riesgos SI

    1 Insignificante 1 Raro 15 Bajo

    1 Insignificante 1 Raro 15 Bajo

    1 Insignificante 1 Raro 3 Bajo

    VALOR RIESGO

    NIVEL DE RIESGO

    NIVEL PROBABILIDAD

    DELRIESGO

    NIVEL IMPACTO

    RIESGO ASOCIADO A

    C-I-D

    VALOR IMPACTO

    RIESGO IDENTIFICADO

    CAUSAL DE RIESGO (COMBINACIÓN DE LA AMENAZA

    Y LA VULNERABILIDAD)

    DUEÑO DEL RIESGO

    VALOR PROBABILIDAD

    RIESGO

    CONTROLES ACTUALES

  • Taller


Act. integ. 2

01 mkt comunicacion integ

REGISTRO DE ACTIVOS DE INFORMACIÓN

REGISTRO DE ACTIVOS DE LA INFORMACIÓN, ÍNDICE DE

COMUN INTEG III BIM.doc

MANUAL DE CLASIFICACIÓN ACTIVOS DE INFORMACIÓN

LAVADO DE ACTIVOS · una investigación o juzgamiento por delito de lavado de activos, o deliberadamente presta la información de modo inexacto o brinda información falsa. PPL:

UNIDAD DE ACTIVOS FIJOS INFORMACIÓN CORRESPONDIENTE AL … · fondo de tierras unidad de activos fijos informaciÓn correspondiente al mes de noviembre del 2013 ft-mob-2267 librera

MANUAL INVENTARIO DE ACTIVOS, CLASIFICACIÓN Y … · 2017-03-15 · El inventario de activos de información específica y reconoce cuáles son los activos de información más importantes

EnterpriseOne Xe Activos fijos PeopleBook - docs.oracle.com · Códigos de activos fijos definidos por el usuario G1242 Descripción general de menús – Activos fijos Información

Integ. Eco. Ok

INVENTARIO DE ACTIVOS DE INFORMACIÓN · dÉcimo primer lineamiento - inventario de activos de informaciÓn secretarÍa general de la alcaldÍa mayor de bogotÁ gustavo petro urrego

Liderazgo integ x p ico agos - dic 2014

326al Sem Integ

Cap 01 Pre Integ Peda

INVENTARIO ACTIVOS DE INFORMACIÓN DIGITAL FECHA DE

Sost integ & rs usb 11 28 2013

Un modelo de crecimiento económico, instituciones, integ

Documentos Primaria Sesiones Unidad02 Integradas SextoGrado Sesion01 INTEG 6to (1)

PROYECTO INTEG RADOR PARA SEGUNDO SEMESTRE 2019A …

LA GESTIÓN DE ACTIVOS Y PASIVOS Implantación de la práctica · MODELOS DE INFORMACIÓN PARA LA GESTIÓN DE ACTIVOS Y PASIVOS • La información presentada deberá entregarse a

Activos, ataques, amenazas y vulnerabilidades de información

COMUN INTEG IV BIM.doc

CENTRO DE INVESTIGACIÓN EN QUIMICA APLICADA · de la empresa Activos de propiedad intelectual Activos centrados en el individuo Activos de infraestructura Tecnología de la información

Comun Integ i Bim

Liderazgo integ x p ico feb - jun 2015

RGISTRO DE ACTIVOS DE INFORMACIÓN 8. oporte 6. Idioma

FUNDACIÓN INTEG RAtransparencia.integra.cl › transparencia_2015 › archivos › ... · 2017-04-26 · FUNDACIÓN INTEG RA CONTRATO DE TRANSPORTE ESCOLAR JI. "SEMILLAS DE ALEGRIA"

Clase 7 - Integ. sensorio motora

Comunic. integ(abril)

Inventario Activos de La Información

REGENERACION ESPACIO PÚBLICO COMO ELEM INTEG URB Y CONS

Inventario y Clasificación de Activos de Información

Presentación activ integ

Comun. integ. i bim