valoración de riesgos de información.pdf

8/15/2019 Valoración de Riesgos de Información.pdf

1/31


2/31

METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN

CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 2 de 31

2211700-OT-037 Versión 01

Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.co

Info: Línea 195

TABLA DE CONTENIDO

GLOSARIO .................................................................................................................... 4 1 INTRODUCCIÓN ................................................................................................ 6 2 PREMISA ............................................................................................................ 6 3 GENERALIDADES .............................................................................................. 7 3.1.1 Definir el personal involucrado en los talleres de análisis de riesgo ..................... 8 4 DESCRIPCIÓN ................................................................................................... 9 4.1 DETERMINAR EL CONTEXTO ESTRATÉGICO ................................................. 9 4.1.1 Compromiso de la Alta y Media Dirección ........................................................... 9 4.2 IDENTIFICACIÓN DEL RIESGO .......................................................................... 9

4.2.1 Identificación de los activos a analizar ................................................................. 9 4.2.2 Identificación del Tipo de Riesgo ....................................................................... 10 4.3 ANALIZAR LOS RIESGOS ................................................................................ 11 4.3.1 Vulnerabilidades ................................................................................................ 11 4.3.2 Amenazas ......................................................................................................... 12 4.3.3 Descripción del Riesgo y sus Consecuencias .................................................... 13 4.3.4 Variables para el Análisis .................................................................................. 14 4.4 VALORACIÓN DEL RIESGO ............................................................................. 19 4.4.1 Identificación de los Controles Existentes en la Secretaría para la Protección del Activo 19 4.4.2 Naturaleza de control ........................................................................................ 23 4.4.3 Características del Control ................................................................................ 23

4.4.4 Factores ............................................................................................................ 23 4.4.5 Variables para la valoración .............................................................................. 24 4.4.6 Probabilidad. ..................................................................................................... 24 4.4.7 Impacto ............................................................................................................. 24 4.4.8 Nivel de Riesgo Residual................................................................................... 27 4.5 TRATAMIENTO DE LOS RIESGOS .................................................................. 28 4.5.1 Opciones para el Tratamiento de los Riesgos Residuales Extremos y Altos ..... 28 4.5.2 Acciones de Mitigación ...................................................................................... 28 4.6 REVISIÓN Y MONITORIZACIÓN ....................................................................... 30


3/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 3 de 31

2211700-OT-037 Versión 01


Info: Línea 195

LISTADO DE TABLAS

Tabla 1. Ejemplo Valoración Activos ................................................................................ 9

Tabla 2. Identificación del riesgo .................................................................................... 11

Tabla 3. Identificación de vulnerabilidades ..................................................................... 12

Tabla 4. Identificación de amenazas .............................................................................. 13

Tabla 5. Descripción del riesgo y consecuencias ........................................................... 14

Tabla 6. Escala de probabilidad ..................................................................................... 15

Tabla 7. Escala de impacto ............................................................................................ 16

Tabla 8. Análisis del Riesgo. .......................................................................................... 17

Tabla 9. Catálogo de controles. ...................................................................................... 23

Tabla 10. Factores calificación de controles................................................................... 24

Tabla 11. Escala de probabilidad ................................................................................... 24

Tabla 12. Escala de impacto .......................................................................................... 25

Tabla 13. Valoración del Riesgo ..................................................................................... 26

LISTADO DE FIGURAS

Figura 2. Matriz de Riesgo. ............................................................................................ 27


4/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 4 de 31

2211700-OT-037 Versión 01


Info: Línea 195

GLOSARIO

Causa: Son los medios, circunstancias y agentes que generan los riesgos. 1

Amenazas: Es un ente o escenario interno o externo que puede hacer uso de una

vulnerabilidad para generar un perjuicio o impacto negativo en la organización.

(Materializar el riesgo), o los medios potenciales por los cuales las vulnerabilidades

pueden ser explotadas u ocasionadas.

Vulnerabilidad:

Es una falencia o debilidad que puede estar presente en la tecnología,

las personas o en las políticas y procedimientos de la entidad.

Riesgo en la seguridad de la información: Es un escenario bajo el cual una amenaza

determinada puede explotar las vulnerabilidades de los activos o grupos de activos

generando un impacto negativo a la Secretaría General y evitando que ésta pueda

cumplir con sus objetivos.

Probabilidad: Es la posibilidad que la amenaza aproveche la vulnerabilidad para

materializar el riesgo.

Impacto: Son las consecuencias que genera un riesgo una vez se materialice.

Controles: Acciones o mecanismos definidos para prevenir o reducir el impacto de los

eventos que ponen en riesgo, la adecuada ejecución de las actividades y tareas

requeridas para el logro de objetivos de los procesos de una entidad.

Controles Preventivos: aquellos que actúan para eliminar las causas del riesgo para

prevenir su ocurrencia o materialización2.

1 Tomado de Procedimiento para la administración del riesgo – Cod. 2210111-PR-214 – Secretaria General de la

Alcaldía Mayor.


5/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 5 de 31

2211700-OT-037 Versión 01


Info: Línea 195

Controles Correctivos: aquellos que permiten el restablecimiento de la actividad

después de ser detectado un evento no deseable; también permiten la modificación de

las acciones que propiciaron su ocurrencia3.

2 IDEM3 IDEM


6/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 6 de 31

2211700-OT-037 Versión 01


Info: Línea 195

1 INTRODUCCIÓN

El análisis de riesgos de los activos de información permite identificar, analizar, evaluar

y definir el manejo de los riesgos, para así apoyar el cumplimiento de los objetivos de la

entidad, y disminuir a un nivel aceptable el impacto de la materialización de dichos

riesgos; la gestión de riesgos permite que los responsables de los procesos conozcan

los riesgos de sus activos de información y acompañen de manera más efectiva la

implementación de los controles y acciones de mejora.

2 PREMISA

Antes de iniciar el análisis de riesgos se requiere que cada proceso de la SecretaríaGeneral diligencie el inventario de activos de información con su respectiva valoración

de acuerdo a lo establecido en la Guía para el Inventario y la Clasificación de Activos de

Información de la Secretaría General de la Alcaldía Mayor de Bogotá D.C. (2213200-

GS-004). Los activos de información a los cuales se les realizará el proceso de

identificación de riesgos serán a los que tengan un valor de Muy Alto en el valor total

de los activos de información de acuerdo con lo registrado por cada proceso en el

inventario de activos de información.


7/31


8/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 8 de 31

2211700-OT-037 Versión 01


Info: Línea 195

o Estimar los niveles de los riesgos.

- Identificación de la probabilidad

- Identificación del impacto

Valorar el riesgo


- Identificación de los controles existentes


- Identificación de la probabilidad

- Identificación del impacto

Evaluar e Identificar las opciones para el tratamiento de los riesgos.

Seleccionar los controles para el tratamiento de los riesgos

3.1.1 Definir el personal involucrado en los talleres de análisis de riesgo

El personal encargado de realizar del análisis de riesgos sobre los activos de

información en lo posible debe ser el mismo que realizó la identificación y valoración de

los activos de información de cada uno de los procesos. Se debe tener en cuenta que el

personal que lo realice debe tener pleno conocimiento del proceso al cual pertenecenlos activos y de la interacción de éstos en el proceso en cualquier caso podrá solicitar

apoyo de otros funcionarios del proceso.


9/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 9 de 31

2211700-OT-037 Versión 01


Info: Línea 195

4 DESCRIPCIÓN

4.1 DETERMINAR EL CONTEXTO ESTRATÉGICO

4.1.1 Compromiso de la Alta y Media Dirección

Para el éxito en la implementación de una adecuada administración del riesgo, es

indispensable el compromiso de la Alta Dirección como encargada, en primera

instancia, de estimular la cultura de la identificación y prevención de riesgos y en

segunda instancia de definir las políticas de administración de riesgos. Para lograrlo es

importante la definición de canales directos de comunicación y el apoyo a todas lasacciones emprendidas en este sentido, propiciando los espacios y asignando los

recursos necesarios. Así mismo, debe designar a un directivo que asesore y apoye todo

el proceso de diseño e implementación del Componente de Administración del Riesgo.

4.2 IDENTIFICACIÓN DEL RIESGO

Para realizar la actividad de análisis de riesgos se debe tener en cuenta la forma

establecida para la organización de la información descrita en este procedimiento.

4.2.1 Identificación de los activos a analizar

De la matriz de inventario de activos por procesos se deben identificar los activos de

información en los cuales el valor total del activo es Muy Alto (MA) debido a que estos

serán los que se tendrán en cuenta para realizar el análisis de riesgo.

NombreActivo

VALOR

Confidencialidad(MB / B / M /A / MA)

Integridad(MB / B / M /A / MA)

Disponibilidad(MB / B / M /A / MA)

Valor(MB / B / M /A / MA)

CorreoElectrónico B MA A MA

Tabla 1. Ejemplo Valoración Activos

Estos activos deben ser diligenciados con el nombre y descripción del activorespectivamente.

Tipo Nombre del Activo Descripción del Activo


10/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 10 de 31

2211700-OT-037 Versión 01


Info: Línea 195

7 Correo ElectrónicoServicio empleado para el envío de comunicacionesinternas y externas.

4.2.2 Identificación del Tipo de RiesgoLas tipologías de riesgo que se deben tener en cuenta para esta actividad son los

siguientes:

Acceso no autorizado o perdida de confidencialidad del activo de información.

Pérdida de la integridad del activo información.

Pérdida de la disponibilidad del activo de información.

Los tipos de riesgo que se analizarán a cada activo serán aquellos en los cuales el valor

en de la propiedad este en los niveles MA, A o M, para esto se debe consultar el

inventario de activos de información del proceso. Es decir que si un activo de

información fue valorado como muestra el siguiente cuadro:

NombreActivo

VALOR

Confidencialidad(MB / B / M /A / MA)

Integridad(MB / B / M /A / MA)

Disponibilidad(MB / B / M /A / MA)

Valor(MB / B / M /A / MA)

CorreoElectrónico B MA A MA

Los tipos de riesgo que serán analizados en el activo serán:


Pérdida de la disponibilidad del activo de información.

En este caso el acceso no autorizado o pérdida de confidencialidad del activo de

información no se analizará debido a que su valor es Bajo (B).

Ejemplo

Tipo Nombredel Activo Tipo del Riesgo

7 CorreoElectrónico Pérdida de la disponibilidad del activo de información.


11/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 11 de 31

2211700-OT-037 Versión 01


Info: Línea 195


Tabla 2. Identificación del riesgo

4.3 ANALIZAR LOS RIESGOS

Para analizar los riesgos se debe identificar las causas del riesgo las cuales son los

medios, circunstancias y agentes que generan los riesgos5 y estas se dividen en dos

elementos que son:

4.3.1 Vulnerabilidades

Las vulnerabilidades son falencias o debilidades que pueden estar presentes en la

tecnología, las personas o en las políticas y procedimientos de la entidad.

Para la identificación de las vulnerabilidades se debe tener en cuenta:

o El activo de información que se está analizando y el tipo de riesgo

identificado, de acuerdo a esto, se comienza a describir que debilidades

tiene este activo que puedan llevar a que el tipo de riesgo se materialice.

o Las pruebas de Intrusión realizadas, dado que muchos de los activos de

información son almacenados, distribuidos, resguardados y protegidos por

la infraestructura de información y tecnología.

o Informes de Auditorías sobre el SGSI.

Ejemplo

TIPO Nombredel Activo Tipo de Riesgo

CAUSAS

Vulnerabilidades

5 Tomado de Procedimiento para la administración del riesgo – Cod. 2210111-PR-214 – Secretaria General de la

Alcaldía Mayor.


12/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 12 de 31

2211700-OT-037 Versión 01


Info: Línea 195


CAUSAS

Vulnerabilidades

7 CorreoElectrónico

Pérdida de la disponibilidaddel activo de información.

Mantenimientos no adecuados de lainfraestructura Inadecuada gestión devulnerabilidades técnicas. Falta de documentación de losservicios o aplicaciones. Deficiencia en los canales decomunicación.

Tabla 3. Identificación de vulnerabilidades

4.3.2 Amenazas

Son entes o escenarios internos o externos que puede hacer uso de una vulnerabilidad

para generar un perjuicio o impacto negativo en la organización (Materializar el riesgo),

o los medios potenciales por los cuales las vulnerabilidades pueden ser explotadas u

ocasionadas.

Los tipos de amenazas son:

o Recurso Humano: Conjunto de personas vinculadas directa o

indirectamente con el Activo de Información (personal externo e interno)

o Procesos: Actividades para la transformación de elementos de entrada,

en productos o servicios para satisfacer una necesidad

o Tecnología: Es el conjunto de herramientas empleadas para soportar el

activo de información. Incluye: hardware, software y telecomunicaciones.o Infraestructura: Es el conjunto de elementos de apoyo para el

funcionamiento de uno de los Activos de Información.


13/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 13 de 31

2211700-OT-037 Versión 01


Info: Línea 195

o Externos: Son eventos asociados a la fuerza de la naturaleza u

ocasionados por terceros, que se escapan en cuanto a su causa y origen

al control de la Entidad.

Para identificar las amenazas se debe tener en cuenta el activo de información, el tipo

de riesgo y las vulnerabilidades inherentes al activo. Adicional a lo anterior se debe

considerar que una misma vulnerabilidad puede ser aprovechada por diferentes

amenazas, por ejemplo la vulnerabilidad inadecuado control de acceso puede ser

aprovechada por el Recurso Humano u ocasionada por procesos.

Ejemplo


CAUSAS

Vulnerabilidades Amenazas

7 CorreoElectrónico

Pérdida de la disponibilidaddel activo de información.

Mantenimientos no adecuados dela infraestructura Procesos

Inadecuada gestión devulnerabilidades técnicas. Procesos

Inadecuada gestión devulnerabilidades técnicas.

RecursoHumano

Falta de documentación de los

servicios o aplicaciones. Procesos

Deficiencia en los canales decomunicación.

Tecnología

Tabla 4. Identificación de amenazas

4.3.3 Descripción del Riesgo y sus Consecuencias

Descripción del riesgo

En este punto se debe definir la relación y la razón por la cual se puede presentar o

materializar el riesgo teniendo en cuenta la amenaza y la vulnerabilidad identificadas.

Es decir, se debe explicar de qué manera la amenaza se puede aprovechar de la

vulnerabilidad para que el tipo de riesgo se materialice.


14/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 14 de 31

2211700-OT-037 Versión 01


Info: Línea 195

Consecuencias

Definir el resultado de la materialización del riesgo. Es decir que pasaría si se llega a

materializar el riesgo. Ejemplo

TIPONombre

delActivo

Tipo deRiesgo

CAUSASDESCRIPCIÓN DEL RIESGO CONSECUENCIAS

Vulnerabilidades Amenazas

7CorreoElectrónico

Pérdida de ladisponibilidaddel activo deinformación.

Mantenimientos noadecuados de lainfraestructura

Procesos

Debido a una falla en el procesoen cuanto a la planeación de losmantenimientos se puedesuscitar la perdida dedisponibilidad del servicio deCorreo Electrónico

Retrasos en larealización de lasactividades delproceso

Falta dedocumentación delos servicios oaplicaciones

Procesos

Debido a la falta de organizaciónen el proceso en cuanto a ladocumentación de la operaciónde la infraestructura de T.I sepuede presentar no disponibilidaddel Servicio de CorreoElectrónico

Retrasos en larealización de lasactividades delproceso

Deficiencia en loscanales decomunicación

Tecnología

Debido a problemas suscitadospor la tecnología se puedenpresentar deficiencias en loscanales de comunicación loscuales llevan a perdida dedisponibilidad del servicio deCorreo Electrónico.

Retrasos en la

realización de lasactividades delproceso

Tabla 5. Descripción del riesgo y consecuencias

4.3.4 Variables para el Análisis

Las variables descritas a continuación se definen para cada para amenaza

vulnerabilidad sin tener en cuenta los controles existentes.

Probabilidad


15/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 15 de 31

2211700-OT-037 Versión 01


Info: Línea 195

Es la posibilidad que la amenaza aproveche la vulnerabilidad para materializar el riesgo.

Para esto se utiliza la siguiente escala:

ESCALA DE PROBABILIDAD

1 Raro Evento que puede ocurrir sólo en circunstancias excepcionales ,entre 0 y una vez cada seis meses

2 Improbable Evento que puede ocurrir en pocas de las circunstancias, entre 2y 5 veces en un semestre.

3 Posible Evento que puede ocurrir en algunas de las circunstancias entreseis y 10 veces en un semestre.

4 Probable Evento que puede ocurrir en casi siempre entre 11 y 15 veces enun semestre.

5 casicerteza Evento que puede ocurrir en la mayoría de las circunstanciasmás de 15 veces en un semestre.

Tabla 6. Escala de probabilidad

Impacto

Son las consecuencias que genera un riesgo una vez se materialice. Para esto se utiliza

la siguiente escala, identificando cual sería el impacto de acuerdo a cada tipo (Usuario,

Procesos, Financiero, Aprendizaje) si aplica. El impacto que se deja en la matriz es el

que haya dado más alto.

ESCALA DE IMPACTO

Nivel Usuario Procesos Financiero Aprendizaje

1 InsignificanteImpactanegativamente laimagen del un rol.

Impacta de formaleve la operaciónde un rol

No tiene impactoFinanciero para lasecretaria o susprocesos

Impacta negativamentela posibilidad de adquirirconocimiento por partede un rol.

2 Menor

Impactanegativamente la

imagen delproceso.

Impactaimportante la

operación delproceso

Se pueden presentarsobrecostos

(reprocesos) a nivelde proceso

Impacta negativamentela posibilidad de adquirir

conocimiento a nivel deun proceso


16/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 16 de 31

2211700-OT-037 Versión 01


Info: Línea 195

ESCALA DE IMPACTO

Nivel Usuario Procesos Financiero Aprendizaje

3 Moderado

Impacta

negativamente laimagen no sólodel procesoevaluado sino deotros procesos

Impacta

negativamente nosólo la operacióndel procesoevaluado sino aotros procesos

Se pueden presentar

sobrecostos(reprocesos) no sóloen el procesoevaluado sino a otrosprocesos.

Impacta negativamente

la oportunidad deadquirir conocimiento nosólo del procesoevaluado sino de otrosprocesos.

4 Mayor

Impactanegativamente laimagen de laSecretaria

Impactanegativamente laoperación de laSecretaria ó susobjetivosmisionales

Se pueden presentarsobrecostos(reprocesos)significativos para laSecretaria general

Impacta negativamentela oportunidad deadquirir conocimiento anivel de todos losprocesos de lasecretaria.

5 Catastrófico

Impactanegativamente laimagen deldistrito

Impacta

negativamente lano solo operaciónde la Secretaria sino otras entidadesdel distrito

Se pueden presentar

sobrecostos(reprocesos)significativos para eldistrito

Impacta negativamentela oportunidad deadquirir conocimiento aldistrito

Tabla 7. Escala de impacto


17/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 17 de 31

2211700-OT-037 Versión 01

Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.coInfo: Línea 195

Ejemplo

TipoNombre del

Activo

Descripción del

ActivoTipo de Riesgo

Causas Descripción del

RiesgoConsecuencia

Análisis del Riesgo

Probabilidad Impacto Zona de RiesgoVulnerabilidades Amenazas

7Correo

Electrónico

Servicio

empleado para el

envió de

comunicaciones

internas y

externas.

Pérdida de la

disponibilidad

del activo de

información.

Mantenimientos no

adecuados de la

infraestructura

Procesos

e o a una

falla en el

proceso en

cuanto a la

planeación de

los

mantenimientos

se puede

suscitar la

perdida de

disponibilidad

del servicio de

Correo

Electrónico

Retrasos en la

realización de las

actividades del

proceso

Probable Mayor

Zona de

riesgo

Extrema

Tabla 8. Análisis del Riesgo.


18/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 18 de 31

2211700-OT-037 Versión 01


Ejemplo

TipoNombre del

Activo

Descripción del

ActivoTipo de Riesgo


RiesgoConsecuencia

Análisis del Riesgo

Probabilidad Impacto Zona de RiesgoVulnerabilidades Amenazas

7Correo

Electrónico

Servicio

empleado para el

envió de

comunicaciones

internas y

externas.

Pérdida de la

disponibilidad

del activo de

información.

Mantenimientos no

adecuados de la

infraestructura

Procesos

Debido a una

falla en el

proceso encuanto a la

planeación de

los

mantenimientos

se puede

suscitar la

perdida de

disponibilidad

del servicio de

Correo

Electrónico

Retrasos en la

realización de las

actividades del

proceso

Probable Mayor

Zona de

riesgo

Extrema

Tabla 8. Análisis del Riesgo.


19/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 19 de 31

2211700-OT-037 Versión 01


4.4 VALORACIÓN DEL RIESGO

4.4.1 Identificación de los Controles Existentes en la Secretaría para laProtección del Activo

Los controles deben ser identificados teniendo en cuenta el par amenaza vulnerabilidad

y el riesgo que se está evaluando. Para la selección de controles se puede tener en

cuenta el siguiente catálogo:

DOMINIO OBJETIVO DE CONTROL Nro. CONTROLES

POLITICA DESEGURIDAD

Política de Seguridad de laInformación

1Documento de la política de seguridad dela información

2Revisión de la política de seguridad de lainformación

ORGANIZACIONDE SEGURIDAD

Organización de la Seguridadde la Información

3Compromiso de la dirección con laseguridad de la información

4Coordinación de la seguridad de lainformación

5 Asignación de responsabilidades para laseguridad de la información

6Proceso de autorización para los serviciosde procesamiento de información

7 Acuerdos de confidencialidad

8 Contacto con las autoridades

9 Contactos con grupos de interés especial

10Revisión independiente de la seguridadde la información

Partes Externas

11Identificación de los riesgos relacionadoscon las partes externas

12Consideraciones de la seguridad cuandose trata con los clientes.

13

Consideraciones de la seguridad en los

acuerdos con terceras partes

GESTIÓN DEACTIVOS

Responsabilidad por losactivos

14 Inventario de Activos de Información

15 Propiedad de los Activos de Información

16Uso aceptable de los Activos deInformación


20/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 20 de 31

2211700-OT-037 Versión 01



Gestión de la prestación del

servicio por terceras partes

45Gestión de la Prestación del servicio porparte de terceros

46Monitoreo y revisión de los servicios porterceras partes

47Gestión de los cambios en los serviciospor terceras partes

Planificación y aceptación delsistema

48 Gestión de la capacidad

49 Gestión de la aceptación del sistema

Protección contra códigosmóviles y maliciosos

50 Controles contra códigos maliciosos

51 Control contra códigos móviles

Respaldo52 Respaldo de la información

Gestión de la Seguridad de lasRedes

53 Controles de las redes

54 Seguridad de los servicios de red

Manejo de los Medios

55 Gestión de los medios removibles

56Eliminación de los medios dealmacenamiento

57Procedimientos para el manejo de lainformación

58Seguridad de la documentación delsistema

Intercambio de Información

59Políticas y procedimientos para elintercambio de información

60 Acuerdos para el intercambio deinformación

61 Gestión de los Medios físicos en tránsito

62Gestión del uso de la mensajeríaelectrónica

63Controles de para la interconexión desistemas de información del negocio

Servicios de ComercioElectrónico

64Protección de la información generada delas actividades de Comercio electrónico

65Protección de la información generada porlas transacciones en línea

66

Protección de la integridad de la

Información disponible al público

Monitoreo

67 Registro de auditorías

68 Monitoreo del uso del sistema

69 Protección de la información del registro

70 Registros del administrador y del operador

71 Registro de fallas


21/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 21 de 31

2211700-OT-037 Versión 01



72 Sincronización de relojes

CONTROL DEACCESO

Requisitos del negocio para elcontrol de acceso 73 Política de control del acceso

Gestión de Acceso deUsuarios

74 Registro de usuarios

75 Gestión de privilegios

76 Gestión de contraseñas para usuarios

77Revisión de los derechos de acceso delos usuarios

Responsabilidades de losusuarios

78 Uso de contraseñas

79 Norma Equipo de usuario desatendido

80

Norma de escritorio despejado y de

Pantalla despejada

Control de Acceso a redes

81 Norma del uso de los servicios en red

82 Autenticación de usuarios paraconexiones externas

83 Identificación de los equipos en las redes

84Protección de los puertos deconfiguración y diagnóstico remoto

85 Separación en las redes

86 Control de las conexiones en red

87 Control del enrutamiento en la red

Control de Acceso al sistemaOperativo

88 Procedimientos de ingreso seguros

89 Identificación y autenticación del usuario

90 Sistema de gestión de contraseñas

91 Uso de las utilidades del sistema

92 Tiempo de inactividad de la sesión

93 Limitación del tiempo de conexiónControl de Acceso a lasAplicaciones y a laInformación

94 Restricción del acceso a la información

95 Aislamiento de sistemas sensibles

Computación Móvil y TrabajoRemoto

96Gestión de la Computación ycomunicaciones móviles

97 Gestión del Trabajo remoto

ADQUISICIÓN,DESARROLLO yMANTENIMIENTODE SISTEMAS DEINFORMACIÓN

Requisitos de seguridad delos sistemas de información 98

Análisis y especificación de los requisitosde seguridad.

Procesamiento correcto de lasaplicaciones

99 Validación de los datos de entrada

100 Control del procesamiento interno

101 Verificación de la Integridad del mensaje

102 Validación de los datos de salida


22/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 22 de 31

2211700-OT-037 Versión 01



Controles Criptográficos 103Política sobre el uso de controlescriptográficos

104 Gestión de llaves

Seguridad de los archivos delsistema

105 Control del software operativo

106Protección de los datos de prueba delsistema

107Control del acceso al código fuente deprogramas

Seguridad en los procesos dedesarrollo y soporte

108 Procedimientos de control de cambios

109

Revisión técnica de las aplicacionesdespués de los cambios en el sistemaoperativo

110Restricciones en los cambios a lospaquetes de software

111 Normativa relacionada con la Fuga deInformación

112Desarrollo de software contratadoexternamente

Gestión de la VulnerabilidadTécnica 113 Control de las vulnerabilidades técnicas

GESTION DEINCIDENTES -MONITOREO

Reporte sobre los eventos ylas debilidades de seguridadde la información

114Reporte sobre los eventos de seguridadde la información

115Reporte sobre las debilidades en laseguridad

Gestión de los incidentes y las

mejoras en la seguridad de lainformación

116Responsabilidades y procedimientos parala gestión de incidentes

117 Aprendizaje debido a los incidentes deseguridad de la información

118Procedimiento para recolección deevidencias

GESTIÓN DE LACONTINUIDAD DELNEGOCIO

Aspectos de seguridad de lainformación en la Gestión dela Continuidad de Negocios

119

Inclusión de la seguridad de lainformación en el proceso de gestión de lacontinuidad del negocio

120Continuidad del negocio y evaluación deriesgos

121

Desarrollo e implementación de planes decontinuidad que incluyan la seguridad dela información

122

Estructura para la planificación de la

continuidad del negocio

123Pruebas, mantenimiento y reevaluaciónde los planes de continuidad del negocio

CUMPLIMIENTOCumplimiento de losrequisitos legales

124 Identificación de la legislación aplicable

125 Derechos de propiedad intelectual (DPI)

126 Protección de los registros de la


23/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 23 de 31

2211700-OT-037 Versión 01



organización

127Protección de los datos y privacidad de lainformación personal

128

Prevención del uso inadecuado de losservicios de procesamiento deinformación

129Reglamentación de los controlescriptográficos

Cumplimiento de las Políticasy las normas de seguridad ycumplimiento técnico

130Cumplimiento con las políticas y lasnormas de seguridad

131 Verificación del cumplimiento técnico

Consideraciones de laAuditoría de los sistemas deInformación

132Controles de auditoría de los sistemas deinformación

133Protección de las herramientas deauditoría de los sistemas de información

Tabla 9. Catálogo de controles.

4.4.2 Naturaleza de controlLos controles pueden ser preventivos o correctivos

Control Preventivos

Los controles preventivos son aquellos que están enfocados en la mitigación de las

causas (amenaza - vulnerabilidad) para evitar su materialización.

Controles Correctivos

Los controles correctivos están enfocados en la recuperación de los activos luego de la

materialización del riesgo.

4.4.3 Características del Control

Para todos los controles identificados se debe especificar si el control se encuentra

documentado, si el control se está aplicando y si el control es efectivo es minimizar el

riesgo.

4.4.4 Factores


24/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 24 de 31

2211700-OT-037 Versión 01


Valoración del control El control se encuentra

documentado Se aplica el control Es efectivo para minimizar el riesgo SI NO SI NO SI NO

Tabla 10. Factores calificación de controles.

4.4.5 Variables para la valoración

Para establecer la valoración del riesgo se debe tener en cuenta la probabilidad y el

impacto de cada par amenaza vulnerabilidad y los controles existentes para la

mitigación del riesgo.

4.4.6 Probabilidad.

Es la posibilidad que la amenaza aproveche la vulnerabilidad para materializar el riesgo.

Para esto se utiliza la siguiente escala:

ESCALA DE PROBABILIDAD

1 Raro Evento que puede ocurrir sólo en circunstancias excepcionales , entre0 y una vez cada seis meses

2 Improbable Evento que puede ocurrir en pocas de las circunstancias, entre 2 y 5veces en un semestre.

3 Posible Evento que puede ocurrir en algunas de las circunstancias entre seis y10 veces en un semestre.

4 Probable Evento que puede ocurrir en casi siempre entre 11 y 15 veces en unsemestre.

5 casi certeza Evento que puede ocurrir en la mayoría de las circunstancias más de15 veces en un semestre.

Tabla 11. Escala de probabilidad

4.4.7 Impacto


25/31


26/31


CÓDIGO 2213200-OT-037

VERSIÓN 01

PÁGINA: 26 de 31

2211700-OT-037 Versión 01


Ejemplo

Tipo

Nombr e del

Activo

Descripción del

Activo

Tipo deRiesgo


Riesgo

Consecuencia

Análisis delRiesgo

ControlesAsociado

s

Naturaleza del

Control

Valoración del controlValoración del

Riesgo

Probabilidad

Impacto

Zona deRiesgo

El controlse

encuentra

documentado

Seaplica

el

control

Esefectivo

paraminimiz

ar elriesgo

Probabilidad

Impacto

Descripción del impacto Descripción delimpacto

Zona deRiesgo

Vulnerabilidades

Amenazas SI NO

SI

NO

SI

NOUsua

rioProce

soFinanci

ero Aprendi

zaje

7CorreoElectrónico

Servicioempleadopara elenvió decomunicacionesinternas yexternas.

Pérdidade ladisponibilidad delactivo deinformación.

Mantenimientos noadecuadosde lainfraestructura

Procesos

Debido auna fallaen elproceso encuanto a laplaneaciónde losmantenimientos sepuedesuscitar laperdida dedisponibilidad delservicio deCorreoElectrónico

Retrasosen larealizaciónde lasactividades delproceso

ProbableMayor

Zona de riesgo

Extrema

Procedimientos decontratoconproveedor es deTecnologíadeInformación

Preventivo

x x x

PosibleModer ado

XProcesos

Zona de

riesgo Alta

Contratosdemantenimientopreventivode lainfraestructura detecnológica

Preventivo

x x x

Contratosdemantenimientocorrectivode lainfraestructura de

tecnológica

Correctivo

x x x

Tabla 13. Valoración del Riesgo


27/31


CÓDIGO 2211700-OT-037

VERSIÓN 01

PÁGINA: 27 de 31

2211700-OT-037 Versión 01


4.4.8 Nivel de Riesgo Residual

Corresponde al nivel de riesgo de la Secretaria con los controles existentes, el nivel de

riesgo residual da la pauta para la definición de nuevos controles o mejoras de los

existentes teniendo en cuenta que el nivel aceptable de riesgo es el nivel bajo para los

demás niveles se deberá definir planes para su tratamiento.

PROBABILIDADIMPACTO

1 2 3 4 5

Insignificante Menor Moderado Mayor Catastrófico

1Raro B B M A A

2Improbable B B M A E

3Posible B M A E E

4Probable M A A E E

5Casi Certeza A A E E E

B : Zona de Riesgo Baja, Asumir el Riesgo, Acción Preventiva, Monitorización del Riesgo

M : Zona de riesgo Moderada, asumir el riesgo, reducir el riesgo, Definir planes de tratamiento

A : Zona de riesgo Alta, reducir el riesgo, evitar el riesgo, compartir o transferir, Definir planes de tratamiento

E : Zona de riesgo Extrema, evitar el riesgo, reducir el riesgo, compartir o transferir, Definir planes detratamiento

Figura 1. Matriz de Riesgo.


28/31


CÓDIGO 2211700-OT-037

VERSIÓN 01

PÁGINA: 28 de 31

2211700-OT-037 Versión 01


4.5 TRATAMIENTO DE LOS RIESGOS

Una vez se ha calculado el riesgo residual se procede a definir los proyectos que van a

permitir disminuir los riesgos de los niveles Inaceptable, Importante, Moderado y Tolerable

al nivel Aceptable:

Los r iesgos cal i f icados com o Inaceptable, Importante, Moderado y Tolerable

serán in cluid os dentro de lo s p lanes de m it igación.

4.5.1 Opciones para el Tratamiento de los Riesgos Residuales Extremos yAltos

Las opciones para el tratamiento de los riesgos son las siguientes:

Evitar el riesgo: tomar las medidas encaminadas a prevenir su materialización

Reducir el riesgo: implica tomar medidas encaminadas a disminuir tanto la

probabilidad (medidas de prevención), como el impacto (medidas de protección) Compartir o transferir el riesgo: Reduce su efecto a través del traspaso de las

pérdidas a otras organizaciones, como el caso de los contratos de seguros o a través

de otros medio que permite distribuir la porción de riesgo con otra entidad como los

traspasos de riesgo compartido.

Asumir el riesgo: acepta la pérdida residual probable y elaborar planes de

contingencia para su manejo.

4.5.2 Acciones de MitigaciónDetermine las acciones de tratamiento identificando responsables, cronograma eindicadores entre otros.


29/31


CÓDIGO 2211700-OT-037

VERSIÓN 01

PÁGINA: 29 de 31

2211700-OT-037 Versión 01



30/31


CÓDIGO 2211700-OT-037

VERSIÓN 01

PÁGINA: 30 de 31

2211700-OT-037 Versión 01


4.6 REVISIÓN Y MONITORIZACIÓNUna vez diseñado y validado el plan para administrar los riesgos, en el mapa de riesgos, es

necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una

amenaza para la secretaria.

El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar

la eficacia en su implementación adelantando revisiones sobre la marcha para evidenciar

todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las

acciones preventivas. A partir del análisis y calificación de riesgos, se debe formular un plan para el tratamiento de

riesgos que identifique la gestión apropiada, los recursos, responsabilidad y prioridades

para manejar los riesgos de seguridad de la información.

La Secretaria debe ejecutar procedimientos de seguimiento y revisión para detectar

oportunamente los errores en los procesamientos e identificar con prontitud incidentes e

intentos de violación de seguridad, así como determinar si las acciones tomadas para

solucionar un problema de seguridad fueron eficaces.


31/31


CÓDIGO 2211700-OT-037

VERSIÓN 01

PÁGINA: 31 de 31

CONTROL DE CAMBIOS

CTIVIDADES QUESUFRIERON CAMBIOS

CAMBIOS EFECTUADOSFECHA DELCAMBIO

ERSIÓN

Creación del Documento N.A. 08-08-2012 01

valoración de riesgos de información.pdf

Documents