valoración de riesgos de información.pdf
TRANSCRIPT
-
8/15/2019 Valoración de Riesgos de Información.pdf
1/31
-
8/15/2019 Valoración de Riesgos de Información.pdf
2/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 2 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.co
Info: Línea 195
TABLA DE CONTENIDO
GLOSARIO .................................................................................................................... 4 1 INTRODUCCIÓN ................................................................................................ 6 2 PREMISA ............................................................................................................ 6 3 GENERALIDADES .............................................................................................. 7 3.1.1 Definir el personal involucrado en los talleres de análisis de riesgo ..................... 8 4 DESCRIPCIÓN ................................................................................................... 9 4.1 DETERMINAR EL CONTEXTO ESTRATÉGICO ................................................. 9 4.1.1 Compromiso de la Alta y Media Dirección ........................................................... 9 4.2 IDENTIFICACIÓN DEL RIESGO .......................................................................... 9
4.2.1 Identificación de los activos a analizar ................................................................. 9 4.2.2 Identificación del Tipo de Riesgo ....................................................................... 10 4.3 ANALIZAR LOS RIESGOS ................................................................................ 11 4.3.1 Vulnerabilidades ................................................................................................ 11 4.3.2 Amenazas ......................................................................................................... 12 4.3.3 Descripción del Riesgo y sus Consecuencias .................................................... 13 4.3.4 Variables para el Análisis .................................................................................. 14 4.4 VALORACIÓN DEL RIESGO ............................................................................. 19 4.4.1 Identificación de los Controles Existentes en la Secretaría para la Protección del Activo 19 4.4.2 Naturaleza de control ........................................................................................ 23 4.4.3 Características del Control ................................................................................ 23
4.4.4 Factores ............................................................................................................ 23 4.4.5 Variables para la valoración .............................................................................. 24 4.4.6 Probabilidad. ..................................................................................................... 24 4.4.7 Impacto ............................................................................................................. 24 4.4.8 Nivel de Riesgo Residual................................................................................... 27 4.5 TRATAMIENTO DE LOS RIESGOS .................................................................. 28 4.5.1 Opciones para el Tratamiento de los Riesgos Residuales Extremos y Altos ..... 28 4.5.2 Acciones de Mitigación ...................................................................................... 28 4.6 REVISIÓN Y MONITORIZACIÓN ....................................................................... 30
-
8/15/2019 Valoración de Riesgos de Información.pdf
3/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 3 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.co
Info: Línea 195
LISTADO DE TABLAS
Tabla 1. Ejemplo Valoración Activos ................................................................................ 9
Tabla 2. Identificación del riesgo .................................................................................... 11
Tabla 3. Identificación de vulnerabilidades ..................................................................... 12
Tabla 4. Identificación de amenazas .............................................................................. 13
Tabla 5. Descripción del riesgo y consecuencias ........................................................... 14
Tabla 6. Escala de probabilidad ..................................................................................... 15
Tabla 7. Escala de impacto ............................................................................................ 16
Tabla 8. Análisis del Riesgo. .......................................................................................... 17
Tabla 9. Catálogo de controles. ...................................................................................... 23
Tabla 10. Factores calificación de controles................................................................... 24
Tabla 11. Escala de probabilidad ................................................................................... 24
Tabla 12. Escala de impacto .......................................................................................... 25
Tabla 13. Valoración del Riesgo ..................................................................................... 26
LISTADO DE FIGURAS
Figura 2. Matriz de Riesgo. ............................................................................................ 27
-
8/15/2019 Valoración de Riesgos de Información.pdf
4/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 4 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.co
Info: Línea 195
GLOSARIO
Causa: Son los medios, circunstancias y agentes que generan los riesgos. 1
Amenazas: Es un ente o escenario interno o externo que puede hacer uso de una
vulnerabilidad para generar un perjuicio o impacto negativo en la organización.
(Materializar el riesgo), o los medios potenciales por los cuales las vulnerabilidades
pueden ser explotadas u ocasionadas.
Vulnerabilidad:
Es una falencia o debilidad que puede estar presente en la tecnología,
las personas o en las políticas y procedimientos de la entidad.
Riesgo en la seguridad de la información: Es un escenario bajo el cual una amenaza
determinada puede explotar las vulnerabilidades de los activos o grupos de activos
generando un impacto negativo a la Secretaría General y evitando que ésta pueda
cumplir con sus objetivos.
Probabilidad: Es la posibilidad que la amenaza aproveche la vulnerabilidad para
materializar el riesgo.
Impacto: Son las consecuencias que genera un riesgo una vez se materialice.
Controles: Acciones o mecanismos definidos para prevenir o reducir el impacto de los
eventos que ponen en riesgo, la adecuada ejecución de las actividades y tareas
requeridas para el logro de objetivos de los procesos de una entidad.
Controles Preventivos: aquellos que actúan para eliminar las causas del riesgo para
prevenir su ocurrencia o materialización2.
1 Tomado de Procedimiento para la administración del riesgo – Cod. 2210111-PR-214 – Secretaria General de la
Alcaldía Mayor.
-
8/15/2019 Valoración de Riesgos de Información.pdf
5/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 5 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.co
Info: Línea 195
Controles Correctivos: aquellos que permiten el restablecimiento de la actividad
después de ser detectado un evento no deseable; también permiten la modificación de
las acciones que propiciaron su ocurrencia3.
2 IDEM3 IDEM
-
8/15/2019 Valoración de Riesgos de Información.pdf
6/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 6 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.co
Info: Línea 195
1 INTRODUCCIÓN
El análisis de riesgos de los activos de información permite identificar, analizar, evaluar
y definir el manejo de los riesgos, para así apoyar el cumplimiento de los objetivos de la
entidad, y disminuir a un nivel aceptable el impacto de la materialización de dichos
riesgos; la gestión de riesgos permite que los responsables de los procesos conozcan
los riesgos de sus activos de información y acompañen de manera más efectiva la
implementación de los controles y acciones de mejora.
2 PREMISA
Antes de iniciar el análisis de riesgos se requiere que cada proceso de la SecretaríaGeneral diligencie el inventario de activos de información con su respectiva valoración
de acuerdo a lo establecido en la Guía para el Inventario y la Clasificación de Activos de
Información de la Secretaría General de la Alcaldía Mayor de Bogotá D.C. (2213200-
GS-004). Los activos de información a los cuales se les realizará el proceso de
identificación de riesgos serán a los que tengan un valor de Muy Alto en el valor total
de los activos de información de acuerdo con lo registrado por cada proceso en el
inventario de activos de información.
-
8/15/2019 Valoración de Riesgos de Información.pdf
7/31
-
8/15/2019 Valoración de Riesgos de Información.pdf
8/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 8 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.co
Info: Línea 195
o Estimar los niveles de los riesgos.
- Identificación de la probabilidad
- Identificación del impacto
Valorar el riesgo
o Estimar los niveles de los riesgos.
- Identificación de los controles existentes
o Estimar los niveles de los riesgos.
- Identificación de la probabilidad
- Identificación del impacto
Evaluar e Identificar las opciones para el tratamiento de los riesgos.
Seleccionar los controles para el tratamiento de los riesgos
3.1.1 Definir el personal involucrado en los talleres de análisis de riesgo
El personal encargado de realizar del análisis de riesgos sobre los activos de
información en lo posible debe ser el mismo que realizó la identificación y valoración de
los activos de información de cada uno de los procesos. Se debe tener en cuenta que el
personal que lo realice debe tener pleno conocimiento del proceso al cual pertenecenlos activos y de la interacción de éstos en el proceso en cualquier caso podrá solicitar
apoyo de otros funcionarios del proceso.
-
8/15/2019 Valoración de Riesgos de Información.pdf
9/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 9 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.co
Info: Línea 195
4 DESCRIPCIÓN
4.1 DETERMINAR EL CONTEXTO ESTRATÉGICO
4.1.1 Compromiso de la Alta y Media Dirección
Para el éxito en la implementación de una adecuada administración del riesgo, es
indispensable el compromiso de la Alta Dirección como encargada, en primera
instancia, de estimular la cultura de la identificación y prevención de riesgos y en
segunda instancia de definir las políticas de administración de riesgos. Para lograrlo es
importante la definición de canales directos de comunicación y el apoyo a todas lasacciones emprendidas en este sentido, propiciando los espacios y asignando los
recursos necesarios. Así mismo, debe designar a un directivo que asesore y apoye todo
el proceso de diseño e implementación del Componente de Administración del Riesgo.
4.2 IDENTIFICACIÓN DEL RIESGO
Para realizar la actividad de análisis de riesgos se debe tener en cuenta la forma
establecida para la organización de la información descrita en este procedimiento.
4.2.1 Identificación de los activos a analizar
De la matriz de inventario de activos por procesos se deben identificar los activos de
información en los cuales el valor total del activo es Muy Alto (MA) debido a que estos
serán los que se tendrán en cuenta para realizar el análisis de riesgo.
NombreActivo
VALOR
Confidencialidad(MB / B / M /A / MA)
Integridad(MB / B / M /A / MA)
Disponibilidad(MB / B / M /A / MA)
Valor(MB / B / M /A / MA)
CorreoElectrónico B MA A MA
Tabla 1. Ejemplo Valoración Activos
Estos activos deben ser diligenciados con el nombre y descripción del activorespectivamente.
Tipo Nombre del Activo Descripción del Activo
-
8/15/2019 Valoración de Riesgos de Información.pdf
10/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 10 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.co
Info: Línea 195
7 Correo ElectrónicoServicio empleado para el envío de comunicacionesinternas y externas.
4.2.2 Identificación del Tipo de RiesgoLas tipologías de riesgo que se deben tener en cuenta para esta actividad son los
siguientes:
Acceso no autorizado o perdida de confidencialidad del activo de información.
Pérdida de la integridad del activo información.
Pérdida de la disponibilidad del activo de información.
Los tipos de riesgo que se analizarán a cada activo serán aquellos en los cuales el valor
en de la propiedad este en los niveles MA, A o M, para esto se debe consultar el
inventario de activos de información del proceso. Es decir que si un activo de
información fue valorado como muestra el siguiente cuadro:
NombreActivo
VALOR
Confidencialidad(MB / B / M /A / MA)
Integridad(MB / B / M /A / MA)
Disponibilidad(MB / B / M /A / MA)
Valor(MB / B / M /A / MA)
CorreoElectrónico B MA A MA
Los tipos de riesgo que serán analizados en el activo serán:
Pérdida de la integridad del activo información.
Pérdida de la disponibilidad del activo de información.
En este caso el acceso no autorizado o pérdida de confidencialidad del activo de
información no se analizará debido a que su valor es Bajo (B).
Ejemplo
Tipo Nombredel Activo Tipo del Riesgo
7 CorreoElectrónico Pérdida de la disponibilidad del activo de información.
-
8/15/2019 Valoración de Riesgos de Información.pdf
11/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 11 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.co
Info: Línea 195
Pérdida de la integridad del activo información.
Tabla 2. Identificación del riesgo
4.3 ANALIZAR LOS RIESGOS
Para analizar los riesgos se debe identificar las causas del riesgo las cuales son los
medios, circunstancias y agentes que generan los riesgos5 y estas se dividen en dos
elementos que son:
4.3.1 Vulnerabilidades
Las vulnerabilidades son falencias o debilidades que pueden estar presentes en la
tecnología, las personas o en las políticas y procedimientos de la entidad.
Para la identificación de las vulnerabilidades se debe tener en cuenta:
o El activo de información que se está analizando y el tipo de riesgo
identificado, de acuerdo a esto, se comienza a describir que debilidades
tiene este activo que puedan llevar a que el tipo de riesgo se materialice.
o Las pruebas de Intrusión realizadas, dado que muchos de los activos de
información son almacenados, distribuidos, resguardados y protegidos por
la infraestructura de información y tecnología.
o Informes de Auditorías sobre el SGSI.
Ejemplo
TIPO Nombredel Activo Tipo de Riesgo
CAUSAS
Vulnerabilidades
5 Tomado de Procedimiento para la administración del riesgo – Cod. 2210111-PR-214 – Secretaria General de la
Alcaldía Mayor.
-
8/15/2019 Valoración de Riesgos de Información.pdf
12/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 12 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.co
Info: Línea 195
TIPO Nombredel Activo Tipo de Riesgo
CAUSAS
Vulnerabilidades
7 CorreoElectrónico
Pérdida de la disponibilidaddel activo de información.
Mantenimientos no adecuados de lainfraestructura Inadecuada gestión devulnerabilidades técnicas. Falta de documentación de losservicios o aplicaciones. Deficiencia en los canales decomunicación.
Tabla 3. Identificación de vulnerabilidades
4.3.2 Amenazas
Son entes o escenarios internos o externos que puede hacer uso de una vulnerabilidad
para generar un perjuicio o impacto negativo en la organización (Materializar el riesgo),
o los medios potenciales por los cuales las vulnerabilidades pueden ser explotadas u
ocasionadas.
Los tipos de amenazas son:
o Recurso Humano: Conjunto de personas vinculadas directa o
indirectamente con el Activo de Información (personal externo e interno)
o Procesos: Actividades para la transformación de elementos de entrada,
en productos o servicios para satisfacer una necesidad
o Tecnología: Es el conjunto de herramientas empleadas para soportar el
activo de información. Incluye: hardware, software y telecomunicaciones.o Infraestructura: Es el conjunto de elementos de apoyo para el
funcionamiento de uno de los Activos de Información.
-
8/15/2019 Valoración de Riesgos de Información.pdf
13/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 13 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.co
Info: Línea 195
o Externos: Son eventos asociados a la fuerza de la naturaleza u
ocasionados por terceros, que se escapan en cuanto a su causa y origen
al control de la Entidad.
Para identificar las amenazas se debe tener en cuenta el activo de información, el tipo
de riesgo y las vulnerabilidades inherentes al activo. Adicional a lo anterior se debe
considerar que una misma vulnerabilidad puede ser aprovechada por diferentes
amenazas, por ejemplo la vulnerabilidad inadecuado control de acceso puede ser
aprovechada por el Recurso Humano u ocasionada por procesos.
Ejemplo
TIPO Nombredel Activo Tipo de Riesgo
CAUSAS
Vulnerabilidades Amenazas
7 CorreoElectrónico
Pérdida de la disponibilidaddel activo de información.
Mantenimientos no adecuados dela infraestructura Procesos
Inadecuada gestión devulnerabilidades técnicas. Procesos
Inadecuada gestión devulnerabilidades técnicas.
RecursoHumano
Falta de documentación de los
servicios o aplicaciones. Procesos
Deficiencia en los canales decomunicación.
Tecnología
Tabla 4. Identificación de amenazas
4.3.3 Descripción del Riesgo y sus Consecuencias
Descripción del riesgo
En este punto se debe definir la relación y la razón por la cual se puede presentar o
materializar el riesgo teniendo en cuenta la amenaza y la vulnerabilidad identificadas.
Es decir, se debe explicar de qué manera la amenaza se puede aprovechar de la
vulnerabilidad para que el tipo de riesgo se materialice.
-
8/15/2019 Valoración de Riesgos de Información.pdf
14/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 14 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.co
Info: Línea 195
Consecuencias
Definir el resultado de la materialización del riesgo. Es decir que pasaría si se llega a
materializar el riesgo. Ejemplo
TIPONombre
delActivo
Tipo deRiesgo
CAUSASDESCRIPCIÓN DEL RIESGO CONSECUENCIAS
Vulnerabilidades Amenazas
7CorreoElectrónico
Pérdida de ladisponibilidaddel activo deinformación.
Mantenimientos noadecuados de lainfraestructura
Procesos
Debido a una falla en el procesoen cuanto a la planeación de losmantenimientos se puedesuscitar la perdida dedisponibilidad del servicio deCorreo Electrónico
Retrasos en larealización de lasactividades delproceso
Falta dedocumentación delos servicios oaplicaciones
Procesos
Debido a la falta de organizaciónen el proceso en cuanto a ladocumentación de la operaciónde la infraestructura de T.I sepuede presentar no disponibilidaddel Servicio de CorreoElectrónico
Retrasos en larealización de lasactividades delproceso
Deficiencia en loscanales decomunicación
Tecnología
Debido a problemas suscitadospor la tecnología se puedenpresentar deficiencias en loscanales de comunicación loscuales llevan a perdida dedisponibilidad del servicio deCorreo Electrónico.
Retrasos en la
realización de lasactividades delproceso
Tabla 5. Descripción del riesgo y consecuencias
4.3.4 Variables para el Análisis
Las variables descritas a continuación se definen para cada para amenaza
vulnerabilidad sin tener en cuenta los controles existentes.
Probabilidad
-
8/15/2019 Valoración de Riesgos de Información.pdf
15/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 15 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.co
Info: Línea 195
Es la posibilidad que la amenaza aproveche la vulnerabilidad para materializar el riesgo.
Para esto se utiliza la siguiente escala:
ESCALA DE PROBABILIDAD
1 Raro Evento que puede ocurrir sólo en circunstancias excepcionales ,entre 0 y una vez cada seis meses
2 Improbable Evento que puede ocurrir en pocas de las circunstancias, entre 2y 5 veces en un semestre.
3 Posible Evento que puede ocurrir en algunas de las circunstancias entreseis y 10 veces en un semestre.
4 Probable Evento que puede ocurrir en casi siempre entre 11 y 15 veces enun semestre.
5 casicerteza Evento que puede ocurrir en la mayoría de las circunstanciasmás de 15 veces en un semestre.
Tabla 6. Escala de probabilidad
Impacto
Son las consecuencias que genera un riesgo una vez se materialice. Para esto se utiliza
la siguiente escala, identificando cual sería el impacto de acuerdo a cada tipo (Usuario,
Procesos, Financiero, Aprendizaje) si aplica. El impacto que se deja en la matriz es el
que haya dado más alto.
ESCALA DE IMPACTO
Nivel Usuario Procesos Financiero Aprendizaje
1 InsignificanteImpactanegativamente laimagen del un rol.
Impacta de formaleve la operaciónde un rol
No tiene impactoFinanciero para lasecretaria o susprocesos
Impacta negativamentela posibilidad de adquirirconocimiento por partede un rol.
2 Menor
Impactanegativamente la
imagen delproceso.
Impactaimportante la
operación delproceso
Se pueden presentarsobrecostos
(reprocesos) a nivelde proceso
Impacta negativamentela posibilidad de adquirir
conocimiento a nivel deun proceso
-
8/15/2019 Valoración de Riesgos de Información.pdf
16/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 16 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.co
Info: Línea 195
ESCALA DE IMPACTO
Nivel Usuario Procesos Financiero Aprendizaje
3 Moderado
Impacta
negativamente laimagen no sólodel procesoevaluado sino deotros procesos
Impacta
negativamente nosólo la operacióndel procesoevaluado sino aotros procesos
Se pueden presentar
sobrecostos(reprocesos) no sóloen el procesoevaluado sino a otrosprocesos.
Impacta negativamente
la oportunidad deadquirir conocimiento nosólo del procesoevaluado sino de otrosprocesos.
4 Mayor
Impactanegativamente laimagen de laSecretaria
Impactanegativamente laoperación de laSecretaria ó susobjetivosmisionales
Se pueden presentarsobrecostos(reprocesos)significativos para laSecretaria general
Impacta negativamentela oportunidad deadquirir conocimiento anivel de todos losprocesos de lasecretaria.
5 Catastrófico
Impactanegativamente laimagen deldistrito
Impacta
negativamente lano solo operaciónde la Secretaria sino otras entidadesdel distrito
Se pueden presentar
sobrecostos(reprocesos)significativos para eldistrito
Impacta negativamentela oportunidad deadquirir conocimiento aldistrito
Tabla 7. Escala de impacto
-
8/15/2019 Valoración de Riesgos de Información.pdf
17/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 17 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.coInfo: Línea 195
Ejemplo
TipoNombre del
Activo
Descripción del
ActivoTipo de Riesgo
Causas Descripción del
RiesgoConsecuencia
Análisis del Riesgo
Probabilidad Impacto Zona de RiesgoVulnerabilidades Amenazas
7Correo
Electrónico
Servicio
empleado para el
envió de
comunicaciones
internas y
externas.
Pérdida de la
disponibilidad
del activo de
información.
Mantenimientos no
adecuados de la
infraestructura
Procesos
e o a una
falla en el
proceso en
cuanto a la
planeación de
los
mantenimientos
se puede
suscitar la
perdida de
disponibilidad
del servicio de
Correo
Electrónico
Retrasos en la
realización de las
actividades del
proceso
Probable Mayor
Zona de
riesgo
Extrema
Tabla 8. Análisis del Riesgo.
-
8/15/2019 Valoración de Riesgos de Información.pdf
18/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 18 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.coInfo: Línea 195
Ejemplo
TipoNombre del
Activo
Descripción del
ActivoTipo de Riesgo
Causas Descripción del
RiesgoConsecuencia
Análisis del Riesgo
Probabilidad Impacto Zona de RiesgoVulnerabilidades Amenazas
7Correo
Electrónico
Servicio
empleado para el
envió de
comunicaciones
internas y
externas.
Pérdida de la
disponibilidad
del activo de
información.
Mantenimientos no
adecuados de la
infraestructura
Procesos
Debido a una
falla en el
proceso encuanto a la
planeación de
los
mantenimientos
se puede
suscitar la
perdida de
disponibilidad
del servicio de
Correo
Electrónico
Retrasos en la
realización de las
actividades del
proceso
Probable Mayor
Zona de
riesgo
Extrema
Tabla 8. Análisis del Riesgo.
-
8/15/2019 Valoración de Riesgos de Información.pdf
19/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 19 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.coInfo: Línea 195
4.4 VALORACIÓN DEL RIESGO
4.4.1 Identificación de los Controles Existentes en la Secretaría para laProtección del Activo
Los controles deben ser identificados teniendo en cuenta el par amenaza vulnerabilidad
y el riesgo que se está evaluando. Para la selección de controles se puede tener en
cuenta el siguiente catálogo:
DOMINIO OBJETIVO DE CONTROL Nro. CONTROLES
POLITICA DESEGURIDAD
Política de Seguridad de laInformación
1Documento de la política de seguridad dela información
2Revisión de la política de seguridad de lainformación
ORGANIZACIONDE SEGURIDAD
Organización de la Seguridadde la Información
3Compromiso de la dirección con laseguridad de la información
4Coordinación de la seguridad de lainformación
5 Asignación de responsabilidades para laseguridad de la información
6Proceso de autorización para los serviciosde procesamiento de información
7 Acuerdos de confidencialidad
8 Contacto con las autoridades
9 Contactos con grupos de interés especial
10Revisión independiente de la seguridadde la información
Partes Externas
11Identificación de los riesgos relacionadoscon las partes externas
12Consideraciones de la seguridad cuandose trata con los clientes.
13
Consideraciones de la seguridad en los
acuerdos con terceras partes
GESTIÓN DEACTIVOS
Responsabilidad por losactivos
14 Inventario de Activos de Información
15 Propiedad de los Activos de Información
16Uso aceptable de los Activos deInformación
-
8/15/2019 Valoración de Riesgos de Información.pdf
20/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 20 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.coInfo: Línea 195
DOMINIO OBJETIVO DE CONTROL Nro. CONTROLES
Gestión de la prestación del
servicio por terceras partes
45Gestión de la Prestación del servicio porparte de terceros
46Monitoreo y revisión de los servicios porterceras partes
47Gestión de los cambios en los serviciospor terceras partes
Planificación y aceptación delsistema
48 Gestión de la capacidad
49 Gestión de la aceptación del sistema
Protección contra códigosmóviles y maliciosos
50 Controles contra códigos maliciosos
51 Control contra códigos móviles
Respaldo52 Respaldo de la información
Gestión de la Seguridad de lasRedes
53 Controles de las redes
54 Seguridad de los servicios de red
Manejo de los Medios
55 Gestión de los medios removibles
56Eliminación de los medios dealmacenamiento
57Procedimientos para el manejo de lainformación
58Seguridad de la documentación delsistema
Intercambio de Información
59Políticas y procedimientos para elintercambio de información
60 Acuerdos para el intercambio deinformación
61 Gestión de los Medios físicos en tránsito
62Gestión del uso de la mensajeríaelectrónica
63Controles de para la interconexión desistemas de información del negocio
Servicios de ComercioElectrónico
64Protección de la información generada delas actividades de Comercio electrónico
65Protección de la información generada porlas transacciones en línea
66
Protección de la integridad de la
Información disponible al público
Monitoreo
67 Registro de auditorías
68 Monitoreo del uso del sistema
69 Protección de la información del registro
70 Registros del administrador y del operador
71 Registro de fallas
-
8/15/2019 Valoración de Riesgos de Información.pdf
21/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 21 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.coInfo: Línea 195
DOMINIO OBJETIVO DE CONTROL Nro. CONTROLES
72 Sincronización de relojes
CONTROL DEACCESO
Requisitos del negocio para elcontrol de acceso 73 Política de control del acceso
Gestión de Acceso deUsuarios
74 Registro de usuarios
75 Gestión de privilegios
76 Gestión de contraseñas para usuarios
77Revisión de los derechos de acceso delos usuarios
Responsabilidades de losusuarios
78 Uso de contraseñas
79 Norma Equipo de usuario desatendido
80
Norma de escritorio despejado y de
Pantalla despejada
Control de Acceso a redes
81 Norma del uso de los servicios en red
82 Autenticación de usuarios paraconexiones externas
83 Identificación de los equipos en las redes
84Protección de los puertos deconfiguración y diagnóstico remoto
85 Separación en las redes
86 Control de las conexiones en red
87 Control del enrutamiento en la red
Control de Acceso al sistemaOperativo
88 Procedimientos de ingreso seguros
89 Identificación y autenticación del usuario
90 Sistema de gestión de contraseñas
91 Uso de las utilidades del sistema
92 Tiempo de inactividad de la sesión
93 Limitación del tiempo de conexiónControl de Acceso a lasAplicaciones y a laInformación
94 Restricción del acceso a la información
95 Aislamiento de sistemas sensibles
Computación Móvil y TrabajoRemoto
96Gestión de la Computación ycomunicaciones móviles
97 Gestión del Trabajo remoto
ADQUISICIÓN,DESARROLLO yMANTENIMIENTODE SISTEMAS DEINFORMACIÓN
Requisitos de seguridad delos sistemas de información 98
Análisis y especificación de los requisitosde seguridad.
Procesamiento correcto de lasaplicaciones
99 Validación de los datos de entrada
100 Control del procesamiento interno
101 Verificación de la Integridad del mensaje
102 Validación de los datos de salida
-
8/15/2019 Valoración de Riesgos de Información.pdf
22/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 22 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.coInfo: Línea 195
DOMINIO OBJETIVO DE CONTROL Nro. CONTROLES
Controles Criptográficos 103Política sobre el uso de controlescriptográficos
104 Gestión de llaves
Seguridad de los archivos delsistema
105 Control del software operativo
106Protección de los datos de prueba delsistema
107Control del acceso al código fuente deprogramas
Seguridad en los procesos dedesarrollo y soporte
108 Procedimientos de control de cambios
109
Revisión técnica de las aplicacionesdespués de los cambios en el sistemaoperativo
110Restricciones en los cambios a lospaquetes de software
111 Normativa relacionada con la Fuga deInformación
112Desarrollo de software contratadoexternamente
Gestión de la VulnerabilidadTécnica 113 Control de las vulnerabilidades técnicas
GESTION DEINCIDENTES -MONITOREO
Reporte sobre los eventos ylas debilidades de seguridadde la información
114Reporte sobre los eventos de seguridadde la información
115Reporte sobre las debilidades en laseguridad
Gestión de los incidentes y las
mejoras en la seguridad de lainformación
116Responsabilidades y procedimientos parala gestión de incidentes
117 Aprendizaje debido a los incidentes deseguridad de la información
118Procedimiento para recolección deevidencias
GESTIÓN DE LACONTINUIDAD DELNEGOCIO
Aspectos de seguridad de lainformación en la Gestión dela Continuidad de Negocios
119
Inclusión de la seguridad de lainformación en el proceso de gestión de lacontinuidad del negocio
120Continuidad del negocio y evaluación deriesgos
121
Desarrollo e implementación de planes decontinuidad que incluyan la seguridad dela información
122
Estructura para la planificación de la
continuidad del negocio
123Pruebas, mantenimiento y reevaluaciónde los planes de continuidad del negocio
CUMPLIMIENTOCumplimiento de losrequisitos legales
124 Identificación de la legislación aplicable
125 Derechos de propiedad intelectual (DPI)
126 Protección de los registros de la
-
8/15/2019 Valoración de Riesgos de Información.pdf
23/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 23 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.coInfo: Línea 195
DOMINIO OBJETIVO DE CONTROL Nro. CONTROLES
organización
127Protección de los datos y privacidad de lainformación personal
128
Prevención del uso inadecuado de losservicios de procesamiento deinformación
129Reglamentación de los controlescriptográficos
Cumplimiento de las Políticasy las normas de seguridad ycumplimiento técnico
130Cumplimiento con las políticas y lasnormas de seguridad
131 Verificación del cumplimiento técnico
Consideraciones de laAuditoría de los sistemas deInformación
132Controles de auditoría de los sistemas deinformación
133Protección de las herramientas deauditoría de los sistemas de información
Tabla 9. Catálogo de controles.
4.4.2 Naturaleza de controlLos controles pueden ser preventivos o correctivos
Control Preventivos
Los controles preventivos son aquellos que están enfocados en la mitigación de las
causas (amenaza - vulnerabilidad) para evitar su materialización.
Controles Correctivos
Los controles correctivos están enfocados en la recuperación de los activos luego de la
materialización del riesgo.
4.4.3 Características del Control
Para todos los controles identificados se debe especificar si el control se encuentra
documentado, si el control se está aplicando y si el control es efectivo es minimizar el
riesgo.
4.4.4 Factores
-
8/15/2019 Valoración de Riesgos de Información.pdf
24/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 24 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.coInfo: Línea 195
Valoración del control El control se encuentra
documentado Se aplica el control Es efectivo para minimizar el riesgo SI NO SI NO SI NO
Tabla 10. Factores calificación de controles.
4.4.5 Variables para la valoración
Para establecer la valoración del riesgo se debe tener en cuenta la probabilidad y el
impacto de cada par amenaza vulnerabilidad y los controles existentes para la
mitigación del riesgo.
4.4.6 Probabilidad.
Es la posibilidad que la amenaza aproveche la vulnerabilidad para materializar el riesgo.
Para esto se utiliza la siguiente escala:
ESCALA DE PROBABILIDAD
1 Raro Evento que puede ocurrir sólo en circunstancias excepcionales , entre0 y una vez cada seis meses
2 Improbable Evento que puede ocurrir en pocas de las circunstancias, entre 2 y 5veces en un semestre.
3 Posible Evento que puede ocurrir en algunas de las circunstancias entre seis y10 veces en un semestre.
4 Probable Evento que puede ocurrir en casi siempre entre 11 y 15 veces en unsemestre.
5 casi certeza Evento que puede ocurrir en la mayoría de las circunstancias más de15 veces en un semestre.
Tabla 11. Escala de probabilidad
4.4.7 Impacto
-
8/15/2019 Valoración de Riesgos de Información.pdf
25/31
-
8/15/2019 Valoración de Riesgos de Información.pdf
26/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2213200-OT-037
VERSIÓN 01
PÁGINA: 26 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.coInfo: Línea 195
Ejemplo
Tipo
Nombr e del
Activo
Descripción del
Activo
Tipo deRiesgo
Causas Descripción del
Riesgo
Consecuencia
Análisis delRiesgo
ControlesAsociado
s
Naturaleza del
Control
Valoración del controlValoración del
Riesgo
Probabilidad
Impacto
Zona deRiesgo
El controlse
encuentra
documentado
Seaplica
el
control
Esefectivo
paraminimiz
ar elriesgo
Probabilidad
Impacto
Descripción del impacto Descripción delimpacto
Zona deRiesgo
Vulnerabilidades
Amenazas SI NO
SI
NO
SI
NOUsua
rioProce
soFinanci
ero Aprendi
zaje
7CorreoElectrónico
Servicioempleadopara elenvió decomunicacionesinternas yexternas.
Pérdidade ladisponibilidad delactivo deinformación.
Mantenimientos noadecuadosde lainfraestructura
Procesos
Debido auna fallaen elproceso encuanto a laplaneaciónde losmantenimientos sepuedesuscitar laperdida dedisponibilidad delservicio deCorreoElectrónico
Retrasosen larealizaciónde lasactividades delproceso
ProbableMayor
Zona de riesgo
Extrema
Procedimientos decontratoconproveedor es deTecnologíadeInformación
Preventivo
x x x
PosibleModer ado
XProcesos
Zona de
riesgo Alta
Contratosdemantenimientopreventivode lainfraestructura detecnológica
Preventivo
x x x
Contratosdemantenimientocorrectivode lainfraestructura de
tecnológica
Correctivo
x x x
Tabla 13. Valoración del Riesgo
-
8/15/2019 Valoración de Riesgos de Información.pdf
27/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2211700-OT-037
VERSIÓN 01
PÁGINA: 27 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.coInfo: Línea 195
4.4.8 Nivel de Riesgo Residual
Corresponde al nivel de riesgo de la Secretaria con los controles existentes, el nivel de
riesgo residual da la pauta para la definición de nuevos controles o mejoras de los
existentes teniendo en cuenta que el nivel aceptable de riesgo es el nivel bajo para los
demás niveles se deberá definir planes para su tratamiento.
PROBABILIDADIMPACTO
1 2 3 4 5
Insignificante Menor Moderado Mayor Catastrófico
1Raro B B M A A
2Improbable B B M A E
3Posible B M A E E
4Probable M A A E E
5Casi Certeza A A E E E
B : Zona de Riesgo Baja, Asumir el Riesgo, Acción Preventiva, Monitorización del Riesgo
M : Zona de riesgo Moderada, asumir el riesgo, reducir el riesgo, Definir planes de tratamiento
A : Zona de riesgo Alta, reducir el riesgo, evitar el riesgo, compartir o transferir, Definir planes de tratamiento
E : Zona de riesgo Extrema, evitar el riesgo, reducir el riesgo, compartir o transferir, Definir planes detratamiento
Figura 1. Matriz de Riesgo.
-
8/15/2019 Valoración de Riesgos de Información.pdf
28/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2211700-OT-037
VERSIÓN 01
PÁGINA: 28 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.coInfo: Línea 195
4.5 TRATAMIENTO DE LOS RIESGOS
Una vez se ha calculado el riesgo residual se procede a definir los proyectos que van a
permitir disminuir los riesgos de los niveles Inaceptable, Importante, Moderado y Tolerable
al nivel Aceptable:
Los r iesgos cal i f icados com o Inaceptable, Importante, Moderado y Tolerable
serán in cluid os dentro de lo s p lanes de m it igación.
4.5.1 Opciones para el Tratamiento de los Riesgos Residuales Extremos yAltos
Las opciones para el tratamiento de los riesgos son las siguientes:
Evitar el riesgo: tomar las medidas encaminadas a prevenir su materialización
Reducir el riesgo: implica tomar medidas encaminadas a disminuir tanto la
probabilidad (medidas de prevención), como el impacto (medidas de protección) Compartir o transferir el riesgo: Reduce su efecto a través del traspaso de las
pérdidas a otras organizaciones, como el caso de los contratos de seguros o a través
de otros medio que permite distribuir la porción de riesgo con otra entidad como los
traspasos de riesgo compartido.
Asumir el riesgo: acepta la pérdida residual probable y elaborar planes de
contingencia para su manejo.
4.5.2 Acciones de MitigaciónDetermine las acciones de tratamiento identificando responsables, cronograma eindicadores entre otros.
-
8/15/2019 Valoración de Riesgos de Información.pdf
29/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2211700-OT-037
VERSIÓN 01
PÁGINA: 29 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.coInfo: Línea 195
-
8/15/2019 Valoración de Riesgos de Información.pdf
30/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2211700-OT-037
VERSIÓN 01
PÁGINA: 30 de 31
2211700-OT-037 Versión 01
Carrera 8 No. 10 – 65Tel.: 381 30 00www.bogota.gov.coInfo: Línea 195
4.6 REVISIÓN Y MONITORIZACIÓNUna vez diseñado y validado el plan para administrar los riesgos, en el mapa de riesgos, es
necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una
amenaza para la secretaria.
El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar
la eficacia en su implementación adelantando revisiones sobre la marcha para evidenciar
todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las
acciones preventivas. A partir del análisis y calificación de riesgos, se debe formular un plan para el tratamiento de
riesgos que identifique la gestión apropiada, los recursos, responsabilidad y prioridades
para manejar los riesgos de seguridad de la información.
La Secretaria debe ejecutar procedimientos de seguimiento y revisión para detectar
oportunamente los errores en los procesamientos e identificar con prontitud incidentes e
intentos de violación de seguridad, así como determinar si las acciones tomadas para
solucionar un problema de seguridad fueron eficaces.
-
8/15/2019 Valoración de Riesgos de Información.pdf
31/31
METODOLOGÍA PARA VALORACIÓN DE RIESGOSDE ACTIVOS DE INFORMACIÓN
CÓDIGO 2211700-OT-037
VERSIÓN 01
PÁGINA: 31 de 31
CONTROL DE CAMBIOS
CTIVIDADES QUESUFRIERON CAMBIOS
CAMBIOS EFECTUADOSFECHA DELCAMBIO
ERSIÓN
Creación del Documento N.A. 08-08-2012 01