Administracion de Riesgos Alcaldia Bta
Short Description
Download Administracion de Riesgos Alcaldia Bta...
Description
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 1 de 31
SECRETARÍA GENERAL ALCALDÍA MAYOR DE BOGOTÁ.
ELABORO
NOMBRE Edelmira Rodríguez G
REVISO
Fabio Fernando Sánchez Sánchez
APROBÓ
Mónica del Pilar Rubio Arenas
CARGO Prof-especializado Subdirector de Informática y Sistemas
FECHA 08-08-2012
FIRMA
10-08-2012
Directora Corporativa 16-10-2012
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 2 de 31
TABLA DE CONTENIDO GLOSARIO .................................................................................................................... GLOSARIO .................................................................................................................... 4 1 INTRODUCCIÓN INTRODUCCIÓN ................................................................................................ 6 2 PREMISA............................................................................................................ 6 3 GENERALIDADES GENERALIDADES .............................................................................................. .............................................................................................. 7 3.1.1 Definir el personal involucrado involucrado en los talleres de análisis de riesgo ..................... 8 4 DESCRIPCIÓN DESCRIPCIÓN ................................................................................................... 9 4.1 DETERMINAR DETERMINAR EL CONTEXTO ESTRATÉGICO ................................................. 9 4.1.1 Compromiso de la Alta y Media Dirección ........................................................... 9 4.2 IDENTIFICACIÓN IDENTIFICACIÓN DEL RIESGO.......................................................................... 9 4.2.1 Identificación Identificación de los activos a analizar................................................................. 9 4.2.2 Identificación Identificación del Tipo de Riesgo ....................................................................... 10 4.3 ANALIZAR ANALIZAR LOS RIESGOS RIESGOS ................................................................................ 11 4.3.1 Vulnerabilidades Vulnerabilidades ................................................................................................ ................................................................................................ 11 4.3.2 Amenazas ......................................................................................................... 12 4.3.3 Descripción del Riesgo y sus Consecuencias.................................................... 13 4.3.4 Variables para el Análisis .................................................................................. 14 4.4 VALORACIÓN VALORACIÓN DEL RIESGO ............................................................................. 19 4.4.1 Identificación de los Controles Existentes en la Secretaría para la Protección del Activo 19 4.4.2 Naturaleza de control ........................................................................................ 23 4.4.3 Características Características del Control ................................................................................ 23 4.4.4 Factores ............................................................................................................ 23 4.4.5 Variables para la valoración valoración .............................................................................. 24 4.4.6 Probabilidad. Probabilidad. ..................................................................................................... 24 4.4.7 Impacto ............................................................................................................. 24 4.4.8 Nivel de Riesgo Residual................................................................................... 27 4.5 TRATAMIENTO TRATAMIENTO DE LOS RIESGOS .................................................................. 28 4.5.1 Opciones para el Tratamiento de los Riesgos Residuales Extremos y Altos ..... 28 4.5.2 Acciones de de Mitigación Mitigación ...................................................................................... 28 4.6 REVISIÓN Y MONITORIZACIÓN MONITORIZACIÓN....................................................................... 30
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 2 de 31
TABLA DE CONTENIDO GLOSARIO .................................................................................................................... GLOSARIO .................................................................................................................... 4 1 INTRODUCCIÓN INTRODUCCIÓN ................................................................................................ 6 2 PREMISA............................................................................................................ 6 3 GENERALIDADES GENERALIDADES .............................................................................................. .............................................................................................. 7 3.1.1 Definir el personal involucrado involucrado en los talleres de análisis de riesgo ..................... 8 4 DESCRIPCIÓN DESCRIPCIÓN ................................................................................................... 9 4.1 DETERMINAR DETERMINAR EL CONTEXTO ESTRATÉGICO ................................................. 9 4.1.1 Compromiso de la Alta y Media Dirección ........................................................... 9 4.2 IDENTIFICACIÓN IDENTIFICACIÓN DEL RIESGO.......................................................................... 9 4.2.1 Identificación Identificación de los activos a analizar................................................................. 9 4.2.2 Identificación Identificación del Tipo de Riesgo ....................................................................... 10 4.3 ANALIZAR ANALIZAR LOS RIESGOS RIESGOS ................................................................................ 11 4.3.1 Vulnerabilidades Vulnerabilidades ................................................................................................ ................................................................................................ 11 4.3.2 Amenazas ......................................................................................................... 12 4.3.3 Descripción del Riesgo y sus Consecuencias.................................................... 13 4.3.4 Variables para el Análisis .................................................................................. 14 4.4 VALORACIÓN VALORACIÓN DEL RIESGO ............................................................................. 19 4.4.1 Identificación de los Controles Existentes en la Secretaría para la Protección del Activo 19 4.4.2 Naturaleza de control ........................................................................................ 23 4.4.3 Características Características del Control ................................................................................ 23 4.4.4 Factores ............................................................................................................ 23 4.4.5 Variables para la valoración valoración .............................................................................. 24 4.4.6 Probabilidad. Probabilidad. ..................................................................................................... 24 4.4.7 Impacto ............................................................................................................. 24 4.4.8 Nivel de Riesgo Residual................................................................................... 27 4.5 TRATAMIENTO TRATAMIENTO DE LOS RIESGOS .................................................................. 28 4.5.1 Opciones para el Tratamiento de los Riesgos Residuales Extremos y Altos ..... 28 4.5.2 Acciones de de Mitigación Mitigación ...................................................................................... 28 4.6 REVISIÓN Y MONITORIZACIÓN MONITORIZACIÓN....................................................................... 30
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 3 de 31
LISTADO DE TABLAS Tabla 1. Ejemplo Valoración Activos ...................................... ............................................................... .......................................... .................9 Tabla 2. Identificación del riesgo .................................... ............................................................. ................................................ .......................11 Tabla 3. Identificación de vulnerabilidades .................................................. ..................................................................... ................... 12 Tabla 4. Identificación de amenazas ...................................... ............................................................... ........................................ ............... 13 Tabla 5. Descripción del riesgo y consecuencias ................................................ ........................................................... ........... 14 Tabla 6. Escala de probabilidad ...................................................... ............................................................................... ............................... ...... 15 Tabla 7. Escala de impacto ............................................ ..................................................................... ................................................ .......................16 Tabla 8. Análisis del Riesgo. .......................................... ................................................................... ................................................ .......................17 Tabla 9. Catálogo de controles............................................... ........................................................................ ........................................ .............. 23 Tabla 10. Factores calificación de controles........................... controles.................................................... ........................................ ............... 24 Tabla 11. Escala de probabilidad .................................................... ............................................................................. ............................... ...... 24 Tabla 12. Escala de impacto .......................................... ................................................................... ................................................ .......................25 Tabla 13. Valoración del Riesgo.................................................. ........................................................................... ................................... .......... 26
LISTADO DE FIGURAS
Figura 2. Matriz de Riesgo. ................................................................. ......................................................................................... ........................... ... 27
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 4 de 31
GLOSARIO Causa: Son los medios, circunstancias y agentes que generan los riesgos. 1 Amenazas: Es un ente o escenario interno o externo que puede hacer uso de una vulnerabilidad para generar un perjuicio o impacto negativo en la organización. (Materializar el riesgo), o los medios potenciales por los cuales las vulnerabilidades pueden ser explotadas u ocasionadas.
Vulnerabilidad: Es una falencia o debilidad que puede estar presente en la tecnología, las personas o en las políticas y procedimientos de la entidad.
Riesgo en la seguridad de la información: Es un escenario bajo el cual una amenaza determinada puede explotar las vulnerabilidades de los activos o grupos de activos generando un impacto negativo a la Secretaría General y evitando que ésta pueda cumplir con sus objetivos.
Probabilidad: Es la posibilidad que la amenaza aproveche la vulnerabilidad para materializar el riesgo.
Impacto: Son las consecuencias que genera un riesgo una vez se materialice. Controles: Acciones o mecanismos definidos para prevenir o reducir el impacto de los eventos que ponen en riesgo, la adecuada ejecución de las actividades y tareas requeridas para el logro de objetivos de los procesos de una entidad.
Controles Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización2. 1
Tomado de Procedimiento para la administración del riesgo – Cod. 2210111-PR-214 – Secretaria General de la Alcaldía Mayor.
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 5 de 31
Controles Correctivos: aquellos que permiten el restablecimiento de la actividad después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia3.
2
IDEM IDEM
3
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 6 de 31
1 INTRODUCCIÓN El análisis de riesgos de los activos de información permite identificar, analizar, evaluar y definir el manejo de los riesgos, para así apoyar el cumplimiento de los objetivos de la entidad, y disminuir a un nivel aceptable el impacto de la materialización de dichos riesgos; la gestión de riesgos permite que los responsables de los procesos conozcan los riesgos de sus activos de información y acompañen de manera más efectiva la implementación de los controles y acciones de mejora.
2 PREMISA Antes de iniciar el análisis de riesgos se requiere que cada proceso de la Secretaría General diligencie el inventario de activos de información con su respectiva valoración de acuerdo a lo establecido en la Guía para el Inventario y la Clasificación de Activos de Información de la Secretaría General de la Alcaldía Mayor de Bogotá D.C. (2213200GS-004). Los activos de información a los cuales se les realizará el proceso de identificación de riesgos serán a los que tengan un valor de Muy Alto en el valor total de los activos de información de acuerdo con lo registrado por cada proceso en el inventario de activos de información.
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 7 de 31
3 GENERALIDADES El enfoque de riesgos definido se basa en la identificación de las amenazas y vulnerabilidades presentes en los activos a analizar; el cálculo de la probabilidad y el impacto de materialización de los riesgos y cómo pueden afectar las actividades impidiendo el logro de los objetivos. Actividades desarrolladas para la gestión del riesgo:
Definir el enfoque organizacional para la valoración del riesgo: o
Desarrollar criterios para la aceptación de riesgos, e identificar los niveles de riesgo aceptables teniendo en cuenta la metodología aplicada en la Secretaría General.
Planificación:
o
Dentro de las actividades de planificación están: -
Definir el personal que será encargado de apoyar la actividad de identificación de riesgo.
Identificar el riesgo: o
Seleccionar de inventario los activos objeto de análisis.
Describir el riesgo
Identificar las causas: o
Esta actividad corresponde a la identificación de los pares vulnerabilidad – Amenaza.4
Analizar los riesgos:
4
Para cada vulnerabilidad identifi cada se debe establecer cuál es la amenaza que puede aprovechase de la misma, es por esta razón que se habla de identificación de par amenaza vulnerabilidad, es importante tener en cuenta que un riesgo puede tener más de un par amenaza vulnerabilidad relacionado.
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN o
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 8 de 31
Estimar los niveles de los riesgos. -
Identificación de la probabilidad
-
Identificación del impacto
Valorar el riesgo o
Estimar los niveles de los riesgos. -
o
Identificación de los controles existentes
Estimar los niveles de los riesgos. -
Identificación de la probabilidad
-
Identificación del impacto
Evaluar e Identificar las opciones para el tratamiento de los riesgos.
Seleccionar los controles para el tratamiento de los riesgos
3.1.1 Definir el personal involucrado en los talleres de análisis de riesgo El personal encargado de realizar del análisis de riesgos sobre los activos de información en lo posible debe ser el mismo que realizó la identificación y valoración de los activos de información de cada uno de los procesos. Se debe tener en cuenta que el personal que lo realice debe tener pleno conocimiento del proceso al cual pertenecen los activos y de la interacción de éstos en el proceso en cualquier caso podrá solicitar apoyo de otros funcionarios del proceso.
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
CÓDIGO VERSIÓN PÁGINA:
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
2213200-OT-037 01 9 de 31
4 DESCRIPCIÓN 4.1 DETERMINAR EL CONTEXTO ESTRATÉGICO 4.1.1 Compromiso de la Alta y Media Dirección Para el éxito en la implementación de una adecuada administración del riesgo, es indispensable el compromiso de la Alta Dirección como encargada, en primera instancia, de estimular la cultura de la identificación y prevención de riesgos y en segunda instancia de definir las políticas de administración de riesgos. Para lograrlo es importante la definición de canales directos de comunicación y el apoyo a todas las acciones emprendidas en este sentido, propiciando los espacios y asignando los recursos necesarios. Así mismo, debe designar a un directivo que asesore y apoye todo el proceso de diseño e implementación del Componente de Administración del Riesgo.
4.2 IDENTIFICACIÓN DEL RIESGO Para realizar la actividad de análisis de riesgos se debe tener en cuenta la forma establecida para la organización de la información descrita en este procedimiento.
4.2.1 Identificación de los activos a analizar De la matriz de inventario de activos por procesos se deben identificar los activos de información en los cuales el valor total del activo es Muy Alto (MA) debido a que estos serán los que se tendrán en cuenta para realizar el análisis de riesgo. Nombre Activo
VALOR Confidencialidad (MB / B / M /A / MA)
Integridad (MB / B / M /A / MA)
Disponibilidad (MB / B / M /A / MA)
Valor (MB / B / M /A / MA)
B
MA
A
MA
Correo Electrónico
Tabla 1. Ejemplo Valoración Activos
Estos activos deben ser diligenciados con el nombre y descripción del activo respectivamente. Tipo
Nombre del Activo
Descripción del Activo
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
CÓDIGO VERSIÓN PÁGINA:
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN 7
Correo Electrónico
2213200-OT-037 01 10 de 31
Servicio empleado para el envío de comunicaciones internas y externas.
4.2.2 Identificación del Tipo de Riesgo Las tipologías de riesgo que se deben tener en cuenta para esta actividad son los siguientes:
Acceso no autorizado o perdida de confidencialidad del activo de información.
Pérdida de la integridad del activo información.
Pérdida de la disponibilidad del activo de información.
Los tipos de riesgo que se analizarán a cada activo serán aquellos en los cuales el valor en de la propiedad este en los niveles MA, A o M, para esto se debe consultar el inventario de activos de información del
proceso. Es decir que si un activo de
información fue valorado como muestra el siguiente cuadro: VALOR
Nombre Activo
Confidencialidad (MB / B / M /A / MA)
Integridad (MB / B / M /A / MA)
Disponibilidad (MB / B / M /A / MA)
Valor (MB / B / M /A / MA)
B
MA
A
MA
Correo Electrónico
Los tipos de riesgo que serán analizados en el activo serán:
Pérdida de la integridad del activo información.
Pérdida de la disponibilidad del activo de información.
En este caso el acceso no autorizado o pérdida de confidencialidad del activo de información no se analizará debido a que su valor es Bajo (B).
Ejemplo Tipo 7
Nombre Tipo del Riesgo del Activo Correo Pérdida de la disponibilidad del activo de información. Electrónico
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 11 de 31
Pérdida de la integridad del activo información. Tabla 2. Identificación del riesgo
4.3 ANALIZAR LOS RIESGOS Para analizar los riesgos se debe identificar las causas del riesgo las cuales son los medios, circunstancias y agentes que generan los riesgos 5 y estas se dividen en dos elementos que son:
4.3.1 Vulnerabilidades Las vulnerabilidades son falencias o debilidades que pueden estar presentes en la tecnología, las personas o en las políticas y procedimientos de la entidad.
Para la identificación de las vulnerabilidades se debe tener en cuenta: o
El activo de información que se está analizando y el tipo de riesgo identificado, de acuerdo a esto, se comienza a describir que debilidades tiene este activo que puedan llevar a que el tipo de riesgo se materialice.
o
Las pruebas de Intrusión realizadas, dado que muchos de los activos de información son almacenados, distribuidos, resguardados y protegidos por la infraestructura de información y tecnología.
o
Informes de Auditorías sobre el SGSI.
Ejemplo
Nombre TIPO del Activo
CAUSAS Tipo de Riesgo Vulnerabilidades
5
Tomado de Procedimiento para la administración del riesgo – Cod. 2210111-PR-214 – Secretaria General de la Alcaldía Mayor.
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
CÓDIGO VERSIÓN PÁGINA:
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
Nombre TIPO del Activo
7
2213200-OT-037 01 12 de 31
CAUSAS Tipo de Riesgo Vulnerabilidades
Mantenimientos no adecuados de la infraestructura Inadecuada gestión de Pérdida de la disponibilidad vulnerabilidades técnicas. Correo del activo de información. Electrónico Falta de documentación de los servicios o aplicaciones. Deficiencia en los canales de comunicación. Tabla 3. Identificación de vulnerabilidades
4.3.2 Amenazas Son entes o escenarios internos o externos que puede hacer uso de una vulnerabilidad para generar un perjuicio o impacto negativo en la organización (Materializar el riesgo), o los medios potenciales por los cuales las vulnerabilidades pueden ser explotadas u ocasionadas.
Los tipos de amenazas son: o
Recurso Humano: Conjunto de personas vinculadas directa o indirectamente con el Activo de Información (personal externo e interno)
o
Procesos: Actividades para la transformación de elementos de entrada, en productos o servicios para satisfacer una necesidad
o
Tecnología: Es el conjunto de herramientas empleadas para soportar el activo de información. Incluye: hardware, software y telecomunicaciones.
o
Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de uno de los Activos de Información.
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN o
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 13 de 31
Externos: Son eventos asociados a la fuerza de la naturaleza u ocasionados por terceros, que se escapan en cuanto a su causa y origen al control de la Entidad.
Para identificar las amenazas se debe tener en cuenta el activo de información, el tipo de riesgo y las vulnerabilidades inherentes al activo. Adicional a lo anterior se debe considerar que una misma vulnerabilidad puede ser aprovechada por diferentes amenazas, por ejemplo la vulnerabilidad inadecuado control de acceso puede ser aprovechada por el Recurso Humano u ocasionada por procesos.
Ejemplo
Nombre TIPO del Activo
7
CAUSAS Tipo de Riesgo Vulnerabilidades
Amenazas
Mantenimientos no adecuados de Procesos la infraestructura Inadecuada gestión de Procesos vulnerabilidades técnicas. Pérdida de la disponibilidad Inadecuada gestión de Recurso Correo del activo de información. vulnerabilidades técnicas. Humano Electrónico Falta de documentación de los Procesos servicios o aplicaciones. Deficiencia en los canales de Tecnología comunicación. Tabla 4. Identificación de amenazas
4.3.3 Descripción del Riesgo y sus Consecuencias
Descripción del riesgo
En este punto se debe definir la relación y la razón por la cual se puede presentar o materializar el riesgo teniendo en cuenta la amenaza y la vulnerabilidad identificadas. Es decir, se debe explicar de qué manera la amenaza se puede aprovechar de la vulnerabilidad para que el tipo de riesgo se materialice.
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 14 de 31
Consecuencias
Definir el resultado de la materialización del riesgo. Es decir que pasaría si se llega a materializar el riesgo.
TIPO
Ejemplo Nombre del Activo
Tipo de Riesgo
CAUSAS Vulnerabilidades
DESCRIPCIÓN DEL RIESGO Amenazas
Mantenimientos no adecuados de la Procesos infraestructura
Pérdida de la disponibilidad de del activo de Falta información. documentación de Procesos Correo los servicios o Electrónic aplicaciones o
7
CONSECUENCIAS
Deficiencia en los canales de Tecnología comunicación
Debido a una falla en el proceso en cuanto a la planeación de los mantenimientos se puede suscitar la perdida de disponibilidad del servicio de Correo Electrónico
Retrasos en realización de actividades proceso
la las del
Debido a la falta de organización en el proceso en cuanto a la documentación de la operación de la infraestructura de T.I se puede presentar no disponibilidad del Servicio de Correo Electrónico
Retrasos en realización de actividades proceso
la las del
Debido a problemas suscitados por la tecnología se pueden presentar deficiencias en los canales de comunicación los cuales llevan a perdida de disponibilidad del servicio de Correo Electrónico.
Retrasos en realización de actividades proceso
la las del
Tabla 5. Descripción del riesgo y consecuencias
4.3.4 Variables para el Análisis Las variables descritas a continuación se definen para cada para amenaza vulnerabilidad sin tener en cuenta los controles existentes.
Probabilidad
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 15 de 31
Es la posibilidad que la amenaza aproveche la vulnerabilidad para materializar el riesgo. Para esto se utiliza la siguiente escala: ESCALA DE PROBABILIDAD 1 2 3 4 5
Evento que puede ocurrir sólo en circunstancias excepcionales , entre 0 y una vez cada seis meses Improbable Evento que puede ocurrir en pocas de las circunstancias, entre 2 y 5 veces en un semestre. Evento que puede ocurrir en algunas de las circunstancias entre Posible seis y 10 veces en un semestre. Evento que puede ocurrir en casi siempre entre 11 y 15 veces en Probable un semestre. Evento que puede ocurrir en la mayoría de las circunstancias casi más de 15 veces en un semestre. certeza
Raro
Tabla 6. Escala de probabilidad
Impacto
Son las consecuencias que genera un riesgo una vez se materialice. Para esto se utiliza la siguiente escala, identificando cual sería el impacto de acuerdo a cada tipo (Usuario, Procesos, Financiero, Aprendizaje) si aplica. El impacto que se deja en la matriz es el que haya dado más alto. ESCALA DE IMPACTO Nivel 1
2
Usuario
Procesos
Financiero
Aprendizaje
No tiene impacto Impacta negativamente Impacta Impacta de forma Financiero para la la posibilidad de adquirir Insignificante negativamente la leve la operación secretaria o sus conocimiento por parte imagen del un rol. de un rol procesos de un rol. Menor
Impacta Impacta negativamente la importante imagen del operación proceso. proceso
Se pueden presentar Impacta negativamente la sobrecostos la posibilidad de adquirir del (reprocesos) a nivel conocimiento a nivel de de proceso un proceso
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 16 de 31
ESCALA DE IMPACTO Nivel
3
Moderado
4
Mayor
5
Usuario Procesos Financiero Aprendizaje Impacta Impacta Se pueden presentar Impacta negativamente negativamente la negativamente no sobrecostos la oportunidad de imagen no sólo sólo la operación (reprocesos) no sólo adquirir conocimiento no del proceso del proceso en el proceso sólo del proceso evaluado sino de evaluado sino a evaluado sino a otros evaluado sino de otros otros procesos otros procesos procesos. procesos. Impacta Impacta negativamente Se pueden presentar Impacta negativamente la la oportunidad de sobrecostos negativamente la operación de la adquirir conocimiento a (reprocesos) imagen de la Secretaria ó sus nivel de todos los significativos para la Secretaria objetivos procesos de la Secretaria general misionales secretaria.
Impacta Se pueden presentar Impacta Impacta negativamente negativamente la sobrecostos negativamente la no solo operación la oportunidad de Catastrófico (reprocesos) imagen del de la Secretaria si adquirir conocimiento al significativos para el distrito distrito no otras entidades distrito del distrito Tabla 7. Escala de impacto
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 17 de 31
CÓDIGO VERSIÓN PÁGINA:
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
2213200-OT-037 01 17 de 31
Ejemplo Análisis del Riesgo
Tipo
Nombre del
Descripción del
Activo
Activo
Causas
Descripción del
Tipo de Riesgo Vulnerabilidades
e
en
cuanto Servicio Correo
envió
de disponibilidad
Electrónico
comunicaciones internas
del activo de
y información.
Impacto
Zona de Riesgo
o a una el
proceso
7
Probabilidad
Amenazas
falla
empleado para el Pérdida de la
Consecuencia
Riesgo
Mantenimientos no adecuados de la Procesos infraestructura
externas.
en a
la
planeación
de
los
Retrasos en la
mantenimientos
realización de las
se
puede actividades
suscitar
la proceso
perdida
de
del
Zona Probable
Mayor
de
riesgo Extrema
disponibilidad del servicio de Correo Electrónico
Tabla 8. Análisis del Riesgo.
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195
2211700-OT-037 Versión 01
CÓDIGO VERSIÓN PÁGINA:
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
2213200-OT-037 01 18 de 31
Ejemplo Análisis del Riesgo
Tipo
Nombre del
Descripción del
Activo
Activo
Causas
Descripción del
Tipo de Riesgo
Consecuencia
Riesgo Vulnerabilidades
Probabilidad
Impacto
Zona de Riesgo
Amenazas
Debido a una falla
en
el
proceso cuanto Servicio empleado para el Pérdida de la 7
Correo
envió
Electrónico
comunicaciones internas externas.
de disponibilidad del activo de
y información.
Mantenimientos no adecuados de la Procesos infraestructura
en a
la
planeación
de
los
Retrasos en la
mantenimientos
realización de las
se
puede actividades
suscitar
la proceso
perdida
de
disponibilidad del servicio de Correo Electrónico
Tabla 8. Análisis del Riesgo.
del
Zona Probable
Mayor
riesgo Extrema
de
CÓDIGO VERSIÓN PÁGINA:
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
2213200-OT-037 01 18 de 31
Ejemplo Análisis del Riesgo
Tipo
Nombre del
Descripción del
Activo
Activo
Causas
Descripción del
Tipo de Riesgo
Consecuencia
Riesgo Vulnerabilidades
Probabilidad
Impacto
Zona de Riesgo
Amenazas
Debido a una falla
en
el
proceso cuanto Servicio empleado para el Pérdida de la 7
Correo
envió
de disponibilidad
Electrónico
comunicaciones internas
del activo de
y información.
Mantenimientos no adecuados de la Procesos infraestructura
externas.
en a
la
planeación
de
los
Retrasos en la
mantenimientos
realización de las
se
puede actividades
suscitar
la proceso
perdida
de
del
Zona Probable
Mayor
de
riesgo Extrema
disponibilidad del servicio de Correo Electrónico
Tabla 8. Análisis del Riesgo.
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195
2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 19 de 31
4.4 VALORACIÓN DEL RIESGO 4.4.1 Identificación de los Controles Existentes en la Secretaría para la Protección del Activo Los controles deben ser identificados teniendo en cuenta el par amenaza vulnerabilidad y el riesgo que se está evaluando. Para la selección de controles se puede tener en cuenta el siguiente catálogo: DOMINIO POLITICA SEGURIDAD
OBJETIVO DE CONTROL DE Política de Seguridad de la Información
Nro. 1 2 3
CONTROLES Documento de la política de seguridad de la información Revisión de la política de seguridad de la información Compromiso de la dirección con la seguridad de la información Coordinación de la seguridad de la
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 19 de 31
4.4 VALORACIÓN DEL RIESGO 4.4.1 Identificación de los Controles Existentes en la Secretaría para la Protección del Activo Los controles deben ser identificados teniendo en cuenta el par amenaza vulnerabilidad y el riesgo que se está evaluando. Para la selección de controles se puede tener en cuenta el siguiente catálogo: DOMINIO POLITICA SEGURIDAD
OBJETIVO DE CONTROL DE Política de Seguridad de la Información
Nro. 1 2 3 4 5
Organización de la Seguridad de la Información ORGANIZACION DE SEGURIDAD
6 7 8 9 10 11
Partes Externas
GESTIÓN ACTIVOS
DE Responsabilidad activos
12
por
los
13 14 15 16
CONTROLES Documento de la política de seguridad de la información Revisión de la política de seguridad de la información Compromiso de la dirección con la seguridad de la información Coordinación de la seguridad de la información Asignación de responsabilidades para la seguridad de la información Proceso de autorización para los servicios de procesamiento de información Acuerdos de confidencialidad Contacto con las autoridades Contactos con grupos de interés especial Revisión independiente de la seguridad de la información Identificación de los riesgos relacionados con las partes externas Consideraciones de la seguridad cuando se trata con los clientes. Consideraciones de la seguridad en los acuerdos con terceras partes Inventario de Activos de Información Propiedad de los Activos de Información Uso aceptable de los Activos de Información
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN DOMINIO
OBJETIVO DE CONTROL
Nro.
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 20 de 31
CONTROLES
Gestión de la prestación del servicio por terceras partes
46
Planificación y aceptación del sistema
47 48 49
Gestión de la Prestación del servicio por parte de terceros Monitoreo y revisión de los servicios por terceras partes Gestión de los cambios en los servicios por terceras partes Gestión de la capacidad Gestión de la aceptación del sistema
50
Controles contra códigos maliciosos
51
Control contra códigos móviles
52
Respaldo de la información
53
Controles de las redes
54 55
Seguridad de los servicios de red Gestión de los medios removibles Eliminación de los medios de almacenamiento Procedimientos para el manejo de la información Seguridad de la documentación del sistema Políticas y procedimientos para el intercambio de información Acuerdos para el intercambio de información Gestión de los Medios físicos en tránsito Gestión del uso de la mensajería electrónica Controles de para la interconexión de sistemas de información del negocio Protección de la información generada de las actividades de Comercio electrónico Protección de la información generada por las transacciones en línea Protección de la integridad de la Información disponible al público Registro de auditorías Monitoreo del uso del sistema Protección de la información del registro Registros del administrador y del operador Registro de fallas
45
Protección contra códigos móviles y maliciosos Respaldo Gestión de la Seguridad de las Redes
Manejo de los Medios
56 57 58 59
Intercambio de Información
60 61 62 63 64
Servicios Electrónico
Monitoreo
de
Comercio 65 66 67 68 69 70 71
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN DOMINIO
OBJETIVO DE CONTROL
Nro.
Requisitos del negocio para el control de acceso
Gestión Usuarios
de
Acceso
de
de
los
73
Política de control del acceso
74
Registro de usuarios
75
Gestión de privilegios
76
Gestión de contraseñas para usuarios Revisión de los derechos de acceso de los usuarios
78 79
82 83
DE Control de Acceso a redes
Control de Acceso al sistema Operativo
Control de Acceso a Aplicaciones y a Información
las la
Computación Móvil y Trabajo Remoto Requisitos de seguridad de los sistemas de información
CONTROLES Sincronización de relojes
80 81 CONTROL ACCESO
2213200-OT-037 01 21 de 31
72
77 Responsabilidades usuarios
CÓDIGO VERSIÓN PÁGINA:
84 85 86 87 88 89 90 91 92 93 94 95 96 97
98 ADQUISICIÓN, DESARROLLO y 99 MANTENIMIENTO DE SISTEMAS DE Procesamiento correcto de las 100 aplicaciones INFORMACIÓN 101 102
Uso de contraseñas Norma Equipo de usuario desatendido Norma de escritorio despejado y de Pantalla despejada Norma del uso de los servicios en red Autenticación de usuarios para conexiones externas Identificación de los equipos en las redes Protección de los puertos de configuración y diagnóstico remoto Separación en las redes Control de las conexiones en red Control del enrutamiento en la red Procedimientos de ingreso seguros Identificación y autenticación del usuario Sistema de gestión de contraseñas Uso de las utilidades del sistema Tiempo de inactividad de la sesión Limitación del tiempo de conexión Restricción del acceso a la información Aislamiento de sistemas sensibles Gestión de la Computación y comunicaciones móviles Gestión del Trabajo remoto Análisis y especificación de los requisitos de seguridad. Validación de los datos de entrada Control del procesamiento interno Verificación de la Integridad del mensaje Validación de los datos de salida
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN DOMINIO
OBJETIVO DE CONTROL
Nro. 103 104 105
Controles Criptográficos
Seguridad de los archivos del 106 sistema 107
GESTION INCIDENTES MONITOREO
DE -
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
CUMPLIMIENTO
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 22 de 31
CONTROLES Política sobre el uso de controles criptográficos Gestión de llaves Control del software operativo Protección de los datos de prueba del sistema Control del acceso al código fuente de programas
108 Procedimientos de control de cambios Revisión técnica de las aplicaciones después de los cambios en el sistema 109 operativo Seguridad en los procesos de Restricciones en los cambios a los desarrollo y soporte 110 paquetes de software Normativa relacionada con la Fuga de 111 Información Desarrollo de software contratado 112 externamente Gestión de la Vulnerabilidad Técnica 113 Control de las vulnerabilidades técnicas Reporte sobre los eventos de seguridad Reporte sobre los eventos y las debilidades de seguridad 114 de la información Reporte sobre las debilidades en la de la información 115 seguridad Responsabilidades y procedimientos para 116 la gestión de incidentes Gestión de los incidentes y las Aprendizaje debido a los incidentes de mejoras en la seguridad de la 117 seguridad de la información información Procedimiento para recolección de 118 evidencias Inclusión de la seguridad de la información en el proceso de gestión de la 119 continuidad del negocio Continuidad del negocio y evaluación de 120 riesgos Aspectos de seguridad de la Desarrollo e implementación de planes de información en la Gestión de continuidad que incluyan la seguridad de la Continuidad de Negocios 121 la información Estructura para la planificación de la 122 continuidad del negocio Pruebas, mantenimiento y reevaluación 123 de los planes de continuidad del negocio Cumplimiento de requisitos legales
los
124 Identificación de la legislación aplicable 125 Derechos de propiedad intelectual (DPI) 126 Protección de los registros de la
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN DOMINIO
OBJETIVO DE CONTROL
Nro.
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 23 de 31
CONTROLES organización
127 128 129 Cumplimiento de las Políticas y las normas de seguridad y 130 cumplimiento técnico 131 Consideraciones de la 132 Auditoría de los sistemas de Información 133
Protección de los datos y privacidad de la información personal Prevención del uso inadecuado de los servicios de procesamiento de información Reglamentación de los controles criptográficos Cumplimiento con las políticas y las normas de seguridad Verificación del cumplimiento técnico Controles de auditoría de los sistemas de información Protección de las herramientas de auditoría de los sistemas de información
Tabla 9. Catálogo de controles.
4.4.2 Naturaleza de control Los controles pueden ser preventivos o correctivos
Control Preventivos
Los controles preventivos son aquellos que están enfocados en la mitigación de las causas (amenaza - vulnerabilidad) para evitar su materialización.
Controles Correctivos
Los controles correctivos están enfocados en la recuperación de los activos luego de la materialización del riesgo.
4.4.3 Características del Control Para todos los controles identificados se debe especificar si el control se encuentra documentado, si el control se está aplicando y si el control es efectivo es minimizar el riesgo.
4.4.4 Factores
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 24 de 31
Valoración del control El control se encuentra documentado SI NO
Se aplica el control SI NO
Es efectivo para minimizar el riesgo SI NO
Tabla 10. Factores calificación de controles.
4.4.5 Variables para la valoración Para establecer la valoración del riesgo se debe tener en cuenta la probabilidad y el impacto de cada par amenaza vulnerabilidad y los controles existentes para la mitigación del riesgo.
4.4.6 Probabilidad. Es la posibilidad que la amenaza aproveche la vulnerabilidad para materializar el riesgo. Para esto se utiliza la siguiente escala: ESCALA DE PROBABILIDAD 1
Raro
2
Improbable
3
Posible
4
Probable
5
casi certeza
Evento que puede ocurrir sólo en circunstancias excepcionales , entre 0 y una vez cada seis meses Evento que puede ocurrir en pocas de las circunstancias, entre 2 y 5 veces en un semestre. Evento que puede ocurrir en algunas de las circunstancias entre seis y 10 veces en un semestre. Evento que puede ocurrir en casi siempre entre 11 y 15 veces en un semestre. Evento que puede ocurrir en la mayoría de las circunstancias más de 15 veces en un semestre. Tabla 11. Escala de probabilidad
4.4.7 Impacto
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN
2213200-OT-037 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 25 de 31
Son las consecuencias que genera un riesgo una vez se materialice. Para esto se utiliza la siguiente escala, identificando cual sería el impacto de acuerdo a cada tipo (Usuario, Procesos, Financiero, Aprendizaje) si aplica. El impacto que se deja en la matriz es el que haya dado más alto. ESCALA DE IMPACTO Nivel 1
Usuario
Financiero
Aprendizaje
No tiene impacto Impacta negativamente Impacta Impacta de forma Financiero para la la posibilidad de adquirir Insignificante negativamente la leve la operación secretaria o sus conocimiento por parte imagen del un rol. de un rol procesos de un rol.
2
Menor
3
Moderado
4
Mayor
5
Procesos
Impacta Impacta Se pueden presentar Impacta negativamente negativamente la importante la sobrecostos la posibilidad de adquirir imagen del operación del (reprocesos) a nivel conocimiento a nivel de proceso. proceso de proceso un proceso Impacta Impacta Se pueden presentar Impacta negativamente negativamente la negativamente no sobrecostos la oportunidad de imagen no sólo sólo la operación (reprocesos) no sólo adquirir conocimiento no del proceso del proceso en el proceso sólo del proceso evaluado sino de evaluado sino a evaluado sino a otros evaluado sino de otros otros procesos otros procesos procesos. procesos. Impacta Impacta negativamente Se pueden presentar Impacta negativamente la la oportunidad de sobrecostos negativamente la operación de la adquirir conocimiento a (reprocesos) imagen de la Secretaria ó sus nivel de todos los significativos para la Secretaria objetivos procesos de la Secretaria general misionales secretaria.
Impacta Se pueden presentar Impacta Impacta negativamente negativamente la sobrecostos negativamente la la oportunidad de no solo operación (reprocesos) Catastrófico imagen del adquirir conocimiento al de la Secretaria si significativos para el distrito distrito no otras entidades distrito del distrito Tabla 12. Escala de impacto
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2213200-OT-037 01 26 de 31
CÓDIGO VERSIÓN PÁGINA:
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
Ejemplo
Análisis del Riesgo Tip o
Nombr e del Activo
Descripció n del Activo
Causas
Tipo de Riesgo
Vulnerabilid ades
7
2213200-OT-037 01 26 de 31
Correo Electró nico
Servicio empleado para el envió de comunicaci ones internas y externas.
Pérdida de la disponibili dad del activo de informaci ón.
Mantenimien tos no adecuados de la infraestructu ra
Descripció n del Riesgo
Consecue ncia
Probabili dad
Impa cto
Zona de Riesgo
Controles Asociado s
Natural eza del Control
Amena zas
Proces os
Debido a una falla en el proceso en cuanto a la planeación de los mantenimi entos se puede suscitar la perdida de disponibilid ad del servicio de Correo Electrónico
Retrasos en la realización de las actividade s del proceso
Probable
Valoración del Riesgo
Valoración del control
Mayo r
Zona de riesgo Extrema
Procedimie ntos de contrato con proveedor es de Tecnología de Informació n Contratos de mantenimi ento preventivo de la infraestruct ura de tecnológic a Contratos de mantenimi ento correctivo de la infraestruct ura de tecnológic a
El control se encuentra document ado
Se aplica el contro l
Es efectivo para minimiz ar el riesgo
SI
S I
S I
NO
N O
Preventi vo
x
x
x
Preventi vo
x
x
x
Correcti vo
x
x
x
Probabili dad
Descripción del impacto
Impact o Usua rio
NO
Posible
Moder ado
Proce so
Financi ero
X
Descrip ción del impacto
Zona de Riesgo
Proceso s
Zona de riesgo Alta
Aprendi zaje
Tabla 13. Valoración del Riesgo
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195
2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2211700-OT-037 01 27 de 31
4.4.8 Nivel de Riesgo Residual Corresponde al nivel de riesgo de la Secretaria con los controles existentes, el nivel de riesgo residual da la pauta para la definición de nuevos controles o mejoras de los existentes teniendo en cuenta que el nivel aceptable de riesgo es el nivel bajo para los demás niveles se deberá definir planes para su tratamiento.
1 Insignificante
2 Menor
IMPACTO 3 Moderado
Raro
B
B
M
A
A
Improbable
B
B
M
A
E
Posible
B
M
A
E
E
PROBABILIDAD 1 2 3
4 Mayor
5 Catastrófico
CÓDIGO VERSIÓN PÁGINA:
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
2211700-OT-037 01 27 de 31
4.4.8 Nivel de Riesgo Residual Corresponde al nivel de riesgo de la Secretaria con los controles existentes, el nivel de riesgo residual da la pauta para la definición de nuevos controles o mejoras de los existentes teniendo en cuenta que el nivel aceptable de riesgo es el nivel bajo para los demás niveles se deberá definir planes para su tratamiento.
1 Insignificante
2 Menor
IMPACTO 3 Moderado
Raro
B
B
M
A
A
Improbable
B
B
M
A
E
Posible
B
M
A
E
E
Probable
M
A
A
E
E
PROBABILIDAD 1 2 3 4
4 Mayor
5 Catastrófico
5
Casi Certeza A A E E B : Zona de Riesgo Baja, Asumir el Riesgo, Acción Preventiva, Monitorización del Riesgo M : Zona de riesgo Moderada, asumir el riesgo, reducir el riesgo, Definir A : Zona de riesgo Alta,
E
planes de tratamiento
reducir el riesgo, evitar el riesgo, compartir o transferir, Definir planes de tratamiento
E : Zona de riesgo Extrema, evitar el riesgo, reducir el riesgo, compartir o
tratamiento
Figura 1. Matriz de Riesgo.
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
transferir, Definir planes de
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2211700-OT-037 01 28 de 31
4.5 TRATAMIENTO DE LOS RIESGOS Una vez se ha calculado el riesgo residual se procede a definir los proyectos que van a permitir disminuir los riesgos de los niveles Inaceptable, Importante, Moderado y Tolerable al nivel Aceptable: L o s r i e s g o s c a l i f ic a d o s c o m o
Inaceptable, Importante, Moderado y Tolerable
serán in cluid os dentro de lo s p lanes de m itigación.
4.5.1 Opciones para el Tratamiento de los Riesgos Residuales Extremos y Altos Las opciones para el tratamiento de los riesgos son las siguientes:
Evitar el riesgo: tomar las medidas encaminadas a prevenir su materialización
Reducir el riesgo: implica tomar medidas encaminadas a disminuir
tanto la
probabilidad (medidas de prevención), como el impacto (medidas de protección)
Compartir o transferir el riesgo: Reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como el caso de los contratos de seguros o a través de otros medio que permite distribuir la porción de riesgo con otra entidad como los traspasos de riesgo compartido.
Asumir el riesgo: acepta la pérdida residual probable y elaborar planes de contingencia para su manejo.
4.5.2 Acciones de Mitigación Determine las acciones de tratamiento identificando responsables, cronograma e indicadores entre otros.
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
CÓDIGO VERSIÓN PÁGINA:
2211700-OT-037 01 29 de 31
METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN
CÓDIGO VERSIÓN PÁGINA:
2211700-OT-037 01 30 de 31
4.6 REVISIÓN Y MONITORIZACIÓN Una vez diseñado y validado el plan para administrar los riesgos, en el mapa de riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la secretaria. El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficacia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas. A partir del análisis y calificación de riesgos, se debe formular un plan para el tratamiento de riesgos que identifique la gestión apropiada, los recursos, responsabilidad y prioridades para manejar los riesgos de seguridad de la información. La Secretaria debe ejecutar procedimientos de seguimiento y revisión para detectar oportunamente los errores en los procesamientos e identificar con prontitud incidentes e intentos de violación de seguridad, así como determinar si las acciones tomadas para solucionar un problema de seguridad fueron eficaces.
Carrera 8 No. 10 – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01
View more...
Comments
