Administracion de Riesgos Alcaldia Bta

April 29, 2018 | Author: namakus | Category: Information Security, Risk, Planning, Information, Vulnerability
Share Embed Donate


Short Description

Download Administracion de Riesgos Alcaldia Bta...

Description

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 1 de 31

SECRETARÍA GENERAL ALCALDÍA MAYOR DE BOGOTÁ.

ELABORO

NOMBRE Edelmira Rodríguez G

REVISO

Fabio Fernando Sánchez Sánchez

APROBÓ

Mónica del Pilar Rubio  Arenas

CARGO Prof-especializado Subdirector de Informática y Sistemas

FECHA 08-08-2012

FIRMA

10-08-2012

Directora Corporativa 16-10-2012

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 2 de 31

TABLA DE CONTENIDO GLOSARIO .................................................................................................................... GLOSARIO  .................................................................................................................... 4 1 INTRODUCCIÓN INTRODUCCIÓN ................................................................................................ 6 2 PREMISA............................................................................................................ 6 3 GENERALIDADES GENERALIDADES .............................................................................................. .............................................................................................. 7 3.1.1 Definir el personal involucrado involucrado en los talleres de análisis de riesgo ..................... 8 4 DESCRIPCIÓN DESCRIPCIÓN ................................................................................................... 9 4.1 DETERMINAR DETERMINAR EL CONTEXTO ESTRATÉGICO ................................................. 9 4.1.1 Compromiso de la Alta y Media Dirección ........................................................... 9 4.2 IDENTIFICACIÓN IDENTIFICACIÓN DEL RIESGO.......................................................................... 9 4.2.1 Identificación Identificación de los activos a analizar................................................................. 9 4.2.2 Identificación Identificación del Tipo de Riesgo ....................................................................... 10 4.3  ANALIZAR  ANALIZAR LOS RIESGOS RIESGOS ................................................................................ 11 4.3.1 Vulnerabilidades Vulnerabilidades ................................................................................................ ................................................................................................ 11 4.3.2  Amenazas ......................................................................................................... 12 4.3.3 Descripción del Riesgo y sus Consecuencias.................................................... 13 4.3.4 Variables para el Análisis .................................................................................. 14 4.4 VALORACIÓN VALORACIÓN DEL RIESGO ............................................................................. 19 4.4.1 Identificación de los Controles Existentes en la Secretaría para la Protección del Activo 19 4.4.2 Naturaleza de control ........................................................................................ 23 4.4.3 Características Características del Control ................................................................................ 23 4.4.4 Factores ............................................................................................................ 23 4.4.5 Variables para la valoración valoración .............................................................................. 24 4.4.6 Probabilidad. Probabilidad. ..................................................................................................... 24 4.4.7 Impacto ............................................................................................................. 24 4.4.8 Nivel de Riesgo Residual................................................................................... 27 4.5 TRATAMIENTO TRATAMIENTO DE LOS RIESGOS .................................................................. 28 4.5.1 Opciones para el Tratamiento de los Riesgos Residuales Extremos y Altos ..... 28 4.5.2  Acciones de de Mitigación Mitigación ...................................................................................... 28 4.6 REVISIÓN Y MONITORIZACIÓN MONITORIZACIÓN....................................................................... 30

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 2 de 31

TABLA DE CONTENIDO GLOSARIO .................................................................................................................... GLOSARIO  .................................................................................................................... 4 1 INTRODUCCIÓN INTRODUCCIÓN ................................................................................................ 6 2 PREMISA............................................................................................................ 6 3 GENERALIDADES GENERALIDADES .............................................................................................. .............................................................................................. 7 3.1.1 Definir el personal involucrado involucrado en los talleres de análisis de riesgo ..................... 8 4 DESCRIPCIÓN DESCRIPCIÓN ................................................................................................... 9 4.1 DETERMINAR DETERMINAR EL CONTEXTO ESTRATÉGICO ................................................. 9 4.1.1 Compromiso de la Alta y Media Dirección ........................................................... 9 4.2 IDENTIFICACIÓN IDENTIFICACIÓN DEL RIESGO.......................................................................... 9 4.2.1 Identificación Identificación de los activos a analizar................................................................. 9 4.2.2 Identificación Identificación del Tipo de Riesgo ....................................................................... 10 4.3  ANALIZAR  ANALIZAR LOS RIESGOS RIESGOS ................................................................................ 11 4.3.1 Vulnerabilidades Vulnerabilidades ................................................................................................ ................................................................................................ 11 4.3.2  Amenazas ......................................................................................................... 12 4.3.3 Descripción del Riesgo y sus Consecuencias.................................................... 13 4.3.4 Variables para el Análisis .................................................................................. 14 4.4 VALORACIÓN VALORACIÓN DEL RIESGO ............................................................................. 19 4.4.1 Identificación de los Controles Existentes en la Secretaría para la Protección del Activo 19 4.4.2 Naturaleza de control ........................................................................................ 23 4.4.3 Características Características del Control ................................................................................ 23 4.4.4 Factores ............................................................................................................ 23 4.4.5 Variables para la valoración valoración .............................................................................. 24 4.4.6 Probabilidad. Probabilidad. ..................................................................................................... 24 4.4.7 Impacto ............................................................................................................. 24 4.4.8 Nivel de Riesgo Residual................................................................................... 27 4.5 TRATAMIENTO TRATAMIENTO DE LOS RIESGOS .................................................................. 28 4.5.1 Opciones para el Tratamiento de los Riesgos Residuales Extremos y Altos ..... 28 4.5.2  Acciones de de Mitigación Mitigación ...................................................................................... 28 4.6 REVISIÓN Y MONITORIZACIÓN MONITORIZACIÓN....................................................................... 30

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 3 de 31

LISTADO DE TABLAS Tabla 1. Ejemplo Valoración Activos ...................................... ............................................................... .......................................... .................9 Tabla 2. Identificación del riesgo .................................... ............................................................. ................................................ .......................11 Tabla 3. Identificación de vulnerabilidades .................................................. ..................................................................... ................... 12 Tabla 4. Identificación de amenazas ...................................... ............................................................... ........................................ ............... 13 Tabla 5. Descripción del riesgo y consecuencias ................................................ ........................................................... ........... 14 Tabla 6. Escala de probabilidad ...................................................... ............................................................................... ............................... ...... 15 Tabla 7. Escala de impacto ............................................ ..................................................................... ................................................ .......................16 Tabla 8. Análisis del Riesgo. .......................................... ................................................................... ................................................ .......................17 Tabla 9. Catálogo de controles............................................... ........................................................................ ........................................ .............. 23 Tabla 10. Factores calificación de controles........................... controles.................................................... ........................................ ............... 24 Tabla 11. Escala de probabilidad .................................................... ............................................................................. ............................... ...... 24 Tabla 12. Escala de impacto .......................................... ................................................................... ................................................ .......................25 Tabla 13. Valoración del Riesgo.................................................. ........................................................................... ................................... .......... 26

LISTADO DE FIGURAS

Figura 2. Matriz de Riesgo. ................................................................. ......................................................................................... ........................... ... 27

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 4 de 31

GLOSARIO Causa: Son los medios, circunstancias y agentes que generan los riesgos. 1 Amenazas: Es un ente o escenario interno o externo que puede hacer uso de una vulnerabilidad para generar un perjuicio o impacto negativo en la organización. (Materializar el riesgo), o los medios potenciales por los cuales las vulnerabilidades pueden ser explotadas u ocasionadas.

Vulnerabilidad: Es una falencia o debilidad que puede estar presente en la tecnología, las personas o en las políticas y procedimientos de la entidad.

Riesgo en la seguridad de la información: Es un escenario bajo el cual una amenaza determinada puede explotar las vulnerabilidades de los activos o grupos de activos generando un impacto negativo a la Secretaría General y evitando que ésta pueda cumplir con sus objetivos.

Probabilidad: Es la posibilidad que la amenaza aproveche la vulnerabilidad para materializar el riesgo.

Impacto: Son las consecuencias que genera un riesgo una vez se materialice. Controles:  Acciones o mecanismos definidos para prevenir o reducir el impacto de los eventos que ponen en riesgo, la adecuada ejecución de las actividades y tareas requeridas para el logro de objetivos de los procesos de una entidad.

Controles Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización2. 1

 Tomado de Procedimiento para la administración del riesgo  – Cod. 2210111-PR-214  –  Secretaria General de la Alcaldía Mayor.

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 5 de 31

Controles Correctivos:  aquellos que permiten el restablecimiento de la actividad después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia3.

2

 IDEM  IDEM

3

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 6 de 31

1 INTRODUCCIÓN El análisis de riesgos de los activos de información permite identificar, analizar, evaluar y definir el manejo de los riesgos, para así apoyar el cumplimiento de los objetivos de la entidad, y disminuir a un nivel aceptable el impacto de la materialización de dichos riesgos; la gestión de riesgos permite que los responsables de los procesos conozcan los riesgos de sus activos de información y acompañen de manera más efectiva la implementación de los controles y acciones de mejora.

2 PREMISA  Antes de iniciar el análisis de riesgos se requiere que cada proceso de la Secretaría General diligencie el inventario de activos de información con su respectiva valoración de acuerdo a lo establecido en la Guía para el Inventario y la Clasificación de Activos de Información de la Secretaría General de la Alcaldía Mayor de Bogotá D.C. (2213200GS-004). Los activos de información a los cuales se les realizará el proceso de identificación de riesgos serán a los que tengan un valor de Muy Alto en el valor total de los activos de información de acuerdo con lo registrado por cada proceso en el inventario de activos de información.

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 7 de 31

3 GENERALIDADES El enfoque de riesgos definido se basa en la identificación de las amenazas y vulnerabilidades presentes en los activos a analizar; el cálculo de la probabilidad y el impacto de materialización de los riesgos y cómo pueden afectar las actividades impidiendo el logro de los objetivos.  Actividades desarrolladas para la gestión del riesgo: 

Definir el enfoque organizacional para la valoración del riesgo: o

Desarrollar criterios para la aceptación de riesgos, e identificar los niveles de riesgo aceptables teniendo en cuenta la metodología aplicada en la Secretaría General.

  Planificación:



o

Dentro de las actividades de planificación están: -

Definir el personal que será encargado de apoyar la actividad de identificación de riesgo.



Identificar el riesgo: o



Seleccionar de inventario los activos objeto de análisis.

Describir el riesgo

Identificar las causas: o

Esta actividad corresponde a la identificación de los pares vulnerabilidad  – Amenaza.4



Analizar los riesgos:

4

 Para cada vulnerabilidad identifi cada se debe establecer cuál es la amenaza que puede aprovechase de la misma, es  por esta razón que se habla de identificación de par amenaza vulnerabilidad, es importante tener en cuenta que un riesgo puede tener más de un par amenaza vulnerabilidad relacionado.

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN o



CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 8 de 31

Estimar los niveles de los riesgos. -

Identificación de la probabilidad

-

Identificación del impacto

Valorar el riesgo o

Estimar los niveles de los riesgos. -

o

Identificación de los controles existentes

Estimar los niveles de los riesgos. -

Identificación de la probabilidad

-

Identificación del impacto



Evaluar e Identificar las opciones para el tratamiento de los riesgos.



Seleccionar los controles para el tratamiento de los riesgos

3.1.1 Definir el personal involucrado en los talleres de análisis de riesgo El personal encargado de realizar del análisis de riesgos sobre los activos de información en lo posible debe ser el mismo que realizó la identificación y valoración de los activos de información de cada uno de los procesos. Se debe tener en cuenta que el personal que lo realice debe tener pleno conocimiento del proceso al cual pertenecen los activos y de la interacción de éstos en el proceso en cualquier caso podrá solicitar apoyo de otros funcionarios del proceso.

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

CÓDIGO VERSIÓN PÁGINA:

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

2213200-OT-037 01 9 de 31

4 DESCRIPCIÓN 4.1 DETERMINAR EL CONTEXTO ESTRATÉGICO 4.1.1 Compromiso de la Alta y Media Dirección Para el éxito en la implementación de una adecuada administración del riesgo, es indispensable el compromiso de la Alta Dirección como encargada, en primera instancia, de estimular la cultura de la identificación y prevención de riesgos y en segunda instancia de definir las políticas de administración de riesgos. Para lograrlo es importante la definición de canales directos de comunicación y el apoyo a todas las acciones emprendidas en este sentido, propiciando los espacios y asignando los recursos necesarios. Así mismo, debe designar a un directivo que asesore y apoye todo el proceso de diseño e implementación del Componente de Administración del Riesgo.

4.2 IDENTIFICACIÓN DEL RIESGO Para realizar la actividad de análisis de riesgos se debe tener en cuenta la forma establecida para la organización de la información descrita en este procedimiento.

4.2.1 Identificación de los activos a analizar De la matriz de inventario de activos por procesos se deben identificar los activos de información en los cuales el valor total del activo es Muy Alto (MA) debido a que estos serán los que se tendrán en cuenta para realizar el análisis de riesgo. Nombre Activo

VALOR Confidencialidad (MB / B / M /A / MA)

Integridad (MB / B / M /A / MA)

Disponibilidad (MB / B / M /A / MA)

Valor (MB / B / M /A / MA)

B

MA

A

MA

Correo Electrónico

Tabla 1. Ejemplo Valoración Activos

Estos activos deben ser diligenciados con el nombre y descripción del activo respectivamente. Tipo

Nombre del Activo

Descripción del Activo

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

CÓDIGO VERSIÓN PÁGINA:

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN 7

Correo Electrónico

2213200-OT-037 01 10 de 31

Servicio empleado para el envío de comunicaciones internas y externas.

4.2.2 Identificación del Tipo de Riesgo Las tipologías de riesgo que se deben tener en cuenta para esta actividad son los siguientes: 

Acceso no autorizado o perdida de confidencialidad del activo de información.



Pérdida de la integridad del activo información.



Pérdida de la disponibilidad del activo de información.

Los tipos de riesgo que se analizarán a cada activo serán aquellos en los cuales el valor en de la propiedad este en los niveles MA, A o M, para esto se debe consultar el inventario de activos de información del

proceso. Es decir que si un activo de

información fue valorado como muestra el siguiente cuadro: VALOR

Nombre Activo

Confidencialidad (MB / B / M /A / MA)

Integridad (MB / B / M /A / MA)

Disponibilidad (MB / B / M /A / MA)

Valor (MB / B / M /A / MA)

B

MA

A

MA

Correo Electrónico

Los tipos de riesgo que serán analizados en el activo serán: 

Pérdida de la integridad del activo información.



Pérdida de la disponibilidad del activo de información.

En este caso el acceso no autorizado o pérdida de confidencialidad del activo de información no se analizará debido a que su valor es Bajo (B).



Ejemplo Tipo 7

Nombre Tipo del Riesgo del Activo Correo Pérdida de la disponibilidad del activo de información. Electrónico

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 11 de 31

Pérdida de la integridad del activo información. Tabla 2. Identificación del riesgo

4.3 ANALIZAR LOS RIESGOS Para analizar los riesgos se debe identificar las causas del riesgo las cuales son los medios, circunstancias y agentes que generan los riesgos 5  y estas se dividen en dos elementos que son:

4.3.1 Vulnerabilidades Las vulnerabilidades son falencias o debilidades que pueden estar presentes en la tecnología, las personas o en las políticas y procedimientos de la entidad. 

Para la identificación de las vulnerabilidades se debe tener en cuenta: o

El activo de información que se está analizando y el tipo de riesgo identificado, de acuerdo a esto, se comienza a describir que debilidades tiene este activo que puedan llevar a que el tipo de riesgo se materialice.

o

Las pruebas de Intrusión realizadas, dado que muchos de los activos de información son almacenados, distribuidos, resguardados y protegidos por la infraestructura de información y tecnología.

o



Informes de Auditorías sobre el SGSI.

Ejemplo

Nombre TIPO del Activo

CAUSAS Tipo de Riesgo Vulnerabilidades

5

 Tomado de Procedimiento para la administración del riesgo  – Cod. 2210111-PR-214  –  Secretaria General de la Alcaldía Mayor.

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

CÓDIGO VERSIÓN PÁGINA:

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

Nombre TIPO del Activo

7

2213200-OT-037 01 12 de 31

CAUSAS Tipo de Riesgo Vulnerabilidades

Mantenimientos no adecuados de la infraestructura Inadecuada gestión de Pérdida de la disponibilidad vulnerabilidades técnicas. Correo del activo de información. Electrónico Falta de documentación de los servicios o aplicaciones. Deficiencia en los canales de comunicación. Tabla 3. Identificación de vulnerabilidades

4.3.2 Amenazas Son entes o escenarios internos o externos que puede hacer uso de una vulnerabilidad para generar un perjuicio o impacto negativo en la organización (Materializar el riesgo), o los medios potenciales por los cuales las vulnerabilidades pueden ser explotadas u ocasionadas.



Los tipos de amenazas son: o

Recurso Humano:  Conjunto de personas vinculadas directa o indirectamente con el Activo de Información (personal externo e interno)

o

Procesos:  Actividades para la transformación de elementos de entrada, en productos o servicios para satisfacer una necesidad

o

Tecnología:  Es el conjunto de herramientas empleadas para soportar el activo de información. Incluye: hardware, software y telecomunicaciones.

o

Infraestructura:  Es el conjunto de elementos de apoyo para el funcionamiento de uno de los Activos de Información.

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN o

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 13 de 31

Externos:  Son eventos asociados a la fuerza de la naturaleza u ocasionados por terceros, que se escapan en cuanto a su causa y origen al control de la Entidad.

Para identificar las amenazas se debe tener en cuenta el activo de información, el tipo de riesgo y las vulnerabilidades inherentes al activo. Adicional a lo anterior se debe considerar que una misma vulnerabilidad puede ser aprovechada por diferentes amenazas, por ejemplo la vulnerabilidad inadecuado control de acceso puede ser aprovechada por el Recurso Humano u ocasionada por procesos. 

Ejemplo

Nombre TIPO del Activo

7

CAUSAS Tipo de Riesgo Vulnerabilidades

Amenazas

Mantenimientos no adecuados de Procesos la infraestructura Inadecuada gestión de Procesos vulnerabilidades técnicas. Pérdida de la disponibilidad Inadecuada gestión de Recurso Correo del activo de información. vulnerabilidades técnicas. Humano Electrónico Falta de documentación de los Procesos servicios o aplicaciones. Deficiencia en los canales de Tecnología comunicación. Tabla 4. Identificación de amenazas

4.3.3 Descripción del Riesgo y sus Consecuencias 

Descripción del riesgo

En este punto se debe definir la relación y la razón por la cual se puede presentar o materializar el riesgo teniendo en cuenta la amenaza y la vulnerabilidad identificadas. Es decir, se debe explicar de qué manera la amenaza se puede aprovechar de la vulnerabilidad para que el tipo de riesgo se materialice.

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN 

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 14 de 31

Consecuencias

Definir el resultado de la materialización del riesgo. Es decir que pasaría si se llega a materializar el riesgo. 

TIPO

Ejemplo Nombre del Activo

Tipo de Riesgo

CAUSAS Vulnerabilidades

DESCRIPCIÓN DEL RIESGO Amenazas

Mantenimientos no adecuados de la Procesos infraestructura

Pérdida de la disponibilidad de del activo de Falta información. documentación de Procesos Correo los servicios o Electrónic aplicaciones o

7

CONSECUENCIAS

Deficiencia en los canales de Tecnología comunicación

Debido a una falla en el proceso en cuanto a la planeación de los mantenimientos se puede suscitar la perdida de disponibilidad del servicio de Correo Electrónico

Retrasos en realización de actividades proceso

la las del

Debido a la falta de organización en el proceso en cuanto a la documentación de la operación de la infraestructura de T.I se puede presentar no disponibilidad del Servicio de Correo Electrónico

Retrasos en realización de actividades proceso

la las del

Debido a problemas suscitados por la tecnología se pueden presentar deficiencias en los canales de comunicación los cuales llevan a perdida de disponibilidad del servicio de Correo Electrónico.

Retrasos en realización de actividades proceso

la las del

Tabla 5. Descripción del riesgo y consecuencias

4.3.4 Variables para el Análisis Las variables descritas a continuación se definen para cada para amenaza vulnerabilidad sin tener en cuenta los controles existentes. 

Probabilidad

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 15 de 31

Es la posibilidad que la amenaza aproveche la vulnerabilidad para materializar el riesgo. Para esto se utiliza la siguiente escala: ESCALA DE PROBABILIDAD 1 2 3 4 5

Evento que puede ocurrir sólo en circunstancias excepcionales , entre 0 y una vez cada seis meses Improbable Evento que puede ocurrir en pocas de las circunstancias, entre 2 y 5 veces en un semestre. Evento que puede ocurrir en algunas de las circunstancias entre Posible seis y 10 veces en un semestre. Evento que puede ocurrir en casi siempre entre 11 y 15 veces en Probable un semestre. Evento que puede ocurrir en la mayoría de las circunstancias casi más de 15 veces en un semestre. certeza

Raro

Tabla 6. Escala de probabilidad 

Impacto

Son las consecuencias que genera un riesgo una vez se materialice. Para esto se utiliza la siguiente escala, identificando cual sería el impacto de acuerdo a cada tipo (Usuario, Procesos, Financiero, Aprendizaje) si aplica. El impacto que se deja en la matriz es el que haya dado más alto. ESCALA DE IMPACTO Nivel 1

2

Usuario

Procesos

Financiero

Aprendizaje

No tiene impacto Impacta negativamente Impacta Impacta de forma Financiero para la la posibilidad de adquirir Insignificante negativamente la leve la operación secretaria o sus conocimiento por parte imagen del un rol. de un rol procesos de un rol. Menor

Impacta Impacta negativamente la importante imagen del operación proceso. proceso

Se pueden presentar Impacta negativamente la sobrecostos la posibilidad de adquirir del (reprocesos) a nivel conocimiento a nivel de de proceso un proceso

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 16 de 31

ESCALA DE IMPACTO Nivel

3

Moderado

4

Mayor

5

Usuario Procesos Financiero Aprendizaje Impacta Impacta Se pueden presentar Impacta negativamente negativamente la negativamente no sobrecostos la oportunidad de imagen no sólo sólo la operación (reprocesos) no sólo adquirir conocimiento no del proceso del proceso en el proceso sólo del proceso evaluado sino de evaluado sino a evaluado sino a otros evaluado sino de otros otros procesos otros procesos procesos. procesos. Impacta Impacta negativamente Se pueden presentar Impacta negativamente la la oportunidad de sobrecostos negativamente la operación de la adquirir conocimiento a (reprocesos) imagen de la Secretaria ó sus nivel de todos los significativos para la Secretaria objetivos procesos de la Secretaria general misionales secretaria.

Impacta Se pueden presentar Impacta Impacta negativamente negativamente la sobrecostos negativamente la no solo operación la oportunidad de Catastrófico (reprocesos) imagen del de la Secretaria si adquirir conocimiento al significativos para el distrito distrito no otras entidades distrito del distrito Tabla 7. Escala de impacto

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 17 de 31

CÓDIGO VERSIÓN PÁGINA:

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN



2213200-OT-037 01 17 de 31

Ejemplo  Análisis del Riesgo

Tipo

Nombre del

Descripción del

Activo

Activo

Causas

Descripción del

Tipo de Riesgo Vulnerabilidades

e

en

cuanto Servicio Correo

envió

de disponibilidad

Electrónico

comunicaciones internas

del activo de

y información.

Impacto

Zona de Riesgo

o a una el

proceso

7

Probabilidad

Amenazas

falla

empleado para el Pérdida de la

Consecuencia

Riesgo

Mantenimientos no adecuados de la Procesos infraestructura

externas.

en a

la

planeación

de

los

Retrasos en la

mantenimientos

realización de las

se

puede actividades

suscitar

la proceso

perdida

de

del

Zona Probable

Mayor

de

riesgo Extrema

disponibilidad del servicio de Correo Electrónico

Tabla 8. Análisis del Riesgo.

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195

2211700-OT-037 Versión 01

CÓDIGO VERSIÓN PÁGINA:

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN 

2213200-OT-037 01 18 de 31

Ejemplo  Análisis del Riesgo

Tipo

Nombre del

Descripción del

Activo

Activo

Causas

Descripción del

Tipo de Riesgo

Consecuencia

Riesgo Vulnerabilidades

Probabilidad

Impacto

Zona de Riesgo

Amenazas

Debido a una falla

en

el

proceso cuanto Servicio empleado para el Pérdida de la 7

Correo

envió

Electrónico

comunicaciones internas externas.

de disponibilidad del activo de

y información.

Mantenimientos no adecuados de la Procesos infraestructura

en a

la

planeación

de

los

Retrasos en la

mantenimientos

realización de las

se

puede actividades

suscitar

la proceso

perdida

de

disponibilidad del servicio de Correo Electrónico

Tabla 8. Análisis del Riesgo.

del

Zona Probable

Mayor

riesgo Extrema

de

CÓDIGO VERSIÓN PÁGINA:

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN 

2213200-OT-037 01 18 de 31

Ejemplo  Análisis del Riesgo

Tipo

Nombre del

Descripción del

Activo

Activo

Causas

Descripción del

Tipo de Riesgo

Consecuencia

Riesgo Vulnerabilidades

Probabilidad

Impacto

Zona de Riesgo

Amenazas

Debido a una falla

en

el

proceso cuanto Servicio empleado para el Pérdida de la 7

Correo

envió

de disponibilidad

Electrónico

comunicaciones internas

del activo de

y información.

Mantenimientos no adecuados de la Procesos infraestructura

externas.

en a

la

planeación

de

los

Retrasos en la

mantenimientos

realización de las

se

puede actividades

suscitar

la proceso

perdida

de

del

Zona Probable

Mayor

de

riesgo Extrema

disponibilidad del servicio de Correo Electrónico

Tabla 8. Análisis del Riesgo.

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195

2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 19 de 31

4.4 VALORACIÓN DEL RIESGO 4.4.1 Identificación de los Controles Existentes en la Secretaría para la Protección del Activo Los controles deben ser identificados teniendo en cuenta el par amenaza vulnerabilidad y el riesgo que se está evaluando. Para la selección de controles se puede tener en cuenta el siguiente catálogo: DOMINIO POLITICA SEGURIDAD

OBJETIVO DE CONTROL DE Política de Seguridad de la Información

Nro. 1 2 3

CONTROLES Documento de la política de seguridad de la información Revisión de la política de seguridad de la información Compromiso de la dirección con la seguridad de la información Coordinación de la seguridad de la

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 19 de 31

4.4 VALORACIÓN DEL RIESGO 4.4.1 Identificación de los Controles Existentes en la Secretaría para la Protección del Activo Los controles deben ser identificados teniendo en cuenta el par amenaza vulnerabilidad y el riesgo que se está evaluando. Para la selección de controles se puede tener en cuenta el siguiente catálogo: DOMINIO POLITICA SEGURIDAD

OBJETIVO DE CONTROL DE Política de Seguridad de la Información

Nro. 1 2 3 4 5

Organización de la Seguridad de la Información ORGANIZACION DE SEGURIDAD

6 7 8 9 10 11

Partes Externas

GESTIÓN ACTIVOS

DE Responsabilidad activos

12

por

los

13 14 15 16

CONTROLES Documento de la política de seguridad de la información Revisión de la política de seguridad de la información Compromiso de la dirección con la seguridad de la información Coordinación de la seguridad de la información  Asignación de responsabilidades para la seguridad de la información Proceso de autorización para los servicios de procesamiento de información Acuerdos de confidencialidad Contacto con las autoridades Contactos con grupos de interés especial Revisión independiente de la seguridad de la información Identificación de los riesgos relacionados con las partes externas Consideraciones de la seguridad cuando se trata con los clientes. Consideraciones de la seguridad en los acuerdos con terceras partes Inventario de Activos de Información Propiedad de los Activos de Información Uso aceptable de los Activos de Información

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN DOMINIO

OBJETIVO DE CONTROL

Nro.

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 20 de 31

CONTROLES

Gestión de la prestación del servicio por terceras partes

46

Planificación y aceptación del sistema

47 48 49

Gestión de la Prestación del servicio por parte de terceros Monitoreo y revisión de los servicios por terceras partes Gestión de los cambios en los servicios por terceras partes Gestión de la capacidad Gestión de la aceptación del sistema

50

Controles contra códigos maliciosos

51

Control contra códigos móviles

52

Respaldo de la información

53

Controles de las redes

54 55

Seguridad de los servicios de red Gestión de los medios removibles Eliminación de los medios de almacenamiento Procedimientos para el manejo de la información Seguridad de la documentación del sistema Políticas y procedimientos para el intercambio de información  Acuerdos para el intercambio de información Gestión de los Medios físicos en tránsito Gestión del uso de la mensajería electrónica Controles de para la interconexión de sistemas de información del negocio Protección de la información generada de las actividades de Comercio electrónico Protección de la información generada por las transacciones en línea Protección de la integridad de la Información disponible al público Registro de auditorías Monitoreo del uso del sistema Protección de la información del registro Registros del administrador y del operador Registro de fallas

45

Protección contra códigos móviles y maliciosos Respaldo Gestión de la Seguridad de las Redes

Manejo de los Medios

56 57 58 59

Intercambio de Información

60 61 62 63 64

Servicios Electrónico

Monitoreo

de

Comercio 65 66 67 68 69 70 71

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN DOMINIO

OBJETIVO DE CONTROL

Nro.

Requisitos del negocio para el control de acceso

Gestión Usuarios

de

Acceso

de

de

los

73

Política de control del acceso

74

Registro de usuarios

75

Gestión de privilegios

76

Gestión de contraseñas para usuarios Revisión de los derechos de acceso de los usuarios

78 79

82 83

DE Control de Acceso a redes

Control de Acceso al sistema Operativo

Control de Acceso a Aplicaciones y a Información

las la

Computación Móvil y Trabajo Remoto Requisitos de seguridad de los sistemas de información

CONTROLES Sincronización de relojes

80 81 CONTROL ACCESO

2213200-OT-037 01 21 de 31

72

77 Responsabilidades usuarios

CÓDIGO VERSIÓN PÁGINA:

84 85 86 87 88 89 90 91 92 93 94 95 96 97

98 ADQUISICIÓN, DESARROLLO y 99 MANTENIMIENTO DE SISTEMAS DE Procesamiento correcto de las 100 aplicaciones INFORMACIÓN 101 102

Uso de contraseñas Norma Equipo de usuario desatendido Norma de escritorio despejado y de Pantalla despejada Norma del uso de los servicios en red  Autenticación de usuarios para conexiones externas Identificación de los equipos en las redes Protección de los puertos de configuración y diagnóstico remoto Separación en las redes Control de las conexiones en red Control del enrutamiento en la red Procedimientos de ingreso seguros Identificación y autenticación del usuario Sistema de gestión de contraseñas Uso de las utilidades del sistema Tiempo de inactividad de la sesión Limitación del tiempo de conexión Restricción del acceso a la información Aislamiento de sistemas sensibles Gestión de la Computación y comunicaciones móviles Gestión del Trabajo remoto  Análisis y especificación de los requisitos de seguridad. Validación de los datos de entrada Control del procesamiento interno Verificación de la Integridad del mensaje Validación de los datos de salida

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN DOMINIO

OBJETIVO DE CONTROL

Nro. 103 104 105

Controles Criptográficos

Seguridad de los archivos del 106 sistema 107

GESTION INCIDENTES MONITOREO

DE -

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

CUMPLIMIENTO

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 22 de 31

CONTROLES Política sobre el uso de controles criptográficos Gestión de llaves Control del software operativo Protección de los datos de prueba del sistema Control del acceso al código fuente de programas

108 Procedimientos de control de cambios Revisión técnica de las aplicaciones después de los cambios en el sistema 109 operativo Seguridad en los procesos de Restricciones en los cambios a los desarrollo y soporte 110 paquetes de software Normativa relacionada con la Fuga de 111 Información Desarrollo de software contratado 112 externamente Gestión de la Vulnerabilidad Técnica 113 Control de las vulnerabilidades técnicas Reporte sobre los eventos de seguridad Reporte sobre los eventos y las debilidades de seguridad 114 de la información Reporte sobre las debilidades en la de la información 115 seguridad Responsabilidades y procedimientos para 116 la gestión de incidentes Gestión de los incidentes y las  Aprendizaje debido a los incidentes de mejoras en la seguridad de la 117 seguridad de la información información Procedimiento para recolección de 118 evidencias Inclusión de la seguridad de la información en el proceso de gestión de la 119 continuidad del negocio Continuidad del negocio y evaluación de 120 riesgos Aspectos de seguridad de la Desarrollo e implementación de planes de información en la Gestión de continuidad que incluyan la seguridad de la Continuidad de Negocios 121 la información Estructura para la planificación de la 122 continuidad del negocio Pruebas, mantenimiento y reevaluación 123 de los planes de continuidad del negocio Cumplimiento de requisitos legales

los

124 Identificación de la legislación aplicable 125 Derechos de propiedad intelectual (DPI) 126 Protección de los registros de la

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN DOMINIO

OBJETIVO DE CONTROL

Nro.

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 23 de 31

CONTROLES organización

127 128 129 Cumplimiento de las Políticas y las normas de seguridad y 130 cumplimiento técnico 131 Consideraciones de la 132 Auditoría de los sistemas de Información 133

Protección de los datos y privacidad de la información personal Prevención del uso inadecuado de los servicios de procesamiento de información Reglamentación de los controles criptográficos Cumplimiento con las políticas y las normas de seguridad Verificación del cumplimiento técnico Controles de auditoría de los sistemas de información Protección de las herramientas de auditoría de los sistemas de información

Tabla 9. Catálogo de controles.

4.4.2 Naturaleza de control Los controles pueden ser preventivos o correctivos 

Control Preventivos

Los controles preventivos son aquellos que están enfocados en la mitigación de las causas (amenaza - vulnerabilidad) para evitar su materialización. 

Controles Correctivos

Los controles correctivos están enfocados en la recuperación de los activos luego de la materialización del riesgo.

4.4.3 Características del Control Para todos los controles identificados se debe especificar si el control se encuentra documentado, si el control se está aplicando y si el control es efectivo es minimizar el riesgo.

4.4.4 Factores

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 24 de 31

Valoración del control El control se encuentra documentado SI NO

Se aplica el control SI NO

Es efectivo para minimizar el riesgo SI NO

Tabla 10. Factores calificación de controles.

4.4.5 Variables para la valoración Para establecer la valoración del riesgo se debe tener en cuenta la probabilidad y el impacto de cada par amenaza vulnerabilidad y los controles existentes para la mitigación del riesgo.

4.4.6 Probabilidad. Es la posibilidad que la amenaza aproveche la vulnerabilidad para materializar el riesgo. Para esto se utiliza la siguiente escala: ESCALA DE PROBABILIDAD 1

Raro

2

Improbable

3

Posible

4

Probable

5

casi certeza

Evento que puede ocurrir sólo en circunstancias excepcionales , entre 0 y una vez cada seis meses Evento que puede ocurrir en pocas de las circunstancias, entre 2 y 5 veces en un semestre. Evento que puede ocurrir en algunas de las circunstancias entre seis y 10 veces en un semestre. Evento que puede ocurrir en casi siempre entre 11 y 15 veces en un semestre. Evento que puede ocurrir en la mayoría de las circunstancias más de 15 veces en un semestre. Tabla 11. Escala de probabilidad

4.4.7 Impacto

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN

2213200-OT-037 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 25 de 31

Son las consecuencias que genera un riesgo una vez se materialice. Para esto se utiliza la siguiente escala, identificando cual sería el impacto de acuerdo a cada tipo (Usuario, Procesos, Financiero, Aprendizaje) si aplica. El impacto que se deja en la matriz es el que haya dado más alto. ESCALA DE IMPACTO Nivel 1

Usuario

Financiero

Aprendizaje

No tiene impacto Impacta negativamente Impacta Impacta de forma Financiero para la la posibilidad de adquirir Insignificante negativamente la leve la operación secretaria o sus conocimiento por parte imagen del un rol. de un rol procesos de un rol.

2

Menor

3

Moderado

4

Mayor

5

Procesos

Impacta Impacta Se pueden presentar Impacta negativamente negativamente la importante la sobrecostos la posibilidad de adquirir imagen del operación del (reprocesos) a nivel conocimiento a nivel de proceso. proceso de proceso un proceso Impacta Impacta Se pueden presentar Impacta negativamente negativamente la negativamente no sobrecostos la oportunidad de imagen no sólo sólo la operación (reprocesos) no sólo adquirir conocimiento no del proceso del proceso en el proceso sólo del proceso evaluado sino de evaluado sino a evaluado sino a otros evaluado sino de otros otros procesos otros procesos procesos. procesos. Impacta Impacta negativamente Se pueden presentar Impacta negativamente la la oportunidad de sobrecostos negativamente la operación de la adquirir conocimiento a (reprocesos) imagen de la Secretaria ó sus nivel de todos los significativos para la Secretaria objetivos procesos de la Secretaria general misionales secretaria.

Impacta Se pueden presentar Impacta Impacta negativamente negativamente la sobrecostos negativamente la la oportunidad de no solo operación (reprocesos) Catastrófico imagen del adquirir conocimiento al de la Secretaria si significativos para el distrito distrito no otras entidades distrito del distrito Tabla 12. Escala de impacto

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2213200-OT-037 01 26 de 31

CÓDIGO VERSIÓN PÁGINA:

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

Ejemplo



 Análisis del Riesgo Tip o

Nombr  e del Activo

Descripció n del Activo

Causas

Tipo de Riesgo

Vulnerabilid ades

7

2213200-OT-037 01 26 de 31

Correo Electró nico

Servicio empleado para el envió de comunicaci ones internas y externas.

Pérdida de la disponibili dad del activo de informaci ón.

Mantenimien tos no adecuados de la infraestructu ra

Descripció n del Riesgo

Consecue ncia

Probabili dad

Impa cto

Zona de Riesgo

Controles Asociado s

Natural eza del Control

Amena zas

Proces os

Debido a una falla en el proceso en cuanto a la planeación de los mantenimi entos se puede suscitar la perdida de disponibilid ad del servicio de Correo Electrónico

Retrasos en la realización de las actividade s del proceso

Probable

Valoración del Riesgo

Valoración del control

Mayo r

Zona de riesgo Extrema

Procedimie ntos de contrato con proveedor  es de Tecnología de Informació n Contratos de mantenimi ento preventivo de la infraestruct ura de tecnológic a Contratos de mantenimi ento correctivo de la infraestruct ura de tecnológic a

El control se encuentra document ado

Se aplica el contro l

Es efectivo para minimiz ar el riesgo

SI

S I

S I

NO

N O

Preventi vo

x

x

x

Preventi vo

x

x

x

Correcti vo

x

x

x

Probabili dad

Descripción del impacto

Impact o Usua rio

NO

Posible

Moder  ado

Proce so

Financi ero

X

Descrip ción del impacto

Zona de Riesgo

Proceso s

Zona de riesgo Alta

 Aprendi zaje

Tabla 13. Valoración del Riesgo

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195

2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2211700-OT-037 01 27 de 31

4.4.8 Nivel de Riesgo Residual Corresponde al nivel de riesgo de la Secretaria con los controles existentes, el nivel de riesgo residual da la pauta para la definición de nuevos controles o mejoras de los existentes teniendo en cuenta que el nivel aceptable de riesgo es el nivel bajo para los demás niveles se deberá definir planes para su tratamiento.

1 Insignificante

2 Menor

IMPACTO 3 Moderado

Raro

B

B

M

A

A

Improbable

B

B

M

A

E

Posible

B

M

A

E

E

PROBABILIDAD 1 2 3

4 Mayor

5 Catastrófico

CÓDIGO VERSIÓN PÁGINA:

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

2211700-OT-037 01 27 de 31

4.4.8 Nivel de Riesgo Residual Corresponde al nivel de riesgo de la Secretaria con los controles existentes, el nivel de riesgo residual da la pauta para la definición de nuevos controles o mejoras de los existentes teniendo en cuenta que el nivel aceptable de riesgo es el nivel bajo para los demás niveles se deberá definir planes para su tratamiento.

1 Insignificante

2 Menor

IMPACTO 3 Moderado

Raro

B

B

M

A

A

Improbable

B

B

M

A

E

Posible

B

M

A

E

E

Probable

M

A

A

E

E

PROBABILIDAD 1 2 3 4

4 Mayor

5 Catastrófico

5

Casi Certeza A A E E B : Zona de Riesgo Baja, Asumir el Riesgo, Acción Preventiva, Monitorización del Riesgo M : Zona de riesgo Moderada, asumir el riesgo, reducir el riesgo, Definir A : Zona de riesgo Alta,

E

planes de tratamiento

reducir el riesgo, evitar el riesgo, compartir o transferir, Definir planes de tratamiento

E : Zona de riesgo Extrema, evitar el riesgo, reducir el riesgo, compartir o

tratamiento

Figura 1. Matriz de Riesgo.

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

transferir, Definir planes de

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2211700-OT-037 01 28 de 31

4.5 TRATAMIENTO DE LOS RIESGOS Una vez se ha calculado el riesgo residual se procede a definir los proyectos que van a permitir disminuir los riesgos de los niveles Inaceptable, Importante, Moderado y Tolerable al nivel Aceptable: L o s r i e s g o s c a l i f ic a d o s c o m o

Inaceptable, Importante, Moderado y Tolerable

serán in cluid os dentro de lo s p lanes de m itigación.

4.5.1 Opciones para el Tratamiento de los Riesgos Residuales Extremos y Altos Las opciones para el tratamiento de los riesgos son las siguientes: 

Evitar el riesgo: tomar las medidas encaminadas a prevenir su materialización



Reducir el riesgo:  implica tomar medidas encaminadas a disminuir

tanto la

probabilidad (medidas de prevención), como el impacto (medidas de protección) 

Compartir o transferir el riesgo:  Reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como el caso de los contratos de seguros o a través de otros medio que permite distribuir la porción de riesgo con otra entidad como los traspasos de riesgo compartido.



Asumir el riesgo:  acepta la pérdida residual probable y elaborar planes de contingencia para su manejo.

4.5.2 Acciones de Mitigación Determine las acciones de tratamiento identificando responsables, cronograma e indicadores entre otros.

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

CÓDIGO VERSIÓN PÁGINA:

2211700-OT-037 01 29 de 31

METODOLOGÍA PARA VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

CÓDIGO VERSIÓN PÁGINA:

2211700-OT-037 01 30 de 31

4.6 REVISIÓN Y MONITORIZACIÓN Una vez diseñado y validado el plan para administrar los riesgos, en el mapa de riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la secretaria. El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficacia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas.  A partir del análisis y calificación de riesgos, se debe formular un plan para el tratamiento de riesgos que identifique la gestión apropiada, los recursos, responsabilidad y prioridades para manejar los riesgos de seguridad de la información. La Secretaria debe ejecutar procedimientos de seguimiento y revisión para detectar oportunamente los errores en los procesamientos e identificar con prontitud incidentes e intentos de violación de seguridad, así como determinar si las acciones tomadas para solucionar un problema de seguridad fueron eficaces.

Carrera 8 No. 10  – 65 Tel.: 381 30 00 www.bogota.gov.co Info: Línea 195 2211700-OT-037 Versión 01

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF