Sgsi-m01 Riesgos v4
Short Description
gbfvc...
Description
TITULO
METODOLOGÍA DE GESTIÓN DE RIESGOS
CODIGO
SGSI-M01
METODOLOGIA DE GESTIÓN DE RIESGOS SGSI-M01
RESPONSABILIDAD RESPONSABILIDAD Y AUTORIDAD REVISADO POR: POR: Claudia Paez
FECHA
15/10/14
FIRMA
TITULO
METODOLOGÍA DE GESTIÓN DE RIESGOS
CODIGO
SGSI-M01
1. TABLA DE MODIFICACIONES En este documento se realizaron cambios. Por favor léalos y aplíquelos. Verifique que esté utilizando la última Versión correspondiente a la última revisión. Nº VERSIÓN MODIFIC.
FECHA MODIFIC.
1
Marzo/2008
2
Junio/2008
2
Junio/2009
Detallar el alcance de la metodología.
2
Junio/2009
Se detallan cada una de las etapas para el análisis de riesgos que se realiza en la compañía. Actualizar la figura 4. Matriz de Riesgos Se mantiene la versión del documento. Actualizar logo de grupo empresarial, se actualiza el nombre, objeto y alcance del documento.
3
Julio/2011
MODIFICACIONES Ajuste de la metodología de acuerdo a las necesidades de la compañía. Ajuste a la metodología teniendo en cuenta los criterios de confidencialidad, integridad y disponibilidad de la información. Eliminación de la tabla de registros.
TITULO
METODOLOGÍA DE GESTIÓN DE RIESGOS
CODIGO
SGSI-M01
TABLA DE CONTENIDO
1. 2. 3. 4. 5. 6. 7.
TABLA DE MODIFICACIONES ................................................... ....................... 2 OBJETIVO ............................................................................................................. 4 ALCANCE ............................................................................. ................................. 4 DOCUMENTOS PARA CONSULTA .................................................... ............. 4 DEFINICIONES ................................................... .................................................. 4 GENERALIDADES ........................................................................................... .... 5 ANALISIS DE RIESGOS ............................................................................... ...... 6
TITULO
METODOLOGÍA DE GESTIÓN DE RIESGOS
CODIGO
SGSI-M01
2. OBJETIVO Esta metodología tiene como finalidad gestionar los riesgos de seguridad de la información asociados con la pérdida de confidencialidad, integridad y disponibilidad de la información del grupo empresarial y que puedan afectar la operación de la empresa. 3. ALCANCE Inicia con la identificación de los activos de información de la compañía y sus propietarios, continúa con identificación y valoración de los riesgos de seguridad de la información, los cuales permiten determinar los diferentes niveles de riesgos asociados a los activos de información y finaliza con la definición e implementación de un plan de tratamiento de riesgos. Aplicable a todos los procesos que intervengan en el manejo de la información de la organización. 4. DOCUMENTOS PARA CONSULTA Norma Técnica NTC-ISO/IEC 27001-2013 Ítem 6.1.2,6.13,8.3 Norma Técnica NTC-ISO/IEC 27001 Anexo A.
5. DEFINICIONES
TITULO
METODOLOGÍA DE GESTIÓN DE RIESGOS
CODIGO
SGSI-M01
Ataque: Cualquier acción deliberada encaminada a violar los controles o los mecanismos de seguridad de un sistema de información ó seguridad de la información. Confidencialidad: Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso. Frecuencia: Tasa de ocurrencia de una amenaza. Gestión de riesgos: Selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Impacto: Consecuencia que sobre un activo tiene la materialización de una amenaza. Incidente: Evento con consecuencias en detrimento de la seguridad del sistema de información. Integridad: Garantía de la exactitud y completitud de la información y los métodos de su procesamiento. Riesgo: Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. Riesgo residual: Riesgo remanente en el sistema tras la implantación de las
TITULO
METODOLOGÍA DE GESTIÓN DE RIESGOS
CODIGO
SGSI-M01
forma se pueden priorizar los problemas y su costo potencial desarrollando un plan de acción adecuado. A continuación se presenta un esquema general del análisis de riesgos que realiza la compañía.
Figura 1. Esquema análisis de riesgos.
La organización debe realizar el proceso de valoración y gestión de riesgos por lo menos una vez al año, sin embargo esta frecuencia puede variar por cambios en la infraestructura, ingreso de nuevos proyectos, solicitud del cliente o criticidad de las
TITULO
METODOLOGÍA DE GESTIÓN DE RIESGOS
CODIGO
SGSI-M01
Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos. Las aplicaciones informáticas (software) que permiten manejar los datos. Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y servicios. Los soportes de información que son dispositivos de almacenamiento de datos. El equipamiento auxiliar que complementa el material informático. Las redes de comunicaciones que permiten intercambiar datos. Las instalaciones que acogen equipos informáticos y de comunicaciones. Las personas que explotan u operan todos los elementos anteriormente citados. 7.2 Valoración del Impacto de los Activos
Los incidentes causan un impacto dentro de la organización, que también deberá tomarse en cuenta a la hora de calcular los riesgos. La valoración del impacto puede realizarse de forma cuantitativa, estimando las pérdidas económicas, o de forma cualitativa, asignando un valor dentro de una escala (por ejemplo: alto, medio, bajo). Por ejemplo, el robo de información confidencial de la compañía puede causar un impacto alto si ésta cae en malas manos.
IMPACTO
= CONFIDENCIALIDAD X DISPONIBILIDAD X INTEGRIDAD
TITULO
METODOLOGÍA DE GESTIÓN DE RIESGOS
CODIGO
SGSI-M01
Figura 2. Clasificación general de amenazas
7.3.2 Identificar Vulnerabilidades Las vulnerabilidades son debilidades que pueden ser explotadas para convertir una amenaza en un riesgo real que puede causar daños graves en la compañía. Las vulnerabilidades en sí mismas no causan daño alguno, sino que es una condición o un conjunto de condiciones que pueden permitir a una amenaza afectar a un activo. Para identificar las vulnerabilidades que pueden afectar a una compañía debemos responder a la pregunta: ¿Cómo puede ocurrir una amenaza? Para responder a esta pregunta ponemos como objetivo la amenaza y definimos las distintas situaciones por las que puede ocurrir la misma, evaluando si dentro de la
TITULO
METODOLOGÍA DE GESTIÓN DE RIESGOS
RIESGO
CODIGO
SGSI-M01
= PROBABILIDAD X IMPACTO
7.5 Determinar los niveles de riesgo Una vez efectuado el cálculo del riesgo por cada activo de información, en relación con los riesgos de seguridad, se debe determinar cuáles son aquellos riesgos más significativos. Para realizar esta evaluación se deben determinar los criterios y niveles de riesgos aceptables para la compañía. En tal sentido a continuación se describen los criterios y niveles de riesgo aceptables para la organización. NIVEL DE ACEPTACIÓN DEL RIESGO INSIGNIFICANTE
ES UN RIESGO ACEPTABLE PARA LA ORGANIZACIÓN
CONSIDERABLE
ES UN RIESGO QUE SE ACEPTA CON ALGUN TIPO DE INTERVENCIÓN
IMPORTANTE
ES UN RIESGO INACEPTABLE PARA LAORGANIZACIÓN
7.6 Determinar el tratamiento del riesgo
TITULO
METODOLOGÍA DE GESTIÓN DE RIESGOS
CODIGO
SGSI-M01
inundaciones y terremotos, la compañía cuenta con una póliza multiriesgo que nos cubre económicamente frente a la probabilidad de materialización de estos riesgos.
Aceptar Objetivamente el Riesgo: En la cual la Compañía no encuentra controles para reducir el riesgo, o la implementación de los controles tiene un costo mayor que las consecuencias del riesgo. Evitar el riesgo: Son acciones orientadas a cambiar las actividades, o la manera de realizar una actividad en particular; el riesgo puede evitarse por ejemplo no desarrollando ciertas actividades comerciales como no utilizar internet, mover los activos de un área de riesgo, decidir no procesar información particularmente sensible. 7.6.1
Evaluar Contramedidas
Para reducir riesgos se utilizan los denominados controles o medidas de seguridad y sus objetivos. Podemos clasificar los controles en: Controles preventivos: Identifican potenciales problemas antes de que ocurran. Previenen errores, omisiones o actos maliciosos. Ejemplos:
TITULO
METODOLOGÍA DE GESTIÓN DE RIESGOS -
CODIGO
SGSI-M01
Solucionan errores detectados por controles detectivos. Identifican la causa de los problemas con el objeto de corregir errores producidos. Modifican los procedimientos para minimizar futuras ocurrencias del problema.
Ejemplos: -
Parches de seguridad. Corrección de daños por virus. Recuperación de datos perdidos.
Las medidas seleccionadas para mitigar riesgos deben mantener una proporción entre el esfuerzo y coste necesarios para su implantación y el riesgo que mitigan (evaluación del coste-beneficio). Uno de los objetivos del análisis de riesgos es evitar en la medida de lo posible que se produzcan incidente. Por ello, es importante que la compañía conozca sus riesgos y ponga las medidas adecuadas para corregir el mayor número de vulnerabilidades que puedan provocar un incidente grave. La gestión de riesgos debe ser periódica y en función de la evolución del negocio (crecimiento), de cambios importantes en la organización (procesos internos), nuevas obligaciones legales, etc. 7.7 Tratamiento de Riesgos Con base en los resultados del análisis de riesgos la alta dirección debe escoger el tratamiento del riesgo acorde a las necesidades de la orgnizacióna, así como proveer los
TITULO
CODIGO
METODOLOGÍA DE GESTIÓN DE RIESGOS 8
SGSI-M01
CRITERIOS DE VALORACIÓN Tabla 1. Criterios Valoración de Seguridad de los Activos VALORACIÓN DE SEGURIDAD
CRITERIOS
MUY BAJO
BAJO
MEDIO
ALTO
1
2
3
4
CONFIDENCIALIDAD
INTEGRIDAD La pérdida de exactitud y El conocimiento a divulgación no completitud del activo o la autorizada de la información que información que gestiona gestiona el activo no tiene ningún el activo no genera ningún impacto en los procesos o la impacto en los procesos o organización. la organización. La pérdida de exactitud y El conocimiento a divulgación no completitud del activo o la autorizada de la información que información que gestiona gestiona el activo tiene un el activo genera un impacto bajo en los procesos o la impacto bajo en los organización. procesos o la organización. La pérdida de exactitud y El conocimiento a divulgación no completitud del activo o la autorizada de la información que información que gestiona gestiona el activo tiene un el activo genera un impacto moderado en los impacto moderado en los procesos o la organización. procesos o la organización. La pérdida de exactitud y El conocimiento a divulgación no completitud del activo o la autorizada de la información que información que gestiona gestiona el activo tiene un el activo genera un
DISPONIBILIDAD La falta o no disponibilidad del activo o la información que gestiona el activo no genera ningún impacto en los procesos o la organización. La falta o no disponibilidad del activo o la información que gestiona el activo genera un impacto bajo en los procesos o la organización. La falta o no disponibilidad del activo o la información que gestiona el activo genera un impacto moderado en los procesos o la organización. La falta o no disponibilidad del activo o la información que gestiona el activo genera un
TITULO
METODOLOGÍA DE GESTIÓN DE RIESGOS
1 2 3 4 5
AMENAZAS Falla de software Ingeniería social Sucesos de origen físico Fallas de infraestructura Daño, perdida , fuga, robo o modificación de información Tabla 4. Vulnerabilidades
1 2 3
VULNERABILIDADES Mal manejo de sistemas y herramientas Utilización de programas no autorizados / software 'pirateado' Falta de pruebas de software nuevo con datos productivos
5
Infección de sistemas a través de unidades po rtables sin escaneo Falta de actualización de software (proceso y recursos)
6
Sabotaje (ataque físico y electrónico)
7
Robo / Hurto de información electrónica
8
Intrusión a Red interna
9
Daños por vandalismo
4
CODIGO
SGSI-M01
TITULO
METODOLOGÍA DE GESTIÓN DE RIESGOS 24 25 26
Transmisión no cifrada de datos críticos Manejo inadecuado de contraseñas (inseguras, no cambiar, compartidas, BD centralizada) Compartir contraseñas o permisos a terceros no autorizados
31
Transmisión de contraseñas por teléfono Exposición o extravío de equipo, unidades de almacenamiento, etc Sobrepasar autoridades Falta de definición de perfil, privilegios y restricciones del personal Fallas en permisos de usuarios (acceso a archivos)
32
Acceso electrónico no autorizado a sistemas externos
33
Acceso electrónico no autorizado a sistemas internos
34
36
Red inalámbrica expuesta al acceso no autorizado Falta de mecanismos de verificación de normas y reglas / Análisis inadecuado de datos de control Ausencia de documentación
37
Falla / daño de hardware
27 28 29 30
35
Tabla 5. Valores de Probabilidad VALORES DE PROBALIDAD
CODIGO
SGSI-M01
TITULO
METODOLOGÍA DE GESTIÓN DE RIESGOS
CODIGO
SGSI-M01
Tabla 6. Valores de Riesgo 1 VALORACIÓN DEL RIESGO PROBABILIDAD
MUY BAJO
1
MUY BAJO 1 1
BAJO
2
2
4
6
8
10
MEDIO
3
3
6
9
12
15
ALTO
4
4
8
12
16
20
MUY ALTO
5
5
10
15
20
25
IMPACTO
BAJO
MEDIO
ALTO
2 2
3 3
4 4
MUY ALTO 5 5
Tabla 7. Valores de Riesgo 2 VALORES DE RIESGO ESCALA MUY BAJO BAJO
VALO R
1-2
1
3-6
2
NIVEL DE ACEPTACIÓN DEL RIESGO INSIGNIFICANT E INSIGNIFICANT E
ES UN RIESGO ACEPTABLE PARA LA ORGANIZACIÓN ES UN RIESGO ACEPTABLE PARA LA ORGANIZACIÓN
TITULO
METODOLOGÍA DE GESTIÓN DE RIESGOS
9
CODIGO
SGSI-M01
CONTROL DE REGISTROS
Nº
1
2
3
4
RESPONSABLE ARCHIVO
IDENTIFICACION
SGSI-M01-F01 Matriz de Valoración de Activos
SGSI-M01-F02 Matriz de Valoración de Riesgos
SGSI-M01-F03 Plan de tratamiento de riesgos Declaración de Aplicabilidad de Seguridad de la Información
SGI
SGI
SGI
SGI
VERSION No. 04
UBICACIÓN
\\EQUIPO05 \Sistemas de Gestion\SGI\ PROCESOS \8. SGSI \\EQUIPO05 \Sistemas de Gestion\SGI\ PROCESOS \8. SGSI \\EQUIPO05 \Sistemas de Gestion\SGI\ PROCESOS \8. SGSI \\EQUIPO05 \Sistemas de Gestion\SGI\ PROCESOS \8. SGSI
ORDENACION (numerico Alfabetico Cronologico)
DISPONIBILIDAD DE ACCESO
SOPORTE
TIEMPO RETENCION A-G
TIEMPO RETENCIO N A-C
Cronológico
Gerentes de Transversales /Proyectos
Digital
2 años
2 año
Eliminación
Cronológico
Gerentes de Transversales /Proyectos
Digital
2 años
2 año
Eliminación
Cronológico
Gerentes de Transversales /Proyectos
Digital
2 años
2 año
Eliminación
Cronológico
Gerentes de Transversales /Proyectos
Digital
2 años
2 año
Eliminación
VIGENTE DESDE EL 15 DE OCTUBRE DE 2014
PÁGINA 16 DE 16
DISPOSICION FINAL
View more...
Comments
