Administracion de Riesgos Alcaldia Bta

METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN
CDIGO VERSIN PGINA:
2213200-OT-037 01 1 de 31
SECRETARA GENERAL ALCALDA MAYOR DE BOGOT.
ELABORO REVISO APROB
NOMBRE Edelmira Rodrguez G Fabio Fernando Snchez Snchez Mnica del Pilar Rubio Arenas
CARGO Prof-especializado Subdirector de Informtica y Sistemas
FECHA 08-08-2012 10-08-2012
FIRMA
Directora Corporativa 16-10-2012
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2213200-OT-037 01 2 de 31
TABLA DE CONTENIDO
GLOSARIO .................................................................................................................... 4 1 INTRODUCCIN ................................................................................................ 6 2 PREMISA ............................................................................................................ 6 3 GENERALIDADES .............................................................................................. 7 3.1.1 Definir el personal involucrado en los talleres de anlisis de riesgo..................... 8 4 DESCRIPCIN ................................................................................................... 9 4.1 DETERMINAR EL CONTEXTO ESTRATGICO ................................................. 9 4.1.1 Compromiso de la Alta y Media Direccin ........................................................... 9 4.2 IDENTIFICACIN DEL RIESGO .......................................................................... 9 4.2.1 Identificacin de los activos a analizar ................................................................. 9 4.2.2 Identificacin del Tipo de Riesgo ....................................................................... 10 4.3 ANALIZAR LOS RIESGOS ................................................................................ 11 4.3.1 Vulnerabilidades ................................................................................................ 11 4.3.2 Amenazas ......................................................................................................... 12 4.3.3 Descripcin del Riesgo y sus Consecuencias.................................................... 13 4.3.4 Variables para el Anlisis .................................................................................. 14 4.4 VALORACIN DEL RIESGO ............................................................................. 19 4.4.1 Identificacin de los Controles Existentes en la Secretara para la Proteccin del Activo 19 4.4.2 Naturaleza de control ........................................................................................ 23 4.4.3 Caractersticas del Control ................................................................................ 23 4.4.4 Factores ............................................................................................................ 23 4.4.5 Variables para la valoracin .............................................................................. 24 4.4.6 Probabilidad. ..................................................................................................... 24 4.4.7 Impacto ............................................................................................................. 24 4.4.8 Nivel de Riesgo Residual................................................................................... 27 4.5 TRATAMIENTO DE LOS RIESGOS .................................................................. 28 4.5.1 Opciones para el Tratamiento de los Riesgos Residuales Extremos y Altos ..... 28 4.5.2 Acciones de Mitigacin ...................................................................................... 28 4.6 REVISIN Y MONITORIZACIN....................................................................... 30
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2213200-OT-037 01 3 de 31
LISTADO DE TABLAS
Tabla 1. Ejemplo Valoracin Activos ................................................................................ 9 Tabla 2. Identificacin del riesgo .................................................................................... 11 Tabla 3. Identificacin de vulnerabilidades ..................................................................... 12 Tabla 4. Identificacin de amenazas .............................................................................. 13 Tabla 5. Descripcin del riesgo y consecuencias ........................................................... 14 Tabla 6. Escala de probabilidad ..................................................................................... 15 Tabla 7. Escala de impacto ............................................................................................ 16 Tabla 8. Anlisis del Riesgo. .......................................................................................... 17 Tabla 9. Catlogo de controles....................................................................................... 23 Tabla 10. Factores calificacin de controles................................................................... 24 Tabla 11. Escala de probabilidad ................................................................................... 24 Tabla 12. Escala de impacto .......................................................................................... 25 Tabla 13. Valoracin del Riesgo..................................................................................... 26
LISTADO DE FIGURAS
Figura 2. Matriz de Riesgo. ............................................................................................ 27
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2213200-OT-037 01 4 de 31
GLOSARIO
Causa: Son los medios, circunstancias y agentes que generan los riesgos. 1 Amenazas: Es un ente o escenario interno o externo que puede hacer uso de una vulnerabilidad para generar un perjuicio o impacto negativo en la organizacin. (Materializar el riesgo), o los medios potenciales por los cuales las vulnerabilidades pueden ser explotadas u ocasionadas. Vulnerabilidad: Es una falencia o debilidad que puede estar presente en la tecnologa, las personas o en las polticas y procedimientos de la entidad. Riesgo en la seguridad de la informacin: Es un escenario bajo el cual una amenaza determinada puede explotar las vulnerabilidades de los activos o grupos de activos generando un impacto negativo a la Secretara General y evitando que sta pueda cumplir con sus objetivos. Probabilidad: Es la posibilidad que la amenaza aproveche la vulnerabilidad para materializar el riesgo. Impacto: Son las consecuencias que genera un riesgo una vez se materialice. Controles: Acciones o mecanismos definidos para prevenir o reducir el impacto de los eventos que ponen en riesgo, la adecuada ejecucin de las actividades y tareas requeridas para el logro de objetivos de los procesos de una entidad. Controles Preventivos: aquellos que actan para eliminar las causas del riesgo para prevenir su ocurrencia o materializacin2.
1
Tomado de Procedimiento para la administracin del riesgo Cod. 2210111-PR-214 Secretaria General de la Alcalda Mayor.
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2213200-OT-037 01 5 de 31
Controles Correctivos: aquellos que permiten el restablecimiento de la actividad despus de ser detectado un evento no deseable; tambin permiten la modificacin de las acciones que propiciaron su ocurrencia3.
2 3
IDEM IDEM
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2213200-OT-037 01 6 de 31
1 INTRODUCCIN
El anlisis de riesgos de los activos de informacin permite identificar, analizar, evaluar y definir el manejo de los riesgos, para as apoyar el cumplimiento de los objetivos de la entidad, y disminuir a un nivel aceptable el impacto de la materializacin de dichos riesgos; la gestin de riesgos permite que los responsables de los procesos conozcan los riesgos de sus activos de informacin y acompaen de manera ms efectiva la implementacin de los controles y acciones de mejora.
2 PREMISA
Antes de iniciar el anlisis de riesgos se requiere que cada proceso de la Secretara General diligencie el inventario de activos de informacin con su respectiva valoracin de acuerdo a lo establecido en la Gua para el Inventario y la Clasificacin de Activos de Informacin de la Secretara General de la Alcalda Mayor de Bogot D.C. (2213200GS-004). Los activos de informacin a los cuales se les realizar el proceso de identificacin de riesgos sern a los que tengan un valor de Muy Alto en el valor total de los activos de informacin de acuerdo con lo registrado por cada proceso en el inventario de activos de informacin.
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2213200-OT-037 01 7 de 31
3 GENERALIDADES
El enfoque de riesgos definido se basa en la identificacin de las amenazas y vulnerabilidades presentes en los activos a analizar; el clculo de la probabilidad y el impacto de materializacin de los riesgos y cmo pueden afectar las actividades impidiendo el logro de los objetivos. Actividades desarrolladas para la gestin del riesgo: Definir el enfoque organizacional para la valoracin del riesgo: o Desarrollar criterios para la aceptacin de riesgos, e identificar los niveles de riesgo aceptables teniendo en cuenta la metodologa aplicada en la Secretara General. Planificacin: o Dentro de las actividades de planificacin estn: Definir el personal que ser encargado de apoyar la actividad de identificacin de riesgo. Seleccionar de inventario los activos objeto de anlisis.
Identificar el riesgo: o Describir el riesgo Identificar las causas: o Esta actividad corresponde a la identificacin de los pares vulnerabilidad Amenaza.4
Analizar los riesgos:
Para cada vulnerabilidad identificada se debe establecer cul es la amenaza que puede aprovechase de la misma, es por esta razn que se habla de identificacin de par amenaza vulnerabilidad, es importante tener en cuenta que un riesgo puede tener ms de un par amenaza vulnerabilidad relacionado.
2211700-OT-037 Versin 01
METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN o Estimar los niveles de los riesgos. Identificacin de la probabilidad Identificacin del impacto
CDIGO VERSIN PGINA:
2213200-OT-037 01 8 de 31
Valorar el riesgo o Estimar los niveles de los riesgos. Identificacin de los controles existentes
o Estimar los niveles de los riesgos. Identificacin de la probabilidad Identificacin del impacto
Evaluar e Identificar las opciones para el tratamiento de los riesgos. Seleccionar los controles para el tratamiento de los riesgos
3.1.1 Definir el personal involucrado en los talleres de anlisis de riesgo

El personal encargado de realizar del anlisis de riesgos sobre los activos de informacin en lo posible debe ser el mismo que realiz la identificacin y valoracin de los activos de informacin de cada uno de los procesos. Se debe tener en cuenta que el personal que lo realice debe tener pleno conocimiento del proceso al cual pertenecen los activos y de la interaccin de stos en el proceso en cualquier caso podr solicitar apoyo de otros funcionarios del proceso.
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2213200-OT-037 01 9 de 31
4 DESCRIPCIN
4.1 DETERMINAR EL CONTEXTO ESTRATGICO 4.1.1 Compromiso de la Alta y Media Direccin
Para el xito en la implementacin de una adecuada administracin del riesgo, es indispensable el compromiso de la Alta Direccin como encargada, en primera instancia, de estimular la cultura de la identificacin y prevencin de riesgos y en segunda instancia de definir las polticas de administracin de riesgos. Para lograrlo es importante la definicin de canales directos de comunicacin y el apoyo a todas las acciones emprendidas en este sentido, propiciando los espacios y asignando los recursos necesarios. As mismo, debe designar a un directivo que asesore y apoye todo el proceso de diseo e implementacin del Componente de Administracin del Riesgo.
4.2 IDENTIFICACIN DEL RIESGO

Para realizar la actividad de anlisis de riesgos se debe tener en cuenta la forma establecida para la organizacin de la informacin descrita en este procedimiento.
4.2.1 Identificacin de los activos a analizar

De la matriz de inventario de activos por procesos se deben identificar los activos de informacin en los cuales el valor total del activo es Muy Alto (MA) debido a que estos sern los que se tendrn en cuenta para realizar el anlisis de riesgo.
VALOR Nombre Activo Confidencialidad (MB / B / M /A / MA) B Integridad (MB / B / M /A / MA) MA Disponibilidad (MB / B / M /A / MA) A Valor (MB / B / M /A / MA) MA
Correo Electrnico
Tabla 1. Ejemplo Valoracin Activos
Estos activos deben ser diligenciados con el nombre y descripcin del activo respectivamente.
Tipo Nombre del Activo Descripcin del Activo
2211700-OT-037 Versin 01
METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN 7 Correo Electrnico
CDIGO VERSIN PGINA:
2213200-OT-037 01 10 de 31
Servicio empleado para el envo de comunicaciones internas y externas.
4.2.2 Identificacin del Tipo de Riesgo

Las tipologas de riesgo que se deben tener en cuenta para esta actividad son los siguientes: Acceso no autorizado o perdida de confidencialidad del activo de informacin. Prdida de la integridad del activo informacin. Prdida de la disponibilidad del activo de informacin.
Los tipos de riesgo que se analizarn a cada activo sern aquellos en los cuales el valor en de la propiedad este en los niveles MA, A o M, para esto se debe consultar el inventario de activos de informacin del proceso. Es decir que si un activo de
informacin fue valorado como muestra el siguiente cuadro:

VALOR Nombre Activo Confidencialidad (MB / B / M /A / MA) B Integridad (MB / B / M /A / MA) MA Disponibilidad (MB / B / M /A / MA) A Valor (MB / B / M /A / MA) MA
Correo Electrnico
Los tipos de riesgo que sern analizados en el activo sern: Prdida de la integridad del activo informacin. Prdida de la disponibilidad del activo de informacin.
En este caso el acceso no autorizado o prdida de confidencialidad del activo de informacin no se analizar debido a que su valor es Bajo (B).
Ejemplo
Tipo 7 Nombre del Activo Tipo del Riesgo
Correo Prdida de la disponibilidad del activo de informacin. Electrnico
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2213200-OT-037 01 11 de 31
Prdida de la integridad del activo informacin.

Tabla 2. Identificacin del riesgo
4.3 ANALIZAR LOS RIESGOS

Para analizar los riesgos se debe identificar las causas del riesgo las cuales son los medios, circunstancias y agentes que generan los riesgos 5 y estas se dividen en dos elementos que son:
4.3.1 Vulnerabilidades
Las vulnerabilidades son falencias o debilidades que pueden estar presentes en la tecnologa, las personas o en las polticas y procedimientos de la entidad. Para la identificacin de las vulnerabilidades se debe tener en cuenta: o El activo de informacin que se est analizando y el tipo de riesgo identificado, de acuerdo a esto, se comienza a describir que debilidades tiene este activo que puedan llevar a que el tipo de riesgo se materialice. o Las pruebas de Intrusin realizadas, dado que muchos de los activos de informacin son almacenados, distribuidos, resguardados y protegidos por la infraestructura de informacin y tecnologa. o Informes de Auditoras sobre el SGSI. Ejemplo
CAUSAS Tipo de Riesgo Vulnerabilidades
TIPO
Nombre del Activo
Tomado de Procedimiento para la administracin del riesgo Cod. 2210111-PR-214 Secretaria General de la Alcalda Mayor.
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2213200-OT-037 01 12 de 31
TIPO
Nombre del Activo
CAUSAS Tipo de Riesgo Vulnerabilidades
Mantenimientos no adecuados de la infraestructura Inadecuada gestin de Prdida de la disponibilidad vulnerabilidades tcnicas. Correo del activo de informacin. Electrnico Falta de documentacin de los servicios o aplicaciones. Deficiencia en los canales de comunicacin.
Tabla 3. Identificacin de vulnerabilidades
4.3.2 Amenazas
Son entes o escenarios internos o externos que puede hacer uso de una vulnerabilidad para generar un perjuicio o impacto negativo en la organizacin (Materializar el riesgo), o los medios potenciales por los cuales las vulnerabilidades pueden ser explotadas u ocasionadas.
Los tipos de amenazas son: o Recurso Humano: Conjunto de personas vinculadas directa o
indirectamente con el Activo de Informacin (personal externo e interno) o Procesos: Actividades para la transformacin de elementos de entrada, en productos o servicios para satisfacer una necesidad o Tecnologa: Es el conjunto de herramientas empleadas para soportar el activo de informacin. Incluye: hardware, software y telecomunicaciones. o Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de uno de los Activos de Informacin.
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2213200-OT-037 01 13 de 31
o Externos: Son eventos asociados a la fuerza de la naturaleza u ocasionados por terceros, que se escapan en cuanto a su causa y origen al control de la Entidad. Para identificar las amenazas se debe tener en cuenta el activo de informacin, el tipo de riesgo y las vulnerabilidades inherentes al activo. Adicional a lo anterior se debe considerar que una misma vulnerabilidad puede ser aprovechada por diferentes amenazas, por ejemplo la vulnerabilidad inadecuado control de acceso puede ser aprovechada por el Recurso Humano u ocasionada por procesos. Ejemplo
Nombre del Activo CAUSAS Tipo de Riesgo Vulnerabilidades Amenazas
TIPO
Mantenimientos no adecuados de Procesos la infraestructura Inadecuada gestin de Procesos vulnerabilidades tcnicas. Prdida de la disponibilidad Inadecuada gestin de Recurso Correo del activo de informacin. vulnerabilidades tcnicas. Humano Electrnico Falta de documentacin de los Procesos servicios o aplicaciones. Deficiencia en los canales de Tecnologa comunicacin.
Tabla 4. Identificacin de amenazas
4.3.3 Descripcin del Riesgo y sus Consecuencias

Descripcin del riesgo En este punto se debe definir la relacin y la razn por la cual se puede presentar o materializar el riesgo teniendo en cuenta la amenaza y la vulnerabilidad identificadas. Es decir, se debe explicar de qu manera la amenaza se puede aprovechar de la vulnerabilidad para que el tipo de riesgo se materialice.
2211700-OT-037 Versin 01
METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN Consecuencias
CDIGO VERSIN PGINA:
2213200-OT-037 01 14 de 31
Definir el resultado de la materializacin del riesgo. Es decir que pasara si se llega a materializar el riesgo. Ejemplo
TIPO Nombre del Activo Tipo de Riesgo CAUSAS DESCRIPCIN DEL RIESGO Vulnerabilidades Amenazas Debido a una falla en el proceso en cuanto a la planeacin de los mantenimientos se puede suscitar la perdida de disponibilidad del servicio de Correo Electrnico CONSECUENCIAS
Mantenimientos no adecuados de la Procesos infraestructura
Retrasos en realizacin de actividades proceso
la las del
Prdida de la disponibilidad de del activo de Falta documentacin de informacin. Procesos Correo los servicios o Electrnic aplicaciones o
Debido a la falta de organizacin en el proceso en cuanto a la documentacin de la operacin de la infraestructura de T.I se puede presentar no disponibilidad del Servicio de Correo Electrnico
la las del
Deficiencia en los canales de Tecnologa comunicacin
Debido a problemas suscitados por la tecnologa se pueden presentar deficiencias en los canales de comunicacin los cuales llevan a perdida de disponibilidad del servicio de Correo Electrnico.
la las del
Tabla 5. Descripcin del riesgo y consecuencias
4.3.4 Variables para el Anlisis

Las variables descritas a continuacin se definen para cada para amenaza vulnerabilidad sin tener en cuenta los controles existentes. Probabilidad
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2213200-OT-037 01 15 de 31
Es la posibilidad que la amenaza aproveche la vulnerabilidad para materializar el riesgo. Para esto se utiliza la siguiente escala:
ESCALA DE PROBABILIDAD 1 2 3 4 5
Raro
Evento que puede ocurrir slo en circunstancias excepcionales , entre 0 y una vez cada seis meses y 5 veces en un semestre. Evento que puede ocurrir en algunas de las circunstancias entre seis y 10 veces en un semestre. Evento que puede ocurrir en casi siempre entre 11 y 15 veces en un semestre. Evento que puede ocurrir en la mayora de las circunstancias ms de 15 veces en un semestre.
Tabla 6. Escala de probabilidad
Improbable Evento que puede ocurrir en pocas de las circunstancias, entre 2 Posible Probable casi certeza
Impacto Son las consecuencias que genera un riesgo una vez se materialice. Para esto se utiliza la siguiente escala, identificando cual sera el impacto de acuerdo a cada tipo (Usuario, Procesos, Financiero, Aprendizaje) si aplica. El impacto que se deja en la matriz es el que haya dado ms alto.
ESCALA DE IMPACTO Nivel Usuario Procesos Financiero Aprendizaje
No tiene impacto Impacta negativamente Impacta Impacta de forma Financiero para la la posibilidad de adquirir Insignificante negativamente la leve la operacin secretaria o sus conocimiento por parte imagen del un rol. de un rol procesos de un rol. Impacta Impacta negativamente la importante imagen del operacin proceso. proceso Se pueden presentar Impacta negativamente la sobrecostos la posibilidad de adquirir del (reprocesos) a nivel conocimiento a nivel de de proceso un proceso
Menor
2211700-OT-037 Versin 01

ESCALA DE IMPACTO Nivel Usuario Procesos Financiero
CDIGO VERSIN PGINA:
2213200-OT-037 01 16 de 31
Aprendizaje
Moderado
Impacta Impacta Se pueden presentar Impacta negativamente negativamente la negativamente no sobrecostos la oportunidad de imagen no slo slo la operacin (reprocesos) no slo adquirir conocimiento no del proceso del proceso en el proceso slo del proceso evaluado sino de evaluado sino a evaluado sino a otros evaluado sino de otros otros procesos otros procesos procesos. procesos. Impacta Impacta negativamente Se pueden presentar Impacta negativamente la la oportunidad de sobrecostos negativamente la operacin de la adquirir conocimiento a (reprocesos) imagen de la Secretaria sus nivel de todos los significativos para la Secretaria objetivos procesos de la Secretaria general misionales secretaria.
Mayor
Impacta Se pueden presentar Impacta Impacta negativamente negativamente la sobrecostos negativamente la la oportunidad de no solo operacin (reprocesos) Catastrfico imagen del adquirir conocimiento al de la Secretaria si significativos para el distrito distrito no otras entidades distrito del distrito Tabla 7. Escala de impacto
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2213200-OT-037 01 17 de 31
Ejemplo
Anlisis del Riesgo Tipo Nombre del Activo Descripcin del Activo Causas Tipo de Riesgo Vulnerabilidades Amenazas Descripcin del Riesgo Consecuencia Probabilidad Impacto Zona de Riesgo
Debido falla proceso cuanto Servicio empleado para el Prdida de la 7 Correo Electrnico envi de disponibilidad del activo de y informacin. Mantenimientos no adecuados de la Procesos infraestructura
a en
una el en
la de Retrasos en la Probable Mayor Zona riesgo Extrema de
planeacin los
mantenimientos se suscitar perdida disponibilidad del servicio de Correo Electrnico
realizacin de las del
comunicaciones internas externas.
puede actividades la proceso de
Tabla 8. Anlisis del Riesgo.
2211700-OT-037 Versin 01
METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN Ejemplo
CDIGO VERSIN PGINA:
2213200-OT-037 01 18 de 31
Anlisis del Riesgo Tipo Nombre del Activo Descripcin del Activo Causas Tipo de Riesgo Vulnerabilidades Amenazas Descripcin del Riesgo Consecuencia Probabilidad Impacto Zona de Riesgo
Debido falla proceso cuanto Servicio empleado para el Prdida de la 7 Correo Electrnico envi de disponibilidad del activo de y informacin. Mantenimientos no adecuados de la Procesos infraestructura
a en
una el en
la de Retrasos en la Probable Mayor Zona riesgo Extrema de
planeacin los
mantenimientos se suscitar perdida disponibilidad del servicio de Correo Electrnico
realizacin de las del
comunicaciones internas externas.
puede actividades la proceso de
Tabla 8. Anlisis del Riesgo.
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2213200-OT-037 01 19 de 31
4.4 VALORACIN DEL RIESGO 4.4.1 Identificacin de los Controles Existentes en la Secretara para la Proteccin del Activo
Los controles deben ser identificados teniendo en cuenta el par amenaza vulnerabilidad y el riesgo que se est evaluando. Para la seleccin de controles se puede tener en cuenta el siguiente catlogo:
DOMINIO POLITICA SEGURIDAD OBJETIVO DE CONTROL DE Poltica de Seguridad de la Informacin Nro. 1 2 3 4 5 Organizacin de la Seguridad de la Informacin ORGANIZACION DE SEGURIDAD 6 7 8 9 10 11 Partes Externas 12 13 14 GESTIN ACTIVOS DE Responsabilidad activos por los 15 16 CONTROLES Documento de la poltica de seguridad de la informacin Revisin de la poltica de seguridad de la informacin Compromiso de la direccin con la seguridad de la informacin Coordinacin de la seguridad de la informacin Asignacin de responsabilidades para la seguridad de la informacin Proceso de autorizacin para los servicios de procesamiento de informacin Acuerdos de confidencialidad Contacto con las autoridades Contactos con grupos de inters especial Revisin independiente de la seguridad de la informacin Identificacin de los riesgos relacionados con las partes externas Consideraciones de la seguridad cuando se trata con los clientes. Consideraciones de la seguridad en los acuerdos con terceras partes Inventario de Activos de Informacin Propiedad de los Activos de Informacin Uso aceptable de los Activos de Informacin
2211700-OT-037 Versin 01

DOMINIO OBJETIVO DE CONTROL Nro. 45 Gestin de la prestacin del servicio por terceras partes 46 47 Planificacin y aceptacin del sistema Proteccin contra cdigos mviles y maliciosos Respaldo Gestin de la Seguridad de las Redes 48 49 50 51 52 53 54 55 56 Manejo de los Medios 57 58 59 60 Intercambio de Informacin 61 62 63 64 Servicios Electrnico de Comercio 65 66 67 68 Monitoreo 69 70 71
CDIGO VERSIN PGINA:
2213200-OT-037 01 20 de 31
CONTROLES Gestin de la Prestacin del servicio por parte de terceros Monitoreo y revisin de los servicios por terceras partes Gestin de los cambios en los servicios por terceras partes Gestin de la capacidad Gestin de la aceptacin del sistema Controles contra cdigos maliciosos Control contra cdigos mviles Respaldo de la informacin Controles de las redes Seguridad de los servicios de red Gestin de los medios removibles Eliminacin de los medios de almacenamiento Procedimientos para el manejo de la informacin Seguridad de la documentacin del sistema Polticas y procedimientos para el intercambio de informacin Acuerdos para el intercambio de informacin Gestin de los Medios fsicos en trnsito Gestin del uso de la mensajera electrnica Controles de para la interconexin de sistemas de informacin del negocio Proteccin de la informacin generada de las actividades de Comercio electrnico Proteccin de la informacin generada por las transacciones en lnea Proteccin de la integridad Informacin disponible al pblico Registro de auditoras Monitoreo del uso del sistema Proteccin de la informacin del registro Registros del administrador y del operador Registro de fallas de la
2211700-OT-037 Versin 01

DOMINIO OBJETIVO DE CONTROL Requisitos del negocio para el control de acceso Nro. 72 73 74 Gestin Usuarios de Acceso de 75 76 77 78 Responsabilidades usuarios de los 79 80 81 82 CONTROL ACCESO DE Control de Acceso a redes 84 85 86 87 88 89 Control de Acceso al sistema Operativo 90 91 92 93 Control de Acceso a Aplicaciones y a Informacin las la 94 95 96 97 83
CDIGO VERSIN PGINA:
2213200-OT-037 01 21 de 31
CONTROLES Sincronizacin de relojes Poltica de control del acceso Registro de usuarios Gestin de privilegios Gestin de contraseas para usuarios Revisin de los derechos de acceso de los usuarios Uso de contraseas Norma Equipo de usuario desatendido Norma de escritorio despejado y de Pantalla despejada Norma del uso de los servicios en red Autenticacin de usuarios para conexiones externas Identificacin de los equipos en las redes Proteccin de los puertos configuracin y diagnstico remoto Separacin en las redes Control de las conexiones en red Control del enrutamiento en la red Procedimientos de ingreso seguros Identificacin y autenticacin del usuario Sistema de gestin de contraseas Uso de las utilidades del sistema Tiempo de inactividad de la sesin Limitacin del tiempo de conexin Restriccin del acceso a la informacin Aislamiento de sistemas sensibles Gestin de la Computacin comunicaciones mviles Gestin del Trabajo remoto Anlisis y especificacin de los requisitos de seguridad. Validacin de los datos de entrada Control del procesamiento interno Verificacin de la Integridad del mensaje y de
Computacin Mvil y Trabajo Remoto Requisitos de seguridad de los sistemas de informacin
98 ADQUISICIN, DESARROLLO y 99 MANTENIMIENTO DE SISTEMAS DE Procesamiento correcto de las 100 aplicaciones INFORMACIN 101
102 Validacin de los datos de salida
2211700-OT-037 Versin 01

DOMINIO OBJETIVO DE CONTROL Controles Criptogrficos Nro.
CDIGO VERSIN PGINA:
2213200-OT-037 01 22 de 31
CONTROLES Poltica sobre el uso de 103 criptogrficos 104 Gestin de llaves
controles
105 Control del software operativo Proteccin de los datos de prueba del Seguridad de los archivos del 106 sistema sistema Control del acceso al cdigo fuente de 107 programas 108 Procedimientos de control de cambios Revisin tcnica de las aplicaciones despus de los cambios en el sistema 109 operativo Restricciones en los cambios a los 110 paquetes de software Normativa relacionada con la Fuga de 111 Informacin Desarrollo de software contratado 112 externamente
Seguridad en los procesos de desarrollo y soporte
Gestin de la Vulnerabilidad Tcnica 113 Control de las vulnerabilidades tcnicas Reporte sobre los eventos de seguridad Reporte sobre los eventos y 114 de la informacin las debilidades de seguridad Reporte sobre las debilidades en la de la informacin 115 seguridad Responsabilidades y procedimientos para 116 la gestin de incidentes
GESTION INCIDENTES MONITOREO
DE -
Gestin de los incidentes y las Aprendizaje debido a los incidentes de mejoras en la seguridad de la 117 seguridad de la informacin informacin Procedimiento para recoleccin de 118 evidencias Inclusin de la seguridad de la informacin en el proceso de gestin de la 119 continuidad del negocio Continuidad del negocio y evaluacin de 120 riesgos GESTIN DE LA Aspectos de seguridad de la Desarrollo e implementacin de planes de CONTINUIDAD DEL informacin en la Gestin de continuidad que incluyan la seguridad de NEGOCIO la Continuidad de Negocios 121 la informacin Estructura para la planificacin de la 122 continuidad del negocio Pruebas, mantenimiento y reevaluacin 123 de los planes de continuidad del negocio Cumplimiento de requisitos legales los 124 Identificacin de la legislacin aplicable 125 Derechos de propiedad intelectual (DPI) 126 Proteccin de los registros de la
CUMPLIMIENTO
2211700-OT-037 Versin 01

DOMINIO OBJETIVO DE CONTROL Nro. organizacin
CDIGO VERSIN PGINA:
2213200-OT-037 01 23 de 31
CONTROLES
Proteccin de los datos y privacidad de la 127 informacin personal Prevencin del uso inadecuado de los servicios de procesamiento de 128 informacin Reglamentacin de los controles 129 criptogrficos Cumplimiento con las polticas y las Cumplimiento de las Polticas y las normas de seguridad y 130 normas de seguridad cumplimiento tcnico 131 Verificacin del cumplimiento tcnico Controles de auditora de los sistemas de Consideraciones de la 132 informacin Auditora de los sistemas de Proteccin de las herramientas de Informacin 133 auditora de los sistemas de informacin Tabla 9. Catlogo de controles.
4.4.2 Naturaleza de control

Los controles pueden ser preventivos o correctivos Control Preventivos
Los controles preventivos son aquellos que estn enfocados en la mitigacin de las causas (amenaza - vulnerabilidad) para evitar su materializacin. Controles Correctivos
Los controles correctivos estn enfocados en la recuperacin de los activos luego de la materializacin del riesgo.
4.4.3 Caractersticas del Control

Para todos los controles identificados se debe especificar si el control se encuentra documentado, si el control se est aplicando y si el control es efectivo es minimizar el riesgo.
4.4.4 Factores
2211700-OT-037 Versin 01

Valoracin del control El control se encuentra documentado SI NO Se aplica el control SI NO
CDIGO VERSIN PGINA:
2213200-OT-037 01 24 de 31
Es efectivo para minimizar el riesgo SI NO
Tabla 10. Factores calificacin de controles.
4.4.5 Variables para la valoracin

Para establecer la valoracin del riesgo se debe tener en cuenta la probabilidad y el impacto de cada par amenaza vulnerabilidad y los controles existentes para la mitigacin del riesgo.
4.4.6 Probabilidad.
Es la posibilidad que la amenaza aproveche la vulnerabilidad para materializar el riesgo. Para esto se utiliza la siguiente escala:
ESCALA DE PROBABILIDAD
1 2 3 4 5 Raro Improbable Posible Probable casi certeza Evento que puede ocurrir slo en circunstancias excepcionales , entre 0 y una vez cada seis meses Evento que puede ocurrir en pocas de las circunstancias, entre 2 y 5 veces en un semestre. Evento que puede ocurrir en algunas de las circunstancias entre seis y 10 veces en un semestre. Evento que puede ocurrir en casi siempre entre 11 y 15 veces en un semestre. Evento que puede ocurrir en la mayora de las circunstancias ms de 15 veces en un semestre. Tabla 11. Escala de probabilidad
4.4.7 Impacto
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2213200-OT-037 01 25 de 31
Son las consecuencias que genera un riesgo una vez se materialice. Para esto se utiliza la siguiente escala, identificando cual sera el impacto de acuerdo a cada tipo (Usuario, Procesos, Financiero, Aprendizaje) si aplica. El impacto que se deja en la matriz es el que haya dado ms alto.
ESCALA DE IMPACTO Nivel Usuario Procesos Financiero Aprendizaje
No tiene impacto Impacta negativamente Impacta Impacta de forma Financiero para la la posibilidad de adquirir Insignificante negativamente la leve la operacin secretaria o sus conocimiento por parte imagen del un rol. de un rol procesos de un rol. Impacta Impacta negativamente la importante imagen del operacin proceso. proceso Se pueden presentar Impacta negativamente la sobrecostos la posibilidad de adquirir del (reprocesos) a nivel conocimiento a nivel de de proceso un proceso
Menor
Moderado
Impacta Impacta Se pueden presentar Impacta negativamente negativamente la negativamente no sobrecostos la oportunidad de imagen no slo slo la operacin (reprocesos) no slo adquirir conocimiento no del proceso del proceso en el proceso slo del proceso evaluado sino de evaluado sino a evaluado sino a otros evaluado sino de otros otros procesos otros procesos procesos. procesos. Impacta Impacta negativamente Se pueden presentar Impacta negativamente la la oportunidad de sobrecostos negativamente la operacin de la adquirir conocimiento a (reprocesos) imagen de la Secretaria sus nivel de todos los significativos para la Secretaria objetivos procesos de la Secretaria general misionales secretaria.
Mayor
Impacta Se pueden presentar Impacta Impacta negativamente negativamente la sobrecostos negativamente la la oportunidad de no solo operacin (reprocesos) Catastrfico imagen del adquirir conocimiento al de la Secretaria si significativos para el distrito distrito no otras entidades distrito del distrito Tabla 12. Escala de impacto
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2213200-OT-037 01 26 de 31
Ejemplo
Anlisis del Riesgo Nombr e del Activo Descripci n del Activo Causas Tipo de Riesgo Descripci n del Riesgo Amena zas Procedimie ntos de contrato con proveedor es de Tecnologa de Informaci n Contratos de mantenimi ento preventivo de la infraestruct ura de tecnolgic a Contratos de mantenimi ento correctivo de la infraestruct ura de tecnolgic a Controles Asociado s Natural eza del Control Valoracin del control El control se encuentra document ado SI NO Se aplica el contro l S I N O Es efectivo para minimiz ar el riesgo S I NO Valoracin del Riesgo
Tip o
Consecue ncia
Descripcin del impacto Probabili dad Impact o Usua rio Proce so Financi ero Aprendi zaje
Probabili dad
Impa cto
Zona de Riesgo
Descrip cin del impacto
Zona de Riesgo
Vulnerabilid ades
Preventi vo
Correo Electr nico
Servicio empleado para el envi de comunicaci ones internas y externas.
Prdida de la disponibili dad del activo de informaci n.
Mantenimien tos no adecuados de la infraestructu ra
Proces os
Debido a una falla en el proceso en cuanto a la planeacin de los mantenimi entos se puede suscitar la perdida de disponibilid ad del servicio de Correo Electrnico
Retrasos en la realizacin de las actividade s del proceso
Probable
Mayo r
Zona de riesgo Extrema
Preventi vo
Posible
Moder ado
Proceso s
Zona de riesgo Alta
Correcti vo
Tabla 13. Valoracin del Riesgo
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2211700-OT-037 01 27 de 31
4.4.8 Nivel de Riesgo Residual

Corresponde al nivel de riesgo de la Secretaria con los controles existentes, el nivel de riesgo residual da la pauta para la definicin de nuevos controles o mejoras de los existentes teniendo en cuenta que el nivel aceptable de riesgo es el nivel bajo para los dems niveles se deber definir planes para su tratamiento.
IMPACTO PROBABILIDAD 1 Insignificante 1 2 3 4 5 Raro Improbable Posible Probable B B B M 2 Menor B B M A 3 Moderado M M A A 4 Mayor A A E E 5 Catastrfico A E E E E
Casi Certeza A A E E B: Zona de Riesgo Baja, Asumir el Riesgo, Accin Preventiva, Monitorizacin del Riesgo M: Zona de riesgo Moderada, asumir el riesgo, reducir el riesgo, Definir planes de tratamiento
A: Zona de riesgo Alta, reducir el riesgo, evitar el riesgo, compartir o transferir, Definir planes de tratamiento E: Zona de riesgo Extrema, evitar el riesgo, reducir el riesgo, compartir o transferir, Definir planes de tratamiento Figura 1. Matriz de Riesgo.
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2211700-OT-037 01 28 de 31
4.5 TRATAMIENTO DE LOS RIESGOS

Una vez se ha calculado el riesgo residual se procede a definir los proyectos que van a permitir disminuir los riesgos de los niveles Inaceptable, Importante, Moderado y Tolerable al nivel Aceptable: Los riesgos calificados como Inaceptable, Importante, Moderado y Tolerable sern incluidos dentro de los planes de mitigacin.
4.5.1 Opciones para el Tratamiento de los Riesgos Residuales Extremos y Altos

Las opciones para el tratamiento de los riesgos son las siguientes: Evitar el riesgo: tomar las medidas encaminadas a prevenir su materializacin Reducir el riesgo: implica tomar medidas encaminadas a disminuir tanto la
probabilidad (medidas de prevencin), como el impacto (medidas de proteccin) Compartir o transferir el riesgo: Reduce su efecto a travs del traspaso de las prdidas a otras organizaciones, como el caso de los contratos de seguros o a travs de otros medio que permite distribuir la porcin de riesgo con otra entidad como los traspasos de riesgo compartido. Asumir el riesgo: acepta la prdida residual probable y elaborar planes de contingencia para su manejo.
4.5.2 Acciones de Mitigacin

Determine las acciones de tratamiento identificando responsables, cronograma e indicadores entre otros.
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2211700-OT-037 01 29 de 31
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2211700-OT-037 01 30 de 31
4.6 REVISIN Y MONITORIZACIN

Una vez diseado y validado el plan para administrar los riesgos, en el mapa de riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la secretaria. El monitoreo es esencial para asegurar que las acciones se estn llevando a cabo y evaluar la eficacia en su implementacin adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicacin de las acciones preventivas. A partir del anlisis y calificacin de riesgos, se debe formular un plan para el tratamiento de riesgos que identifique la gestin apropiada, los recursos, responsabilidad y prioridades para manejar los riesgos de seguridad de la informacin. La Secretaria debe ejecutar procedimientos de seguimiento y revisin para detectar oportunamente los errores en los procesamientos e identificar con prontitud incidentes e intentos de violacin de seguridad, as como determinar si las acciones tomadas para solucionar un problema de seguridad fueron eficaces.
2211700-OT-037 Versin 01
CDIGO VERSIN PGINA:
2211700-OT-037 01 31 de 31
CONTROL DE CAMBIOS ACTIVIDADES QUE SUFRIERON CAMBIOS Creacin del Documento CAMBIOS EFECTUADOS N.A. FECHA DEL VERSIN CAMBIO 08-08-2012 01
2211700-OT-037 Versin 01

Administracion de Riesgos Alcaldia Bta

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Administracion de Riesgos Alcaldia Bta

Hochgeladen von

Copyright:

Verfügbare Formate

METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN

CDIGO VERSIN PGINA:

SECRETARA GENERAL ALCALDA MAYOR DE BOGOT.

ELABORO REVISO APROB

CARGO Prof-especializado Subdirector de Informtica y Sistemas

FECHA 08-08-2012 10-08-2012

Directora Corporativa 16-10-2012

METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN

CDIGO VERSIN PGINA:

METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN

CDIGO VERSIN PGINA:

Figura 2. Matriz de Riesgo. ............................................................................................ 27

METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN

CDIGO VERSIN PGINA:

METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN

CDIGO VERSIN PGINA:

METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN

CDIGO VERSIN PGINA:

METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN

CDIGO VERSIN PGINA:

Analizar los riesgos:

CDIGO VERSIN PGINA:

3.1.1 Definir el personal involucrado en los talleres de anlisis de riesgo

METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN

CDIGO VERSIN PGINA:

4.2 IDENTIFICACIN DEL RIESGO

4.2.1 Identificacin de los activos a analizar

Tabla 1. Ejemplo Valoracin Activos

METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN 7 Correo Electrnico

CDIGO VERSIN PGINA:

Servicio empleado para el envo de comunicaciones internas y externas.

4.2.2 Identificacin del Tipo de Riesgo

informacin fue valorado como muestra el siguiente cuadro:

Correo Prdida de la disponibilidad del activo de informacin. Electrnico

METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN

CDIGO VERSIN PGINA:

Prdida de la integridad del activo informacin.

4.3 ANALIZAR LOS RIESGOS

Nombre del Activo

METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN

CDIGO VERSIN PGINA:

Nombre del Activo

CAUSAS Tipo de Riesgo Vulnerabilidades

METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN

CDIGO VERSIN PGINA:

4.3.3 Descripcin del Riesgo y sus Consecuencias

METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN Consecuencias

CDIGO VERSIN PGINA:

Mantenimientos no adecuados de la Procesos infraestructura

Retrasos en realizacin de actividades proceso

Retrasos en realizacin de actividades proceso

Deficiencia en los canales de Tecnologa comunicacin

Retrasos en realizacin de actividades proceso

Tabla 5. Descripcin del riesgo y consecuencias

4.3.4 Variables para el Anlisis

METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN

CDIGO VERSIN PGINA:

METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN

CDIGO VERSIN PGINA:

METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN

CDIGO VERSIN PGINA:

la de Retrasos en la Probable Mayor Zona riesgo Extrema de

mantenimientos se suscitar perdida disponibilidad del servicio de Correo Electrnico

realizacin de las del