Beruflich Dokumente
Kultur Dokumente
2213200-OT-037 01 1 de 31
NOMBRE Edelmira Rodrguez G Fabio Fernando Snchez Snchez Mnica del Pilar Rubio Arenas
FIRMA
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 2 de 31
TABLA DE CONTENIDO
GLOSARIO .................................................................................................................... 4 1 INTRODUCCIN ................................................................................................ 6 2 PREMISA ............................................................................................................ 6 3 GENERALIDADES .............................................................................................. 7 3.1.1 Definir el personal involucrado en los talleres de anlisis de riesgo..................... 8 4 DESCRIPCIN ................................................................................................... 9 4.1 DETERMINAR EL CONTEXTO ESTRATGICO ................................................. 9 4.1.1 Compromiso de la Alta y Media Direccin ........................................................... 9 4.2 IDENTIFICACIN DEL RIESGO .......................................................................... 9 4.2.1 Identificacin de los activos a analizar ................................................................. 9 4.2.2 Identificacin del Tipo de Riesgo ....................................................................... 10 4.3 ANALIZAR LOS RIESGOS ................................................................................ 11 4.3.1 Vulnerabilidades ................................................................................................ 11 4.3.2 Amenazas ......................................................................................................... 12 4.3.3 Descripcin del Riesgo y sus Consecuencias.................................................... 13 4.3.4 Variables para el Anlisis .................................................................................. 14 4.4 VALORACIN DEL RIESGO ............................................................................. 19 4.4.1 Identificacin de los Controles Existentes en la Secretara para la Proteccin del Activo 19 4.4.2 Naturaleza de control ........................................................................................ 23 4.4.3 Caractersticas del Control ................................................................................ 23 4.4.4 Factores ............................................................................................................ 23 4.4.5 Variables para la valoracin .............................................................................. 24 4.4.6 Probabilidad. ..................................................................................................... 24 4.4.7 Impacto ............................................................................................................. 24 4.4.8 Nivel de Riesgo Residual................................................................................... 27 4.5 TRATAMIENTO DE LOS RIESGOS .................................................................. 28 4.5.1 Opciones para el Tratamiento de los Riesgos Residuales Extremos y Altos ..... 28 4.5.2 Acciones de Mitigacin ...................................................................................... 28 4.6 REVISIN Y MONITORIZACIN....................................................................... 30
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 3 de 31
LISTADO DE TABLAS
Tabla 1. Ejemplo Valoracin Activos ................................................................................ 9 Tabla 2. Identificacin del riesgo .................................................................................... 11 Tabla 3. Identificacin de vulnerabilidades ..................................................................... 12 Tabla 4. Identificacin de amenazas .............................................................................. 13 Tabla 5. Descripcin del riesgo y consecuencias ........................................................... 14 Tabla 6. Escala de probabilidad ..................................................................................... 15 Tabla 7. Escala de impacto ............................................................................................ 16 Tabla 8. Anlisis del Riesgo. .......................................................................................... 17 Tabla 9. Catlogo de controles....................................................................................... 23 Tabla 10. Factores calificacin de controles................................................................... 24 Tabla 11. Escala de probabilidad ................................................................................... 24 Tabla 12. Escala de impacto .......................................................................................... 25 Tabla 13. Valoracin del Riesgo..................................................................................... 26
LISTADO DE FIGURAS
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 4 de 31
GLOSARIO
Causa: Son los medios, circunstancias y agentes que generan los riesgos. 1 Amenazas: Es un ente o escenario interno o externo que puede hacer uso de una vulnerabilidad para generar un perjuicio o impacto negativo en la organizacin. (Materializar el riesgo), o los medios potenciales por los cuales las vulnerabilidades pueden ser explotadas u ocasionadas. Vulnerabilidad: Es una falencia o debilidad que puede estar presente en la tecnologa, las personas o en las polticas y procedimientos de la entidad. Riesgo en la seguridad de la informacin: Es un escenario bajo el cual una amenaza determinada puede explotar las vulnerabilidades de los activos o grupos de activos generando un impacto negativo a la Secretara General y evitando que sta pueda cumplir con sus objetivos. Probabilidad: Es la posibilidad que la amenaza aproveche la vulnerabilidad para materializar el riesgo. Impacto: Son las consecuencias que genera un riesgo una vez se materialice. Controles: Acciones o mecanismos definidos para prevenir o reducir el impacto de los eventos que ponen en riesgo, la adecuada ejecucin de las actividades y tareas requeridas para el logro de objetivos de los procesos de una entidad. Controles Preventivos: aquellos que actan para eliminar las causas del riesgo para prevenir su ocurrencia o materializacin2.
1
Tomado de Procedimiento para la administracin del riesgo Cod. 2210111-PR-214 Secretaria General de la Alcalda Mayor.
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 5 de 31
Controles Correctivos: aquellos que permiten el restablecimiento de la actividad despus de ser detectado un evento no deseable; tambin permiten la modificacin de las acciones que propiciaron su ocurrencia3.
2 3
IDEM IDEM
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 6 de 31
1 INTRODUCCIN
El anlisis de riesgos de los activos de informacin permite identificar, analizar, evaluar y definir el manejo de los riesgos, para as apoyar el cumplimiento de los objetivos de la entidad, y disminuir a un nivel aceptable el impacto de la materializacin de dichos riesgos; la gestin de riesgos permite que los responsables de los procesos conozcan los riesgos de sus activos de informacin y acompaen de manera ms efectiva la implementacin de los controles y acciones de mejora.
2 PREMISA
Antes de iniciar el anlisis de riesgos se requiere que cada proceso de la Secretara General diligencie el inventario de activos de informacin con su respectiva valoracin de acuerdo a lo establecido en la Gua para el Inventario y la Clasificacin de Activos de Informacin de la Secretara General de la Alcalda Mayor de Bogot D.C. (2213200GS-004). Los activos de informacin a los cuales se les realizar el proceso de identificacin de riesgos sern a los que tengan un valor de Muy Alto en el valor total de los activos de informacin de acuerdo con lo registrado por cada proceso en el inventario de activos de informacin.
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 7 de 31
3 GENERALIDADES
El enfoque de riesgos definido se basa en la identificacin de las amenazas y vulnerabilidades presentes en los activos a analizar; el clculo de la probabilidad y el impacto de materializacin de los riesgos y cmo pueden afectar las actividades impidiendo el logro de los objetivos. Actividades desarrolladas para la gestin del riesgo: Definir el enfoque organizacional para la valoracin del riesgo: o Desarrollar criterios para la aceptacin de riesgos, e identificar los niveles de riesgo aceptables teniendo en cuenta la metodologa aplicada en la Secretara General. Planificacin: o Dentro de las actividades de planificacin estn: Definir el personal que ser encargado de apoyar la actividad de identificacin de riesgo. Seleccionar de inventario los activos objeto de anlisis.
Identificar el riesgo: o Describir el riesgo Identificar las causas: o Esta actividad corresponde a la identificacin de los pares vulnerabilidad Amenaza.4
Para cada vulnerabilidad identificada se debe establecer cul es la amenaza que puede aprovechase de la misma, es por esta razn que se habla de identificacin de par amenaza vulnerabilidad, es importante tener en cuenta que un riesgo puede tener ms de un par amenaza vulnerabilidad relacionado.
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
METODOLOGA PARA VALORACIN DE RIESGOS DE ACTIVOS DE INFORMACIN o Estimar los niveles de los riesgos. Identificacin de la probabilidad Identificacin del impacto
2213200-OT-037 01 8 de 31
Valorar el riesgo o Estimar los niveles de los riesgos. Identificacin de los controles existentes
o Estimar los niveles de los riesgos. Identificacin de la probabilidad Identificacin del impacto
Evaluar e Identificar las opciones para el tratamiento de los riesgos. Seleccionar los controles para el tratamiento de los riesgos
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 9 de 31
4 DESCRIPCIN
4.1 DETERMINAR EL CONTEXTO ESTRATGICO 4.1.1 Compromiso de la Alta y Media Direccin
Para el xito en la implementacin de una adecuada administracin del riesgo, es indispensable el compromiso de la Alta Direccin como encargada, en primera instancia, de estimular la cultura de la identificacin y prevencin de riesgos y en segunda instancia de definir las polticas de administracin de riesgos. Para lograrlo es importante la definicin de canales directos de comunicacin y el apoyo a todas las acciones emprendidas en este sentido, propiciando los espacios y asignando los recursos necesarios. As mismo, debe designar a un directivo que asesore y apoye todo el proceso de diseo e implementacin del Componente de Administracin del Riesgo.
Correo Electrnico
Estos activos deben ser diligenciados con el nombre y descripcin del activo respectivamente.
Tipo Nombre del Activo Descripcin del Activo
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 10 de 31
Los tipos de riesgo que se analizarn a cada activo sern aquellos en los cuales el valor en de la propiedad este en los niveles MA, A o M, para esto se debe consultar el inventario de activos de informacin del proceso. Es decir que si un activo de
Correo Electrnico
Los tipos de riesgo que sern analizados en el activo sern: Prdida de la integridad del activo informacin. Prdida de la disponibilidad del activo de informacin.
En este caso el acceso no autorizado o prdida de confidencialidad del activo de informacin no se analizar debido a que su valor es Bajo (B).
Ejemplo
Tipo 7 Nombre del Activo Tipo del Riesgo
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 11 de 31
4.3.1 Vulnerabilidades
Las vulnerabilidades son falencias o debilidades que pueden estar presentes en la tecnologa, las personas o en las polticas y procedimientos de la entidad. Para la identificacin de las vulnerabilidades se debe tener en cuenta: o El activo de informacin que se est analizando y el tipo de riesgo identificado, de acuerdo a esto, se comienza a describir que debilidades tiene este activo que puedan llevar a que el tipo de riesgo se materialice. o Las pruebas de Intrusin realizadas, dado que muchos de los activos de informacin son almacenados, distribuidos, resguardados y protegidos por la infraestructura de informacin y tecnologa. o Informes de Auditoras sobre el SGSI. Ejemplo
CAUSAS Tipo de Riesgo Vulnerabilidades
TIPO
Tomado de Procedimiento para la administracin del riesgo Cod. 2210111-PR-214 Secretaria General de la Alcalda Mayor.
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 12 de 31
TIPO
Mantenimientos no adecuados de la infraestructura Inadecuada gestin de Prdida de la disponibilidad vulnerabilidades tcnicas. Correo del activo de informacin. Electrnico Falta de documentacin de los servicios o aplicaciones. Deficiencia en los canales de comunicacin.
Tabla 3. Identificacin de vulnerabilidades
4.3.2 Amenazas
Son entes o escenarios internos o externos que puede hacer uso de una vulnerabilidad para generar un perjuicio o impacto negativo en la organizacin (Materializar el riesgo), o los medios potenciales por los cuales las vulnerabilidades pueden ser explotadas u ocasionadas.
Los tipos de amenazas son: o Recurso Humano: Conjunto de personas vinculadas directa o
indirectamente con el Activo de Informacin (personal externo e interno) o Procesos: Actividades para la transformacin de elementos de entrada, en productos o servicios para satisfacer una necesidad o Tecnologa: Es el conjunto de herramientas empleadas para soportar el activo de informacin. Incluye: hardware, software y telecomunicaciones. o Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de uno de los Activos de Informacin.
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 13 de 31
o Externos: Son eventos asociados a la fuerza de la naturaleza u ocasionados por terceros, que se escapan en cuanto a su causa y origen al control de la Entidad. Para identificar las amenazas se debe tener en cuenta el activo de informacin, el tipo de riesgo y las vulnerabilidades inherentes al activo. Adicional a lo anterior se debe considerar que una misma vulnerabilidad puede ser aprovechada por diferentes amenazas, por ejemplo la vulnerabilidad inadecuado control de acceso puede ser aprovechada por el Recurso Humano u ocasionada por procesos. Ejemplo
Nombre del Activo CAUSAS Tipo de Riesgo Vulnerabilidades Amenazas
TIPO
Mantenimientos no adecuados de Procesos la infraestructura Inadecuada gestin de Procesos vulnerabilidades tcnicas. Prdida de la disponibilidad Inadecuada gestin de Recurso Correo del activo de informacin. vulnerabilidades tcnicas. Humano Electrnico Falta de documentacin de los Procesos servicios o aplicaciones. Deficiencia en los canales de Tecnologa comunicacin.
Tabla 4. Identificacin de amenazas
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 14 de 31
Definir el resultado de la materializacin del riesgo. Es decir que pasara si se llega a materializar el riesgo. Ejemplo
TIPO Nombre del Activo Tipo de Riesgo CAUSAS DESCRIPCIN DEL RIESGO Vulnerabilidades Amenazas Debido a una falla en el proceso en cuanto a la planeacin de los mantenimientos se puede suscitar la perdida de disponibilidad del servicio de Correo Electrnico CONSECUENCIAS
la las del
Prdida de la disponibilidad de del activo de Falta documentacin de informacin. Procesos Correo los servicios o Electrnic aplicaciones o
Debido a la falta de organizacin en el proceso en cuanto a la documentacin de la operacin de la infraestructura de T.I se puede presentar no disponibilidad del Servicio de Correo Electrnico
la las del
Debido a problemas suscitados por la tecnologa se pueden presentar deficiencias en los canales de comunicacin los cuales llevan a perdida de disponibilidad del servicio de Correo Electrnico.
la las del
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 15 de 31
Es la posibilidad que la amenaza aproveche la vulnerabilidad para materializar el riesgo. Para esto se utiliza la siguiente escala:
ESCALA DE PROBABILIDAD 1 2 3 4 5
Raro
Evento que puede ocurrir slo en circunstancias excepcionales , entre 0 y una vez cada seis meses y 5 veces en un semestre. Evento que puede ocurrir en algunas de las circunstancias entre seis y 10 veces en un semestre. Evento que puede ocurrir en casi siempre entre 11 y 15 veces en un semestre. Evento que puede ocurrir en la mayora de las circunstancias ms de 15 veces en un semestre.
Tabla 6. Escala de probabilidad
Improbable Evento que puede ocurrir en pocas de las circunstancias, entre 2 Posible Probable casi certeza
Impacto Son las consecuencias que genera un riesgo una vez se materialice. Para esto se utiliza la siguiente escala, identificando cual sera el impacto de acuerdo a cada tipo (Usuario, Procesos, Financiero, Aprendizaje) si aplica. El impacto que se deja en la matriz es el que haya dado ms alto.
ESCALA DE IMPACTO Nivel Usuario Procesos Financiero Aprendizaje
No tiene impacto Impacta negativamente Impacta Impacta de forma Financiero para la la posibilidad de adquirir Insignificante negativamente la leve la operacin secretaria o sus conocimiento por parte imagen del un rol. de un rol procesos de un rol. Impacta Impacta negativamente la importante imagen del operacin proceso. proceso Se pueden presentar Impacta negativamente la sobrecostos la posibilidad de adquirir del (reprocesos) a nivel conocimiento a nivel de de proceso un proceso
Menor
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 16 de 31
Aprendizaje
Moderado
Impacta Impacta Se pueden presentar Impacta negativamente negativamente la negativamente no sobrecostos la oportunidad de imagen no slo slo la operacin (reprocesos) no slo adquirir conocimiento no del proceso del proceso en el proceso slo del proceso evaluado sino de evaluado sino a evaluado sino a otros evaluado sino de otros otros procesos otros procesos procesos. procesos. Impacta Impacta negativamente Se pueden presentar Impacta negativamente la la oportunidad de sobrecostos negativamente la operacin de la adquirir conocimiento a (reprocesos) imagen de la Secretaria sus nivel de todos los significativos para la Secretaria objetivos procesos de la Secretaria general misionales secretaria.
Mayor
Impacta Se pueden presentar Impacta Impacta negativamente negativamente la sobrecostos negativamente la la oportunidad de no solo operacin (reprocesos) Catastrfico imagen del adquirir conocimiento al de la Secretaria si significativos para el distrito distrito no otras entidades distrito del distrito Tabla 7. Escala de impacto
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 17 de 31
Ejemplo
Anlisis del Riesgo Tipo Nombre del Activo Descripcin del Activo Causas Tipo de Riesgo Vulnerabilidades Amenazas Descripcin del Riesgo Consecuencia Probabilidad Impacto Zona de Riesgo
Debido falla proceso cuanto Servicio empleado para el Prdida de la 7 Correo Electrnico envi de disponibilidad del activo de y informacin. Mantenimientos no adecuados de la Procesos infraestructura
a en
una el en
planeacin los
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 18 de 31
Anlisis del Riesgo Tipo Nombre del Activo Descripcin del Activo Causas Tipo de Riesgo Vulnerabilidades Amenazas Descripcin del Riesgo Consecuencia Probabilidad Impacto Zona de Riesgo
Debido falla proceso cuanto Servicio empleado para el Prdida de la 7 Correo Electrnico envi de disponibilidad del activo de y informacin. Mantenimientos no adecuados de la Procesos infraestructura
a en
una el en
planeacin los
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 19 de 31
4.4 VALORACIN DEL RIESGO 4.4.1 Identificacin de los Controles Existentes en la Secretara para la Proteccin del Activo
Los controles deben ser identificados teniendo en cuenta el par amenaza vulnerabilidad y el riesgo que se est evaluando. Para la seleccin de controles se puede tener en cuenta el siguiente catlogo:
DOMINIO POLITICA SEGURIDAD OBJETIVO DE CONTROL DE Poltica de Seguridad de la Informacin Nro. 1 2 3 4 5 Organizacin de la Seguridad de la Informacin ORGANIZACION DE SEGURIDAD 6 7 8 9 10 11 Partes Externas 12 13 14 GESTIN ACTIVOS DE Responsabilidad activos por los 15 16 CONTROLES Documento de la poltica de seguridad de la informacin Revisin de la poltica de seguridad de la informacin Compromiso de la direccin con la seguridad de la informacin Coordinacin de la seguridad de la informacin Asignacin de responsabilidades para la seguridad de la informacin Proceso de autorizacin para los servicios de procesamiento de informacin Acuerdos de confidencialidad Contacto con las autoridades Contactos con grupos de inters especial Revisin independiente de la seguridad de la informacin Identificacin de los riesgos relacionados con las partes externas Consideraciones de la seguridad cuando se trata con los clientes. Consideraciones de la seguridad en los acuerdos con terceras partes Inventario de Activos de Informacin Propiedad de los Activos de Informacin Uso aceptable de los Activos de Informacin
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 20 de 31
CONTROLES Gestin de la Prestacin del servicio por parte de terceros Monitoreo y revisin de los servicios por terceras partes Gestin de los cambios en los servicios por terceras partes Gestin de la capacidad Gestin de la aceptacin del sistema Controles contra cdigos maliciosos Control contra cdigos mviles Respaldo de la informacin Controles de las redes Seguridad de los servicios de red Gestin de los medios removibles Eliminacin de los medios de almacenamiento Procedimientos para el manejo de la informacin Seguridad de la documentacin del sistema Polticas y procedimientos para el intercambio de informacin Acuerdos para el intercambio de informacin Gestin de los Medios fsicos en trnsito Gestin del uso de la mensajera electrnica Controles de para la interconexin de sistemas de informacin del negocio Proteccin de la informacin generada de las actividades de Comercio electrnico Proteccin de la informacin generada por las transacciones en lnea Proteccin de la integridad Informacin disponible al pblico Registro de auditoras Monitoreo del uso del sistema Proteccin de la informacin del registro Registros del administrador y del operador Registro de fallas de la
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 21 de 31
CONTROLES Sincronizacin de relojes Poltica de control del acceso Registro de usuarios Gestin de privilegios Gestin de contraseas para usuarios Revisin de los derechos de acceso de los usuarios Uso de contraseas Norma Equipo de usuario desatendido Norma de escritorio despejado y de Pantalla despejada Norma del uso de los servicios en red Autenticacin de usuarios para conexiones externas Identificacin de los equipos en las redes Proteccin de los puertos configuracin y diagnstico remoto Separacin en las redes Control de las conexiones en red Control del enrutamiento en la red Procedimientos de ingreso seguros Identificacin y autenticacin del usuario Sistema de gestin de contraseas Uso de las utilidades del sistema Tiempo de inactividad de la sesin Limitacin del tiempo de conexin Restriccin del acceso a la informacin Aislamiento de sistemas sensibles Gestin de la Computacin comunicaciones mviles Gestin del Trabajo remoto Anlisis y especificacin de los requisitos de seguridad. Validacin de los datos de entrada Control del procesamiento interno Verificacin de la Integridad del mensaje y de
98 ADQUISICIN, DESARROLLO y 99 MANTENIMIENTO DE SISTEMAS DE Procesamiento correcto de las 100 aplicaciones INFORMACIN 101
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 22 de 31
controles
105 Control del software operativo Proteccin de los datos de prueba del Seguridad de los archivos del 106 sistema sistema Control del acceso al cdigo fuente de 107 programas 108 Procedimientos de control de cambios Revisin tcnica de las aplicaciones despus de los cambios en el sistema 109 operativo Restricciones en los cambios a los 110 paquetes de software Normativa relacionada con la Fuga de 111 Informacin Desarrollo de software contratado 112 externamente
Gestin de la Vulnerabilidad Tcnica 113 Control de las vulnerabilidades tcnicas Reporte sobre los eventos de seguridad Reporte sobre los eventos y 114 de la informacin las debilidades de seguridad Reporte sobre las debilidades en la de la informacin 115 seguridad Responsabilidades y procedimientos para 116 la gestin de incidentes
DE -
Gestin de los incidentes y las Aprendizaje debido a los incidentes de mejoras en la seguridad de la 117 seguridad de la informacin informacin Procedimiento para recoleccin de 118 evidencias Inclusin de la seguridad de la informacin en el proceso de gestin de la 119 continuidad del negocio Continuidad del negocio y evaluacin de 120 riesgos GESTIN DE LA Aspectos de seguridad de la Desarrollo e implementacin de planes de CONTINUIDAD DEL informacin en la Gestin de continuidad que incluyan la seguridad de NEGOCIO la Continuidad de Negocios 121 la informacin Estructura para la planificacin de la 122 continuidad del negocio Pruebas, mantenimiento y reevaluacin 123 de los planes de continuidad del negocio Cumplimiento de requisitos legales los 124 Identificacin de la legislacin aplicable 125 Derechos de propiedad intelectual (DPI) 126 Proteccin de los registros de la
CUMPLIMIENTO
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 23 de 31
CONTROLES
Proteccin de los datos y privacidad de la 127 informacin personal Prevencin del uso inadecuado de los servicios de procesamiento de 128 informacin Reglamentacin de los controles 129 criptogrficos Cumplimiento con las polticas y las Cumplimiento de las Polticas y las normas de seguridad y 130 normas de seguridad cumplimiento tcnico 131 Verificacin del cumplimiento tcnico Controles de auditora de los sistemas de Consideraciones de la 132 informacin Auditora de los sistemas de Proteccin de las herramientas de Informacin 133 auditora de los sistemas de informacin Tabla 9. Catlogo de controles.
Los controles preventivos son aquellos que estn enfocados en la mitigacin de las causas (amenaza - vulnerabilidad) para evitar su materializacin. Controles Correctivos
Los controles correctivos estn enfocados en la recuperacin de los activos luego de la materializacin del riesgo.
4.4.4 Factores
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 24 de 31
4.4.6 Probabilidad.
Es la posibilidad que la amenaza aproveche la vulnerabilidad para materializar el riesgo. Para esto se utiliza la siguiente escala:
ESCALA DE PROBABILIDAD
1 2 3 4 5 Raro Improbable Posible Probable casi certeza Evento que puede ocurrir slo en circunstancias excepcionales , entre 0 y una vez cada seis meses Evento que puede ocurrir en pocas de las circunstancias, entre 2 y 5 veces en un semestre. Evento que puede ocurrir en algunas de las circunstancias entre seis y 10 veces en un semestre. Evento que puede ocurrir en casi siempre entre 11 y 15 veces en un semestre. Evento que puede ocurrir en la mayora de las circunstancias ms de 15 veces en un semestre. Tabla 11. Escala de probabilidad
4.4.7 Impacto
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 25 de 31
Son las consecuencias que genera un riesgo una vez se materialice. Para esto se utiliza la siguiente escala, identificando cual sera el impacto de acuerdo a cada tipo (Usuario, Procesos, Financiero, Aprendizaje) si aplica. El impacto que se deja en la matriz es el que haya dado ms alto.
ESCALA DE IMPACTO Nivel Usuario Procesos Financiero Aprendizaje
No tiene impacto Impacta negativamente Impacta Impacta de forma Financiero para la la posibilidad de adquirir Insignificante negativamente la leve la operacin secretaria o sus conocimiento por parte imagen del un rol. de un rol procesos de un rol. Impacta Impacta negativamente la importante imagen del operacin proceso. proceso Se pueden presentar Impacta negativamente la sobrecostos la posibilidad de adquirir del (reprocesos) a nivel conocimiento a nivel de de proceso un proceso
Menor
Moderado
Impacta Impacta Se pueden presentar Impacta negativamente negativamente la negativamente no sobrecostos la oportunidad de imagen no slo slo la operacin (reprocesos) no slo adquirir conocimiento no del proceso del proceso en el proceso slo del proceso evaluado sino de evaluado sino a evaluado sino a otros evaluado sino de otros otros procesos otros procesos procesos. procesos. Impacta Impacta negativamente Se pueden presentar Impacta negativamente la la oportunidad de sobrecostos negativamente la operacin de la adquirir conocimiento a (reprocesos) imagen de la Secretaria sus nivel de todos los significativos para la Secretaria objetivos procesos de la Secretaria general misionales secretaria.
Mayor
Impacta Se pueden presentar Impacta Impacta negativamente negativamente la sobrecostos negativamente la la oportunidad de no solo operacin (reprocesos) Catastrfico imagen del adquirir conocimiento al de la Secretaria si significativos para el distrito distrito no otras entidades distrito del distrito Tabla 12. Escala de impacto
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2213200-OT-037 01 26 de 31
Ejemplo
Anlisis del Riesgo Nombr e del Activo Descripci n del Activo Causas Tipo de Riesgo Descripci n del Riesgo Amena zas Procedimie ntos de contrato con proveedor es de Tecnologa de Informaci n Contratos de mantenimi ento preventivo de la infraestruct ura de tecnolgic a Contratos de mantenimi ento correctivo de la infraestruct ura de tecnolgic a Controles Asociado s Natural eza del Control Valoracin del control El control se encuentra document ado SI NO Se aplica el contro l S I N O Es efectivo para minimiz ar el riesgo S I NO Valoracin del Riesgo
Tip o
Consecue ncia
Descripcin del impacto Probabili dad Impact o Usua rio Proce so Financi ero Aprendi zaje
Probabili dad
Impa cto
Zona de Riesgo
Zona de Riesgo
Vulnerabilid ades
Preventi vo
Proces os
Debido a una falla en el proceso en cuanto a la planeacin de los mantenimi entos se puede suscitar la perdida de disponibilid ad del servicio de Correo Electrnico
Probable
Mayo r
Preventi vo
Posible
Moder ado
Proceso s
Correcti vo
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2211700-OT-037 01 27 de 31
Casi Certeza A A E E B: Zona de Riesgo Baja, Asumir el Riesgo, Accin Preventiva, Monitorizacin del Riesgo M: Zona de riesgo Moderada, asumir el riesgo, reducir el riesgo, Definir planes de tratamiento
A: Zona de riesgo Alta, reducir el riesgo, evitar el riesgo, compartir o transferir, Definir planes de tratamiento E: Zona de riesgo Extrema, evitar el riesgo, reducir el riesgo, compartir o transferir, Definir planes de tratamiento Figura 1. Matriz de Riesgo.
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2211700-OT-037 01 28 de 31
probabilidad (medidas de prevencin), como el impacto (medidas de proteccin) Compartir o transferir el riesgo: Reduce su efecto a travs del traspaso de las prdidas a otras organizaciones, como el caso de los contratos de seguros o a travs de otros medio que permite distribuir la porcin de riesgo con otra entidad como los traspasos de riesgo compartido. Asumir el riesgo: acepta la prdida residual probable y elaborar planes de contingencia para su manejo.
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2211700-OT-037 01 29 de 31
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2211700-OT-037 01 30 de 31
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01
2211700-OT-037 01 31 de 31
CONTROL DE CAMBIOS ACTIVIDADES QUE SUFRIERON CAMBIOS Creacin del Documento CAMBIOS EFECTUADOS N.A. FECHA DEL VERSIN CAMBIO 08-08-2012 01
Carrera 8 No. 10 65 Tel.: 381 30 00 www.bogota.gov.co Info: Lnea 195 Info: Lnea 195
2211700-OT-037 Versin 01